『 智慧型手機被盜刷!!! 』
規模較小的公司與商店都開始設計及導入 mPOS 這類型的裝置,請大家要多加留意安全性。
企業安全解決方案供應商 Positive Technologies 研究人員發現一個影響全球支付服務的安全漏洞,
黑心商家或者是駭客有機會在顧客藉由 mPOS 載具進行消費時,入侵其消費者的帳戶或是竊取信用卡相關資訊,
較進階一點的方式,駭客還可以修改客戶支付卡的金額,另外還能強迫消費者使用其他種方式來做付款,POS 機的廠商真的要注意!
會有這樣的情況發生,是近期較熱門的移動式支付讀卡機 (mPOS),
駭客趁機在手機於 mPOS 之間,利用中間人攻擊手法 (MiTM)。
當消費者準備使用手機做信用卡交易的途中,會透過手機的藍芽裝置進行信用卡的交易,
這時駭客會藉機在傳輸時利用攻擊程式進行監聽,並且能夠有效的干擾磁條通過後的支付金額,也有機會遠端控制手機程式。
這是因為有些mPOS讀卡機在執行藍牙傳輸時,沒有採用較安全性的機制進行配對,讓mPOS暴露了不少的安全漏洞,
Positive Technologies供應商建議商家應避免採用磁卡交易,而是利用晶片+PIN碼、晶片+簽名或非接觸式支付選項。
小編認為磁卡交易在手機上才算是新一代的消費模式,改善方式不是單純避免磁卡交易才算有效解決,
應該改變及優化藍芽裝置的加密機制,或者在進行載具及網路傳輸時,
增加多因子的身份認證,例如多一組帳號確認、手機簡訊通知,可降低駭客入侵及修改金額的機會。
安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司
https://www.ithome.com.tw/news/125139
https://latesthackingnews.com/…/vulnerability-discovered-m…/