電子支付的安全漏洞

無論是在收銀臺、加油站還是在互聯網上，各種非現金支付方式已經成為了我們日常生活的一部分，在部分年輕人的生活中其所占比例甚至已經超過了現金支付的部分。然而，現有的電子支付方式相對落后，金融機構正嘗試采用智能手機等無線通信技術來實現更快速的支付功能，特別是NFC（Near Field Communication，中文名稱為近場通信，又稱為近距離無線通信）更是被寄予了厚望。但是無線支付技術的安全性如何呢？CHIP將告訴大家NFC已知的安全問題，揭示攻擊者是如何捕獲NFC信用卡數據并進行盜用的。

除了新的技術，其他電子支付方式也同樣面臨危險，各種新的攻擊手段層出不窮，被操縱的自動柜員機（ATM）、被破解的銀行終端、隱藏在QR碼背后的釣魚網站，支付危險越來越多。那么我們該如何應對這些危險呢？

NFC：錢是這樣被偷走的

NFC是由RFID（Radio Frequency Identification）演變而來的技術，所有數據都存儲在一個小型的RFID芯片中，芯片上的信用卡數據是未經加密的，任何人都可以輕松讀取其中的數據。在華盛頓的黑客大會上，黑客克里斯汀佩吉特介紹了盜取NFC信用卡號碼和到期時間的方法，而現如今只需在智能手機上安裝適當的應用程序就可以捕獲這些數據。為了測試相關的技術是如何盜取NFC芯片中的信用卡數據的，我們在支持NFC技術的三星Galaxy Nexus手機上安裝了相應的應用程序，并嘗試收集編輯部人員的信用卡數據。實踐證明，在手機和信用卡直接接觸的情況下，我們可以輕松地獲得信用卡的數據。不過，我們知道，根據NFC的ISO標準，讀取設備完全可以在100mm的距離內讀取數據，而不需要接觸。

與此同時，我們也發現了一個值得慶幸的事情，那就是存儲在NFC芯片上的一個重要信息，信用卡的3位數字CVV（信用卡驗證值）代碼沒有能被盜取。因此，如果小偷要利用偷來的NFC信用卡數據在互聯網上消費，那么他只能夠在一些不要求輸入CVV驗證代碼的網店上使用。因此，NFC芯片數據被盜的風險并不比在網上或在餐廳中使用信用卡大，我們在購物站點上消費時所提供的信用卡數據遠比NFC芯片泄漏的要多。在餐廳，我們需要將信用卡交給商家，商家可以盜取包括CVV驗證代碼在內的所有數據，甚至還可以復制我們的信用卡。唯一不同的是盜取NFC信用卡數據的攻擊者可以不用接觸我們的信用卡，這加大了我們保護信用卡數據的難度。

要避免陌生人讀取信用卡的數據，有一個簡單的技巧，那就是用一個金屬防護罩或鋁箔屏蔽配備NFC芯片的銀行卡。而要徹底避免可能因NFC芯片泄漏數據而產生的信用卡被盜用風險，則只能夠依賴金融機構對于商家的規范化管理，例如確保信用卡必須在驗證CVV代碼之后方可使用。以往，國內大部分金融機構與國外的金融機構一樣，用戶無需為信用卡被盜用的損失負責，但是2012年法院出現判定持卡人必須為信用卡被盜用負部分責任的案例，在金融機構沒有改變這種試圖讓持卡人為此負責的做法之前，是否應該拒絕使用NFC信用卡以避免可能存在的風險是一個值得深思的問題。

中繼攻擊：NFC攻擊的明天

以色列特拉維夫大學的兩名研究人員進一步揭示了無線通信支付方式的危險。按照研究人員的介紹，使用他們的中繼攻擊法，可以盜用NFC信用卡的所有數據，即使卡和讀卡器之間使用了強大的身份驗證和加密算法。

所謂的中繼攻擊，就是用一個自制的讀卡器和假卡來實現攻擊。黑客可以在被害人和銀行終端之間通過中繼器傳輸信用卡的數據，實時盜用被害人的信用卡數據進行交易。一個想象中的攻擊場景：小偷接近一個帶有NCF芯片信用卡的人，讀卡器激活信用卡并將數據轉發到附近的假卡上，并在同一時刻使用假卡冒充真卡進行交易。

據研究人員的介紹，中繼攻擊最大的困難是使用讀卡器激活被攻擊者身上的信用卡，因為根據相關的ISO標準規范，讀卡器的有效讀取距離只有100mm。不過，研究人員已經克服了這一困難，他們通過增強讀卡器的發射信號強度，將有效讀取距離加大到了500mm，并能通過軟件過濾產生的干擾，實現了近乎完美的遠距離數據傳送。讀卡器與假卡之間的數據傳輸距離可以長達50m，黑客可以在較遠處的消費場所盜用被害人的信用卡數據進行消費。

幸好，目前這種攻擊仍然只存在于技術層面上，因為它必須在NFC芯片的信用卡被廣泛使用之后才可能出現。然而，這種方法讓我們不難預見，未來NFC支付方式可能存在的危險有多高。

在線服務：竊取數據更容易

攻擊在線服務站點是獲得用戶信息更簡單的途徑，只需要成功侵入一個網站的數據庫，即可獲得數以十萬計的用戶姓名、電子郵件、賬戶數據和信用卡號碼。而大部分人在其他網站上也會使用同樣的賬號和密碼，或者使用相關的信息作為網站取回密碼的驗證信息。因此攻擊者可以通過收集到的信息，輕松地進入許多大型購物網站和電子支付站點的賬戶，獲得這些賬戶里的錢。

在攻擊者對入侵在線服務站點的興趣越來越濃厚的同時，各大網站被黑客入侵，泄漏大量用戶數據的丑聞也在頻頻發生。時至今日，泄漏用戶數據的網站名單已經很長，而其中也包含大量國內的中文站點。基本上，用戶在線存儲的信用卡資料完全沒有安全可言，許多在線服務站點在沒有能力保護服務器安全的同時，也沒有妥善地保護用戶的個人信息。索尼公司的游戲站點在被黑客攻擊之后，泄漏的不僅僅是用戶的賬戶名和密碼，甚至還包括用戶的信用卡數據。該公司將這些對于用戶來說萬分重要的數據以未加密的形式存儲在服務器上，唯一受到保護的僅有信用卡的CVV驗證代碼。

除了入侵網站數據庫以外，攻擊者還有許多方法可以盜取用戶的個人信息，例如很多人所熟知的釣魚郵件。

QR代碼：圖形化的惡意代碼

對于釣魚郵件或者釣魚網站的鏈接，有經驗的用戶可以在鼠標指向鏈接時，在狀態欄中觀察鏈接的實際地址并發現可疑的蛛絲馬跡，但是通過QR代碼（二維碼）隱藏的圖形化鏈接，由于無法直接查看，所以即使有經驗的用戶也可能會毫無防備地打開。類似的攻擊對于經驗不足的用戶將更加有效，在用戶通過一個QR代碼打開一個網站時，會更容易被帶到一個釣魚網站上。這并非危言聳聽，2011年年底，安全公司卡巴斯基實驗室已經在許多網站上發現了隱藏惡意代碼的QR碼。

國外電子支付服務站點PayPal也使用QR碼來引導手機用戶進行消費，開發人員清楚這些代碼可能存在的危險。PayPal的QR代碼只能用于官方的iOS和Android應用程序，這看起來似乎很安全。但其實危險仍然存在，因為智能手機本身可能存在病毒或者惡意軟件，這對于智能手機來說并不是什么新鮮事。而在智能手機本身可能被竊取數據和控制的情況下，通過手機處理和操作一切數據都不再有任何安全性可言。

智能手機：刷卡的風險

智能手機的病毒與惡意軟件除了可能影響QR碼的應用安全以外，也會影響其他通過智能手機操作和驗證的電子支付服務。

PayPal的“PayPal Here”以及國內的“卡拉卡”等電子支付方式允許用戶在智能手機上通過麥克風端口連接一個讀卡器，并安裝相應的應用程序，讓任何人都可以隨時隨地刷卡和接受他人的信用卡付款。這種電子支付方式極大地擴展了信用卡的使用范圍，為許多用戶提供了方便。但是類似的設備除了可能被濫用以外，還為攻擊者提供了更多的機會，因為智能手機是很容易被操縱的，而恰恰絕大部分智能手機用戶對于系統以及相關安全知識都一無所知。

攻擊者只需要在智能手機系統的后臺運行一個惡意軟件，即可隨意地復制刷卡信息。只要智能手機存在漏洞，這一原本極具吸引力的電子支付功能將變得非常危險。因而，如果無法確定智能手機的安全性，那么就需要謹慎地考慮是否使用類似的支付方式。

略讀器：讀取銀行卡

磁條缺乏安全性是眾所周知的事情，它已經被定位為落后過時的技術，但是時至今日大部分的信用卡和儲值卡仍然必須依賴它。為了盜取銀行卡磁條中的數據，攻擊者使用被稱為“略讀”攻擊的手段，在自動取款機上安裝所謂的略讀器來讀取磁條信息。為此，許多銀行正開始升級他們的自動取款機，例如使用被稱為“蛙嘴”的特殊形狀銀行卡插入口，或者在銀行卡插入插槽時增加抖動和抽搐的動作，讓攻擊者難以在卡槽上安裝略讀器，或者即便已經安裝了略讀器也無法正常地讀取磁條。此外，銀行逐漸加強了內部的安全機制，因而自動提款機的略讀器攻擊已經變得越來越少見了。根據銀行所獲得的信息，目前“略讀”攻擊已經逐漸從銀行的自動取款機轉移到超市等設備相對落后的地方。

此外，歐洲以及國內的許多金融機構，正開始推廣集成EMC芯片的銀行卡以取代使用磁條的銀行卡，但是由于許多終端設備仍未更新換代成支持EMC的銀行卡，因此許多EMC銀行卡仍然帶有磁條。而且，EMC芯片本身也存在一些安全隱患，早在2010年，劍橋大學的研究人員已經發現了EMC卡可能存在的安全漏洞，能夠使用任意的密碼驗證被盜的銀行卡。

在2011年12月1日，在加拿大溫哥華的安全會議上，一些研究人員演示了如何通過一個非常薄的略讀器窺探EMC卡的密碼，不過，由于無法從EMC卡中讀取到所有的信息，所以在沒有原卡的情況下密碼沒有任何作用。

黑客遠程攻擊：破解終端

攻擊自動取款機和其他的銀行卡終端，通常需要在銀行卡的終端設備上安裝一個硬件，例如所謂的略讀器。不過，柏林的安全研究實驗室（SRLabs）的安全專家托馬斯羅斯已經發現了一種不需要硬件即可實現攻擊的方法，那就是直接入侵銀行的終端設備。事實上，銀行終端設備使用的系統同樣可能存在安全漏洞，甚至它們有的還在使用我們耳熟能詳的Windows系統。因而，攻擊者只要能夠知道終端設備的IP地址，就同樣能夠通過緩沖區溢出等漏洞攻擊銀行終端設備。

除此之外，也有一些攻擊者通過銀行卡讀取器等銀行終端，利用終端的調試接口直接進行破解。在終端設備被破解的情況下，用戶的銀行卡信息自然是一覽無余，攻擊者甚至還可以輕松地改變交易的內容，變更交易金額和窺探銀行卡的密碼。而對于用戶來說，類似的攻擊根本防不勝防。幸好，在銀行終端被入侵導致用戶銀行賬戶出現問題時，金融機構很難將責任歸咎于用戶。

銀行如何追查詐騙案

銀行大多不愿意透露他們是如何保護自己免受攻擊和發現數據竊賊的，根據安全專家提供的有限信息，金融機構安全專家通常會積極地與執法部門合作，盡快地發現可能存在的危險。銀行通常采用自主研發的監控系統，實時收集系統內的各種交易信息，并有大量的人員專門負責從收集到的信息中發現可疑的交易。例如一個客戶的信貸額度耗盡，并且這種消費方式和速度與其以往的習慣不同，在有疑問的情況下，銀行通常會盡快聯系客戶確認其賬戶的安全。

如果出現幾個存在共同點的案件，安全專家將盡快分析案件，找出其共同點和出現問題的原因。例如檢測結果可能顯示案件皆出現在加油站旁的某一臺終端上，那么該終端設備可能被操縱。不過，根據銀行安全專家的介紹，目前，大約75%的案件源自互聯網，通常此類案件很難排查，更難以根除。

保護自己免受攻擊

使用預付費卡

如果只是偶爾進行在線付款，那么使用預付費卡替代信用卡是比較好的選擇，即使出現問題，我們損失的也只是卡內的有限資金。

保護：自動柜員機（ATM）、網上服務。

檢查鏈接和QR代碼

郵件中的鏈接必須仔細檢查后才可以訪問，鼠標停留在鏈接上時我們可以看到鏈接的真實地址。而QR碼則需要專用的應用程序才能夠檢查其真實性，例如“Barcode Scanner”和“BeeTagg QR Reader”。

保護：在線服務、網上銀行、本地數據。

電腦和手機都必須使用最新的防病毒軟件

只有最新的防病毒軟件才能夠保護我們，除此之外，我們還必須為電腦準備能夠恢復系統的救援光盤，例如“Sardu tool”（www.sarducd.it）。

保護：在線服務、網上銀行、本地數據。

開啟短信確提醒

開啟所有銀行和電子支付服務的短信提醒功能，確保在銀行和電子支付賬戶資金出現變動時，能夠在第一時間知道并及時進行處理。

保護：自動柜員機（ATM）、網上服務、網上銀行。

使用多個密碼和郵件地址

包含敏感信息的網上服務決不使用通用的密碼，而且盡可能不要和其他網站使用同一個電子郵箱作為用戶名，避免在電子郵箱受到攻擊時波及其他網站的賬戶。

保護：在線服務。

處理意外事故

凍結銀行卡

提前了解凍結銀行卡需要的手續與注意事項，以便在銀行賬戶出現異常時，能夠在第一時間凍結賬戶資金，確保將損失降到最小。

信用卡盜刷

了解自己所使用的信用卡被盜用時的責任認定標準與追訴期限，在期限內定時檢查信用卡對賬單，及時發現并追回被盜資金。

使用電子支付服務的安全服務

檢查自己所使用電子支付服務能夠提供哪些額外的安全服務，開通一切能夠增加安全性的服務，并提前了解賬戶被盜或者出現異常時的解決方法。

使用電子支付移動證書

支付寶等電子支付服務可以申請支付盾，這是一種存儲在硬件上的移動證書，這樣即使我們支付寶賬戶被盜，也不會損失任何資金。

竊賊如何盜用NFC卡

小偷接近一個帶有NFC芯片信用卡的人，讀卡器激活信用卡并將數據轉發到附近的假卡上，再使用假卡以真卡的數據進行交易。

難以發現的略讀器

EMC略讀器背面是存儲數據的零部件，略讀器的正面與EMC的芯片接觸。略讀器是如此之薄，可以安裝于各種銀行卡插槽上，輕松讀取插入的銀行卡的密碼。

帶震動功能的寬闊插槽

銀行為解決略讀器的問題，會采用特殊設計的銀行卡插槽。

破解終端設備

安全專家發現部分銀行終端設備存在漏洞，通過漏洞可以滲透進終端，甚至能夠通過互聯網上的惡意軟件進行操作。在德國大約有30萬的銀行終端設備受到影響。

安全監測

Targobank的安全監測系統，能夠監控所有的交易，在出現可疑情況時發出警報。

境外購物支付方式

當我們在國外使用信用卡支付時，收款方依照當地銀行認證的客戶身份請求進行授權。請求通過網絡運營商轉發到服務提供商（收單銀行）進行支付數據處理。信貸機構將請求發送到國內服務供應商，并從那里轉發到銀行總部，銀行的客戶數據處理中心將檢查并給予我們的信用卡以授權，讓我們可以成功完成支付。