“现实生活中”中的信用卡安全

每个人都在讨论HTTPS,并谨慎地在线使用信用卡或借记卡,但是什么原因使您认为线下使用银行卡安全呢?除我自己之外,我无法代表其他任何人。但是,我愿意打赌,当您进入杂货店、餐厅或加油站时,您会心甘情愿地将信用卡交给一些您从未遇到过或从未见过的人;仅是因为他或她站在类似于销售终端的机器附近,您会在潜意识中相信这位陌生人。   大学毕业后,我在开始撰写有关计算机安全的文章之前曾担任调酒师的职务。对于计算机安全我曾仅掌握一点极为皮毛的知识,并且无任何时间考虑有关网络安全的事务。我对什么是病毒无任何意识,不了解病毒如何工作,或为何有人要创造病毒,但我知道病毒对令人厌烦的旧指令销售终端来说是个坏消息。直到今天,我仍不能100%确定刷过信用卡后发生什么事情。但是,销售终端却多次出现故障,这使得我对系统的完整性产生质疑——亦即现如今我们称之为”终端至终端”的系统(消费者至零售商至信用卡发行者或银行,及上述两者之间的任何及一切联系)。 或许此时销售终端机仅引起我们的注意,但是当销售终端机在此出现故障时,我们已无法再次容忍这种状况,因此我们不得不打电话请求萨姆的帮助。萨姆是一名年仅16岁的本地高中生黑客及计算机爱好者。他有一头让人感到莫名其妙且长发及腰的金发,我想大概萨姆认为该发型是当时流行的发型吧。萨姆用了一晚上的时间(毕竟这是一家酒吧,需要在晚上工作),并为我们修复了系统。但只有萨姆及他的狐朋狗友杰西(曾在酒吧工作,但因偷窃酒吧的一瓶酒而被开除)了解如何修复系统。 我并未表达正是这两个男孩从幕后破坏销售终端的意思,也未表达酒吧设施过于粗疏的意思。实际上,我所工作的这个酒吧是当地颇受欢迎的酒吧,并且如果我的记忆没出错的话,萨姆最后毕业于乔治城大学的计算机专业;杰西也从一名惹是生非的年轻人成长为一名受人尊敬的成年人。或许我的表述不够规范,但我仅想向您表述,您真的无法了解销售终端的背后究竟出现什么问题。 那么,从实用主义观点来看,从信用卡以塑料卡的形式打印而出的那一秒起,到我们用剪刀将信用卡剪断的那一刻为止,我们应如何保证支付数据的安全呢?曾有人开玩笑的告诉我,我们应使用铅质钱包;其他人也曾建议称,我们应将钱包放在小偷难以窃取的口袋中。我同意上述观点,使用纽扣扣上处于身后位置的口袋,确实可以防止小偷偷窃。小偷需要极为灵巧的手指,在我毫不知情的情况下,才能从已经扣上的口袋中偷出我的钱包。 除了扒手外,您还要注意哪些您亲自把信用卡交付其手的人。曾经有一次,我在马萨诸塞州波士顿市理发后,当我询问极为友好的发型师,是否可使用信用卡时,发型师告诉我,理发店无法使用信用卡,但他的妹妹在街尾处拥有一家礼品店;我可以通过电话告诉发型师妹妹信用卡卡号,在他妹妹店内付款;然后,发型师的妹妹将向其支付理发费用的现金。但我友好的拒绝了这一提议。 同样,这种场景较为罕见,但应注意的是:当任何人希望记下您的信用卡卡号,或希望使用旧式刷卡机刷您的信用卡时,或许您应当做的是,向他支付现金。 ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。 ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。 上述内容甚至尚未提及ATM!如果您真的希望了解可怕性,则您可以阅读安全记者新闻网站中的文章及ATM诈骗器专家布莱恩 克雷布斯(Brian Krebs)发表的文章。值得庆幸的是,克雷布斯并非仅使用让人感到恐惧的语言予以描述,还已展示出有关诈骗设备的大量图片页面,并已对诈骗设备如何工作予以说明。 顺便说一下,ATM诈骗器仅是我们用于描述可固定在ATM上,当您将信用卡插入ATM机时,用于窃取信用卡数据的设备或装置。基于相同的意图及目的,相类似的诈骗器还可安装在销售终端及天然气终端的信用卡支付输入键盘上。在现实世界中,此类诈骗器等同于中间人攻击。如果您希望了解更多有关此类诈骗器装置如何工作的技术细节,那么我诚恳地建议您查看安全网站中克雷布斯发表的文章。 如果某人已黑进PoS机终端,或已经在ATM上安装诈骗器以从事意图不轨的工作,则您在收到可怕的数据泄露通知邮件(或电子邮件)之前,甚至都不会察觉此类坏人的存在。但是罪犯也是常人,因此罪犯也会偷工减料。再次提醒,除非您能拆开ATM,否则您无法注意到可能已安装的绝大多数诈骗器。尽管如此,我仍在使用ATM时,认真检查ATM机。我会晃动一下键盘罩,以确认键盘罩是否已牢固固定。我会查看显示屏周围及下方,以检查是否存在监视键盘的装置;通常情况下,我会通过拨弄一下显示屏周围,以确定一切处于正常状态。另外,我还会留意观察摄像头的位置,通过微型摄像头窃取ATM使用者信息的例子比比皆是。所有ATM都会配备摄像头,但此类摄像都应正对您的脸部,而不是正对键盘位置。我从来不是用街头的ATM机,并且避免使用处于监管区域之外的ATM机(亦即,我总是使用周围存在负责人,且容易被负责人看到的ATM)。银行中的ATM机是最佳选择,其原因在于,从理论上说银行员工懂得有关ATM诈骗器的知识,并懂得如何发现ATM诈骗器。根据克雷布斯的描述,ATM诈骗器的存在并非假设中存在的问题,美国安全服务部门宣称,2008年ATM诈骗金额高达10亿美元。该数据每年仍在不断增长。 黑客劫持销售终端的问题更为棘手。花些时间确定销售终端外壳是否处于完全无损及正常状态,肯定是终端用户值得做的事情;即便如此,储存及传输支付数据的销售终端也可能已遭破坏。销售终端的使用除需要点对点的安全保护之外,还需要保护其他诸多方面(再次提醒,需留意从你手中向收钱者支付的全过程)。一位安全专家层向我讲述下面的故事:罪犯穿着半官方性的制服,告诉某不知名零售店的员工,他们前来维修PoS系统。当然,他们并不是来维修系统,而是来安装诈骗器。我很难确定这个故事的真实性,但我却认为这个故事是现实中真实发生的事情。 请将销售终端的使用想象为扑克游戏;在玩扑克游戏时,您总是尽可能的使手放在近身位置,以防止其他玩家偷看。大大咧咧的将您的借记卡放在桌面上,等同于在网络上发布您的借记卡照片。在销售终端的使用时,您还需尽可能的少用笔。只要有机会,您就应当选择使用借记卡而并非选择使用信用卡。在此状况下,即便您已遭受销售终端诈骗,至少坏人无法掌握您信用卡的PIN编号。 最后,许多事情处于您可控制的范围之外。也就是说,您需要采取多种有效的处理措施:您应始终注意银行账户余额及信用卡余额。有些银行会设定ATM取款限额,因此如果在您遭受ATM诈骗时,诈骗者仅可取出限制范围内的现金款项。在可能的条件下,尽可能多的使用不同银行的不同信用卡也是不错的方法。试样一下:如果在您遭受ATM诈骗时,您希望被诈骗者掌控的是无任何取款限制的美国运通信用卡,还是仅可取款1000美元的其他银行信用卡?该方法同样适用于借记卡。我在出门时,从来不携带和生活储蓄账户相链接的借记卡。    

每个人都在讨论HTTPS,并谨慎地在线使用信用卡或借记卡,但是什么原因使您认为线下使用银行卡安全呢?除我自己之外,我无法代表其他任何人。但是,我愿意打赌,当您进入杂货店、餐厅或加油站时,您会心甘情愿地将信用卡交给一些您从未遇到过或从未见过的人;仅是因为他或她站在类似于销售终端的机器附近,您会在潜意识中相信这位陌生人。

 

大学毕业后,我在开始撰写有关计算机安全的文章之前曾担任调酒师的职务。对于计算机安全我曾仅掌握一点极为皮毛的知识,并且无任何时间考虑有关网络安全的事务。我对什么是病毒无任何意识,不了解病毒如何工作,或为何有人要创造病毒,但我知道病毒对令人厌烦的旧指令销售终端来说是个坏消息。直到今天,我仍不能100%确定刷过信用卡后发生什么事情。但是,销售终端却多次出现故障,这使得我对系统的完整性产生质疑——亦即现如今我们称之为”终端至终端”的系统(消费者至零售商至信用卡发行者或银行,及上述两者之间的任何及一切联系)。

或许此时销售终端机仅引起我们的注意,但是当销售终端机在此出现故障时,我们已无法再次容忍这种状况,因此我们不得不打电话请求萨姆的帮助。萨姆是一名年仅16岁的本地高中生黑客及计算机爱好者。他有一头让人感到莫名其妙且长发及腰的金发,我想大概萨姆认为该发型是当时流行的发型吧。萨姆用了一晚上的时间(毕竟这是一家酒吧,需要在晚上工作),并为我们修复了系统。但只有萨姆及他的狐朋狗友杰西(曾在酒吧工作,但因偷窃酒吧的一瓶酒而被开除)了解如何修复系统。

我并未表达正是这两个男孩从幕后破坏销售终端的意思,也未表达酒吧设施过于粗疏的意思。实际上,我所工作的这个酒吧是当地颇受欢迎的酒吧,并且如果我的记忆没出错的话,萨姆最后毕业于乔治城大学的计算机专业;杰西也从一名惹是生非的年轻人成长为一名受人尊敬的成年人。或许我的表述不够规范,但我仅想向您表述,您真的无法了解销售终端的背后究竟出现什么问题。

那么,从实用主义观点来看,从信用卡以塑料卡的形式打印而出的那一秒起,到我们用剪刀将信用卡剪断的那一刻为止,我们应如何保证支付数据的安全呢?曾有人开玩笑的告诉我,我们应使用铅质钱包;其他人也曾建议称,我们应将钱包放在小偷难以窃取的口袋中。我同意上述观点,使用纽扣扣上处于身后位置的口袋,确实可以防止小偷偷窃。小偷需要极为灵巧的手指,在我毫不知情的情况下,才能从已经扣上的口袋中偷出我的钱包。

除了扒手外,您还要注意哪些您亲自把信用卡交付其手的人。曾经有一次,我在马萨诸塞州波士顿市理发后,当我询问极为友好的发型师,是否可使用信用卡时,发型师告诉我,理发店无法使用信用卡,但他的妹妹在街尾处拥有一家礼品店;我可以通过电话告诉发型师妹妹信用卡卡号,在他妹妹店内付款;然后,发型师的妹妹将向其支付理发费用的现金。但我友好的拒绝了这一提议。

同样,这种场景较为罕见,但应注意的是:当任何人希望记下您的信用卡卡号,或希望使用旧式刷卡机刷您的信用卡时,或许您应当做的是,向他支付现金。

ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。

ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。

上述内容甚至尚未提及ATM!如果您真的希望了解可怕性,则您可以阅读安全记者新闻网站中的文章及ATM诈骗器专家布莱恩 克雷布斯(Brian Krebs)发表的文章。值得庆幸的是,克雷布斯并非仅使用让人感到恐惧的语言予以描述,还已展示出有关诈骗设备的大量图片页面,并已对诈骗设备如何工作予以说明。

顺便说一下,ATM诈骗器仅是我们用于描述可固定在ATM上,当您将信用卡插入ATM机时,用于窃取信用卡数据的设备或装置。基于相同的意图及目的,相类似的诈骗器还可安装在销售终端及天然气终端的信用卡支付输入键盘上。在现实世界中,此类诈骗器等同于中间人攻击。如果您希望了解更多有关此类诈骗器装置如何工作的技术细节,那么我诚恳地建议您查看安全网站中克雷布斯发表的文章。

如果某人已黑进PoS机终端,或已经在ATM上安装诈骗器以从事意图不轨的工作,则您在收到可怕的数据泄露通知邮件(或电子邮件)之前,甚至都不会察觉此类坏人的存在。但是罪犯也是常人,因此罪犯也会偷工减料。再次提醒,除非您能拆开ATM,否则您无法注意到可能已安装的绝大多数诈骗器。尽管如此,我仍在使用ATM时,认真检查ATM机。我会晃动一下键盘罩,以确认键盘罩是否已牢固固定。我会查看显示屏周围及下方,以检查是否存在监视键盘的装置;通常情况下,我会通过拨弄一下显示屏周围,以确定一切处于正常状态。另外,我还会留意观察摄像头的位置,通过微型摄像头窃取ATM使用者信息的例子比比皆是。所有ATM都会配备摄像头,但此类摄像都应正对您的脸部,而不是正对键盘位置。我从来不是用街头的ATM机,并且避免使用处于监管区域之外的ATM机(亦即,我总是使用周围存在负责人,且容易被负责人看到的ATM)。银行中的ATM机是最佳选择,其原因在于,从理论上说银行员工懂得有关ATM诈骗器的知识,并懂得如何发现ATM诈骗器。根据克雷布斯的描述,ATM诈骗器的存在并非假设中存在的问题,美国安全服务部门宣称,2008年ATM诈骗金额高达10亿美元。该数据每年仍在不断增长。

黑客劫持销售终端的问题更为棘手。花些时间确定销售终端外壳是否处于完全无损及正常状态,肯定是终端用户值得做的事情;即便如此,储存及传输支付数据的销售终端也可能已遭破坏。销售终端的使用除需要点对点的安全保护之外,还需要保护其他诸多方面(再次提醒,需留意从你手中向收钱者支付的全过程)。一位安全专家层向我讲述下面的故事:罪犯穿着半官方性的制服,告诉某不知名零售店的员工,他们前来维修PoS系统。当然,他们并不是来维修系统,而是来安装诈骗器。我很难确定这个故事的真实性,但我却认为这个故事是现实中真实发生的事情。

请将销售终端的使用想象为扑克游戏;在玩扑克游戏时,您总是尽可能的使手放在近身位置,以防止其他玩家偷看。大大咧咧的将您的借记卡放在桌面上,等同于在网络上发布您的借记卡照片。在销售终端的使用时,您还需尽可能的少用笔。只要有机会,您就应当选择使用借记卡而并非选择使用信用卡。在此状况下,即便您已遭受销售终端诈骗,至少坏人无法掌握您信用卡的PIN编号。

最后,许多事情处于您可控制的范围之外。也就是说,您需要采取多种有效的处理措施:您应始终注意银行账户余额及信用卡余额。有些银行会设定ATM取款限额,因此如果在您遭受ATM诈骗时,诈骗者仅可取出限制范围内的现金款项。在可能的条件下,尽可能多的使用不同银行的不同信用卡也是不错的方法。试样一下:如果在您遭受ATM诈骗时,您希望被诈骗者掌控的是无任何取款限制的美国运通信用卡,还是仅可取款1000美元的其他银行信用卡?该方法同样适用于借记卡。我在出门时,从来不携带和生活储蓄账户相链接的借记卡。

 

 

为您的数据加密的原因

人类已发明多种保护其秘密的方法。在古罗马时期,贵族如果需要发送私人信件,则会剃光一个奴隶的头发,并将信件写在奴隶头皮上,直到奴隶的头发再次变长后,将奴隶送至收件人处。当然,在二十一世纪的今天,我们不需要使用时间如此之长的加密方法,并且我们需要更为稳健的保护。幸运的是,最初军队用于破解密码的计算机,现在可使我们通过加密的方法,近乎完美的保护我们的私人秘密信息。在很长一段时间内,仅政府可以使用安全性强的加密方法,但现在任何计算机用户都已可使用该方法。更重要的是,即便是您从未考虑过该方面的问题,实际上您一直拥有值得加密保护的秘密信息。   当我们开始讨论加密及保护时,有人总是会生活:”我没有任何需要隐藏的秘密”。但是,通常来说他们的意思是:”我认为没有人会为进入我的智能手机或笔记本,以发现一些有价值的事项而费神。” 但实施证明,这种希望是不真实的。对于您周围的人来说,保存在家庭计算机上的一份文件或您放置在卧室中的手机将很快成为他们检查的目标。您是否已准备好向您的妻子、兄弟或孩子,展示您的所有信件、图片及文件?或许在您的信件、图片及文件中并未保存任何不良信息,但或许您仍不想将此类信息和他人分享。您是否已准备好将您的信用卡卡号及PIN码告诉您仅十几岁的孩子?将您的Gmail或Facebook密码告诉您的妹妹?向您的朋友展示您的所有家庭照片(您的朋友可能会到访您的家庭,并借用您的电脑15分钟)? 您是否真的希望向您的妻子解释,娜塔莎只不过是您工作所处公司中,另外一个部门的同事,及您所讨论的”明日见面”实际上是参加由十名与会者参加的业务会议? 当然,如果恶意应用程序感染您的计算机,这个故事将变得更为尴尬。在网络犯罪的世界中,近期流行的趋势是:使用恶意软件从您的计算机中偷窃所有具有潜在价值的信息:文件、图片、密码、保存在网页浏览器中的网页地址等一切事物。 在您被偷窃的图片中,通常包含有扫描图片文件;如,您驾照的图片及其他可能会被欺诈及身份盗贼使用的重要文件。现实生活中,甚至存在包含隐私信息的图片遭偷窃后,被别人恶意勒索的真实案件。 另外一件可能会对用户造成灾难性影响的是用户丢失的手机。鉴于丢失的手机中通常包含诸多有价值的隐私信息,因此一些”高级”窃贼并非仅出售这些被盗的用户手机,而是扫描用书手机中的内存,以找寻诸如用户密码及移动银行密码/应用程序等有用的数据。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。 可解决一切烦恼的同一答案 对于您的信息来说,可能存在许多潜在威胁。但是,通过禁止陌生人及未成年人使用您的家庭计算机,及使用PIN码锁定您的手机屏幕等方法,可为您的信息提供保护。 另外,当前还存在更为普遍的方式,使信息仅可由合法所有者读取。如果隐私信息以加密的形式保存,则可以避免所有尴尬的时刻及意外事件。 即便在您并未意识到的条件下,当您通过HTTPS查看Gmail或银行信息时,或当您使用流行的GSM手机网络和朋友打电话时,您实际上已在使用加密方法。但是,我们希望关注另一重要的方面——加密您储存在计算机或智能手机中储存的数据。 什么是加密 加密是信息转化进程,通过该进程可使未经授权的第三方无法阅读信息;而受信任的人可以经数据解密后,按照信息的原始形式访问信息。当前存在多种常用的加密/解密方法,但保证信息安全性的关键因素并非使用先进的加密算法,最重要的因素是确保加密密钥(密码)处于保密状态,并仅使受信任的各方了解您的加密密钥。   非常重要的是,应区分编码和加密之间的区别。编码同样也可用于传输信息,但通常情况下,用户便捷的储存或传输信息,而并非用户保护秘密信息。众所周知的编码方法包含莫斯密码,及计算机存储所使用的二进制编码。 您的数字保险箱 为确保文件加密,最为便捷的解决方案是创建加密库(亦即,众所周知的加密容器)。在您完成创建进程后,加密库将在您的系统中显示为独立的硬盘盘符。您可以向加密库中保存或复制任何文件,其使用方法类似于USB记忆棒。加密库和USB记忆棒之间最重要的区别在于,加密库物理容器仅是一个在您硬盘上创建的大文件夹,您可以使用专业软件(如,卡巴斯基PURE)访问加密库。您在加密库中保存任何文件时,加密库都将为该文件”飞速”加密,并保存至加密库中大容量文件夹中。 访问您的计算机的任何人都可查看甚至偷窃(复制)加密库文件,但对于窃贼来说,查看及偷窃加密库文件并不能使窃贼访问您的信息。在加密文件中仅保存有随机排列的字符,为找到正确的密码,以将窃贼保存在其磁盘上且满是垃圾字符的加密文件转化为可读文件,可能需要耗费窃贼若干年的时间。 当然,为使得加密容器可以获得有效保护,您必须遵循一些基本的原则: 您的加密密钥(密码)是唯一防止他人访问您加密信息的关键因素。因此,您必须使用长而复杂,且难以被他人猜测的加密密码。点击这里,查看我们在创建良好密码方面为您提供的建议. 您必须在加密盘符中储存所有隐私信息。 了解加密密码的任何人都可阅读加密库中储存的所有文件。如果您有各种不同类型的信息,并希望不同的用户访问不同类型的信息,则您需要创建使用不同密码的多个加密库。 非常重要的一点是:请不要安装加密驱动器。如果您安装加密驱动器,则任何人可以向从普通盘符中偷窃您的文件一样,偷窃您的加密文件。仅在需要加密重要数据时,安装加密驱动器,并在完成加密进城后,立即卸载加密驱动器。 如果加密库文件夹遭到破坏,则您将丢失储存在该文件夹中的所有文件。这也是为何经常备份加密库文件夹非常重要的原因所在。 对您的计算机实施全面保护——我们建议使用卡巴斯基PURE,为您的加密密码提供保护,以抵御木马及键盘记录程序的攻击。如果您的计算机中存在正在运行的键盘记录程序,则您所有的加密努力都将白费。 智能手机的安全性 在智能手机被盗的条件下,为保护用户的数据,移动手机操作系统供应商已开发出具有加密功能的操作系统。用户重要的信息将以加密的形式储存在手机中,并且仅当用户每次输入PIN码后,方可解锁其手机设备。苹果公司禁止用户修改加密设置,但当您启动密码保护时,苹果手机产品可为您的多种信息加密。在安卓安全设置中,存在全部内容加密选项。通过使用该功能,在未使用密码的条件下,所有用户数据都处于不可访问状态。为确保您可以获得最大程度的保护,我们建议您使用最新的移动手机操作系统——iOS

提示