一周要闻:POS终端安全堪忧

新的研究表明,销售点终端机的安全性不佳,易受日益复杂威胁的攻击;本月第二个星期二是补丁日,所有常用软件供应商都将在这天提供安全补丁;美国热门的短网址服务商Bitly承认受到不明攻击,用户数据外泄。 POS机 销售端(简称POS机)只是收银机的另一种叫法。当然,我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前,几乎所有零售场所或餐厅都安装有POS系统,支持客户直接刷借记卡或信用卡。但遗憾的是,最新的报告发现,众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是,其中多数POS系统在安全防御方面差强人意。 实际上出人意料的还不止于此,想想吧,在一台有漏洞的POS机上处理过一笔交易后,交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。 Bitly本周受到攻击导致数据外泄,该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日,微软发布了多个补丁。 最近,网络监测公司Arbor Networks发布的一份报告中,列出了至少五个专用于攻击POS系统不同恶意软件。此外,Verizon发布的《数据泄露调查报告》指出,2013年发生的不同POS机入侵事件达198起。另外还有大家知道的,近期Target、美国精品百货店内曼•马库斯(Neiman Marcus)、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击,都导致了大量消费者数据外泄。 对此,你能做些什么呢?你可能会毁了所有信用卡和借记卡,在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻,一旦知道光顾过的公司发生数据外泄事件,即刻采取相应行动。您需要检查信用卡或借记卡余额,确保没有可疑交易,也可以联系银行取消所有可能资料外泄的卡,并换用新卡。 Bitly被攻击 美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击,导致数据外泄。如果你持有或之前有过Bitly帐户,应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险,但尽管如此,公司仍敦促客户更改密码。Bitly还宣布说,为了防范日后再发生此类数据泄露事件,公司将实施双重认证。 我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码,则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。 最后要指出的是,Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 - 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户,用户得重新对这些连接进行认证。但麻烦的是,用户还须更改曾通过Bitly链接的所有社交帐户的密码。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。 周二补丁日 简要地说,本周就是周二补丁日,Adobe和微软都为自己用途广泛的产品发布了补丁,同时发布补丁的还有Google Chrome。微软发布了8个安全公告,其中有两个的安全等级属于”高危”,这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞,同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞(Google为发现并报告这些漏洞的研究人员支付了4500美元)。 就我们讨论的这个话题,用户几乎不可能对其专业细节穷根究底,所以在此我们不妨提一下,Linux内核中有5年历史的漏洞已发布补丁,另外部分日本横河电机的工业基础设施设备也有若干补丁发布。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外,还应检查日本横河系统和Linux发行版,确定是否未更新。

新的研究表明,销售点终端机的安全性不佳,易受日益复杂威胁的攻击;本月第二个星期二是补丁日,所有常用软件供应商都将在这天提供安全补丁;美国热门的短网址服务商Bitly承认受到不明攻击,用户数据外泄。

POS机

销售端(简称POS机)只是收银机的另一种叫法。当然,我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前,几乎所有零售场所或餐厅都安装有POS系统,支持客户直接刷借记卡或信用卡。但遗憾的是,最新的报告发现,众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是,其中多数POS系统在安全防御方面差强人意。

实际上出人意料的还不止于此,想想吧,在一台有漏洞的POS机上处理过一笔交易后,交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。

Bitly本周受到攻击导致数据外泄,该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日,微软发布了多个补丁。

最近,网络监测公司Arbor Networks发布的一份报告中,列出了至少五个专用于攻击POS系统不同恶意软件。此外,Verizon发布的《数据泄露调查报告》指出,2013年发生的不同POS机入侵事件达198起。另外还有大家知道的,近期Target、美国精品百货店内曼•马库斯(Neiman Marcus)、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击,都导致了大量消费者数据外泄。

对此,你能做些什么呢?你可能会毁了所有信用卡和借记卡,在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻,一旦知道光顾过的公司发生数据外泄事件,即刻采取相应行动。您需要检查信用卡或借记卡余额,确保没有可疑交易,也可以联系银行取消所有可能资料外泄的卡,并换用新卡。

Bitly被攻击

美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击,导致数据外泄。如果你持有或之前有过Bitly帐户,应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险,但尽管如此,公司仍敦促客户更改密码。Bitly还宣布说,为了防范日后再发生此类数据泄露事件,公司将实施双重认证

我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码,则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。

最后要指出的是,Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 - 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户,用户得重新对这些连接进行认证。但麻烦的是,用户还须更改曾通过Bitly链接的所有社交帐户的密码。

另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。

周二补丁日

简要地说,本周就是周二补丁日,Adobe和微软都为自己用途广泛的产品发布了补丁,同时发布补丁的还有Google Chrome。微软发布了8个安全公告,其中有两个的安全等级属于”高危”,这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞,同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞(Google为发现并报告这些漏洞的研究人员支付了4500美元)。

就我们讨论的这个话题,用户几乎不可能对其专业细节穷根究底,所以在此我们不妨提一下,Linux内核中有5年历史的漏洞已发布补丁,另外部分日本横河电机的工业基础设施设备也有若干补丁发布。

另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外,还应检查日本横河系统和Linux发行版,确定是否未更新。

安全使用信用卡-线上与线下用卡无忧

有关最大型零售连锁店Target发生大规模数据泄露的报道,再加上一直耳闻的网上诈骗,你很可能会想,使用信用卡到底好不好。使用信用卡当然好!毕竟用卡比钱包里装很多现金要安全得多,而且目前在网上购物时也没有其他可行的替代办法 – 不管你是买手机应用也好还是买汽车也好,都得用卡付款。所以,虽然有安全隐患,但银行卡还是个好东西。只要想办法保证”虚拟钱包”不为窃贼大开方便之门就好。 选择合适的银行卡 在银行卡市场上,没有一种放之四海皆准的通用解决方案。目前市面上有美国运通卡(AmEx)、万事达卡(MasterCard)、Visa卡、银联以及许多本地支付体系。银行卡分为信用卡和借记卡,这两种卡在有些市场上有很大差异。针对各种不同场合,您可能需要使用两种、三种,甚至更多种卡 – 其中每种卡都有自己的一套安全措施。通常,信用卡在许多层面的安全性更高。银行用于核查信用卡交易的安全流程更严格。在许多国家,信用卡购物已投保,保护信用良好的持卡人绝不会因欺诈性交易而损失资金。此外,有些国家的犯罪分子坚决不用信用卡交易,因为被告发的风险太高。上述理由说明了信用卡更安全,但并不代表信用卡无懈可击,也没法保证用卡一定安全,所以不能光选择信用卡,而忽视其他所有安全措施。 信用卡的安全等级通常更高,所以犯罪分子往往避免利用信用卡作案。但防范措施并不是无懈可击的,不能就此忽视完善安全措施。 选择支付体系时,请考虑卡的计划用途。虽然有许多”全球性”银行系统,但目前只有万事达卡和Visa卡几乎能在所有国家通用,没有大片的未覆盖区域。对于欧洲人或频繁去欧洲出差的人来说,万事达卡可能是最好的选择,因为欧洲有些ATM机只接受万事达卡。但明显例外的地方是中国(当地法规严格,所以在中国最好是选择银联)和奥运城(奥运会举办期间,官方场馆只接受Visa卡)。更重要的是,万事达卡和Visa卡在技术和安全性方面遥遥领先。而且,它们能强制整个行业实施安全解决方案。 选择卡时应该深入了解的最重要事项是银行的利率和服务内容,同时还要考虑安全措施。请查看银行网站的”安全建议”部分,了解一些常规小贴士,比如”不要把卡交给陌生人”,除此之外,还能找到这家银行为客户提供的可用安全工具列表。下面列出了要留意的有用安全工具。 卡片安全工具 芯片卡。所谓的芯片卡(更正式的叫法是”EMV卡”)在欧洲各大银行的使用很普遍,但在美国、加拿大及其他一些地区还属于新兴事物。这种卡除了有磁条外还装有芯片,安全性更高,能阻止大多数盗取卡中数据进行克隆的行为(比如Target数据入侵、ATM机盗刷器及其他手段)。芯片卡仍兼容旧的读卡机(刷卡机),万事达卡和Visa卡要求最晚到2015年底必须全部采用芯片卡。各家支付体系威胁说,从2016年开始,对于因使用非EMV卡而发生的欺诈交易,他们不会负责赔偿。 芯片和PIN码。芯片为商家或银行读卡提供了更安全的新方法,但仍需要对持卡人进行认证。对于老卡,认证是通过签名来完成的,但商家通常并不会检查签名的真伪,所以通常很容易伪造。另一种方法是每次购物交易都要求输入4位PIN码,此方法目前已在ATM机上实施。这种方法和在凭条上签字一样快,但要安全得多。 更改PIN码。PIN码使用方便,但并不是标准功能;它允许客户把预定义的PIN码更改为更容易记住的PIN码。此外,有些银行不允许重新签发忘记了PIN码的卡。重要提示 – 避免使用简单的PIN码,比如生日或四位连续数字。 卡附照片。这种方法极为简单,是将持卡人的照片整合到卡设计中,但却能有效地防止被盗卡用于大型零售店。 即时通知。即时通知通常是通过短信发送,利用这种简单的功能,可以即时检查提款额是否正确。提款后几秒内就能收到短信,其中包含准确的交易描述和被扣总额,有助于发现欺诈收费和帐单错误。及时通知能让纠纷处理变得简单得多。 对用于网上支付的所有卡启用万事达卡安全码/Visa卡验证。#支付#安全性#小贴士 3D验证服务。此功能可提高网上交易的安全性。虽然各品牌有不同的叫法(Visa卡验证,万事达卡安全码,J/Secure,美国运通卡安全密钥等等),但本质上是一样的-银行和支付系统会向用户验证每笔网上交易。通常验证分成两步。第一步,在商家网站(或商家支付处理器网站)上输入信用卡详细信息;第二步是页面会重定向到用户所用银行的专用页面,在其中用户使用专用密码来确认购买。在某些实施的验证服务中,要求输入的只是辅助静态密码(没那么安全);但最新实施的验证服务要求输入通过短信发送的的一次性密码(非常安全,能防止网络钓鱼)。强烈推荐为经常在网上使用的所有卡启用此功能。 虚拟卡。虚拟卡是应对网络诈骗的另一种方法,它仅限用于网络购物,因为这种卡并没有对应的实物存在。用户可以通过网银即时办卡。所办卡可以是与主卡关联的副卡,也可以是独立的卡。对于第一种情况,此卡只能购物一次,之后即被封锁。而第二种情况,卡通过网银进行管理,以平衡安全性与便利性。可能采用的安全措施包括设置支付限额(每天、每月、总计),定期重办卡(每月、每周甚至每天一次,具体根据实际需要),使卡的余额保持几近于零(每次购物前都必须人工给卡充值)。 NFC。近场通信(NFC)从严格意义上来说并不是一种安全措施,而是一种无线技术。提到运用了这种技术的万事达卡PayPass和Visa PayWave,可能更为人所知。这种技术支持两个设备之间通过短暂接触来交换信息。相对于常用的磁条和EMV芯片,NFC芯片超小,可内嵌在卡中。要使用NFC进行交易,必须用卡轻触终端;甚至卡装在钱包中也不影响使用。这就提高了卡的安全性,因为无需把卡递给任何人,甚至根本不用出示卡。忘了拿卡或把卡放错地方的机会也大大减少。但是,NFC在银行领域的应用相对较新,而且作为一种无线技术(虽然是几厘米的超近距离),可能很容易受尚未知的探测方案的影响。这就是为什么我们建议支持NFC的卡只用于金额不大的小型交易,事实证明在这些场合使用即时非接触式支付方式最方便,例如公交车、加油站、快餐店、停车场等。简单的安全规则现在,你已选好银行和卡类型,并采用了所有可能的安全措施。使用带芯片和PIN码的卡,再加上3D验证服务和短信通知功能,不管是网上支付还是线下交易,都能大幅提高资金安全性,但这些保护功能只有你在执行了其他一些简单的安全规则后才有效。 不要直接把信用卡给孩子或配偶用,请为他们办理副卡。#支付#安全性#小贴士 不要把卡给任何人。显而易见,在一些常见情况下,这条规则实际遵循起来相当困难。在餐厅用餐后需要将卡交给服务员,让对方拿到结帐台去刷卡;或者你可能会把卡借给其他对你很重要的人或者自己的孩子。为了避免可能发生的不当使用,请一定不要让卡离开自己的视线,比如随服务员一起去账台结帐。在国外用卡时这一点尤为重要。为了更方便家人使用信用卡,你可以为孩子和配偶办理副卡。 不要在不安全的场所用卡。最危险的地方是街上的ATM机或者其他管理较松的公共场所的ATM机。在这里很可能发生盗刷行为,即通过尝试记录卡片详细信息和PIN码,然后制作复制卡来盗取卡中资金。此外,最好不要在太小的店或设备老旧的地方用卡。 切勿透露PIN码。没人有权要求你提供PIN码-绝无例外。不要将PIN码写在纸上。如果担心忘记,可以在手机上使用专用密码管理器(请阅读我们对iOS和安卓应用的评论)。在ATM机或POS终端上输入PIN码时,请用另一只手挡住键盘。不要让任何人离你过近,看到输入的密码。如果怀疑PIN码以某种方式被盗,请立即向银行报告。 报告任何问题。一旦遇到任何问题,不管是卡丢失还是卡内资金被意外提取,请立即向银行报告。时间非常关键,因为骗子也会抢时间刷被盗卡。 确保网上支付安全。简而言之,计算机中应该没有任何恶意软件,网络应该安全,而且连接必须加密。此外,还得确保连接到的是网店或银行的真实服务器,而不是假冒服务器。这些规则实际手动实施起来有一定难度;这也是为什么会推出简单的”套装”解决方案来自动进行所有这些检查。这种解决方案命名为”Safe Money”,是卡巴斯基安全软件和卡巴斯基PURE中的一个附带组件。

提示