网络

24 文章

银行卡:安全隐患无处不在

我们(以及其他许多网络安全博客)常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天,我们将讨论那些表面看上去并不危险,但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码(印在信用卡背面的三位数字)才能完成在线交易。然而,有些网店却能跳过这一步骤,且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk,他是这样评论道的:”要完成在线交易通常需要提交这些认证信息:卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片(持卡人姓名的字母在卡表面凸起显示)在在线支付时使用得更加频繁,且通常来说这些卡的级别较高,比如:VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候,如果能确定是”高品质”买家的话,卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称,一些新兴市场的 “高品质”客户并非都能享受到如此的优待,而通常来说支付系统也会部署更多的安全等级,但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话,完全可以向银行申请退款,在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准(VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”)的网店进行在线交易—作为一种双重认证方式,交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是,网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护,但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短,且所涉金额较小。即使遭受黑客入侵,主卡的支付认证信息也不会被泄露。 正如你所知的,将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期,那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息,就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品,人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明:”ELECTRONIC USE ONLY(仅限电子联机交易)”。 许多人都误认为这样的卡无法用于在线交易,但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说:网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动,持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算:从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。

形影不离:谁在互联网上追踪我们

一旦用户浏览类似于笔记本电脑或炖锅等商品,以后每次打开浏览器,相关的网店广告将从此形影不离。这正是所谓的”上下文广告”推广:大量追踪用户在线活动的合法方式。今天,我们将教会您如何摆脱这些最常见的已知追踪者。 谁在监视我们? 这个问题的答案即简单又复杂:基本上来说,每一个人都有嫌疑。 用户受到几乎所有流行资源的追踪,但广告网络服务首当其冲;最流行的广告网络服务包括:Google关键字广告(双击)、Oracle Bluekai、Atlas Solutions(隶属于Facebook的一个事业部)以及AppNexus等等。这些网络服务都受到类似于存取计算器和其它网页分析工具的追踪。 社交网络同样不甘落后。流行的视频分享网站(例如:YouTube)、AddThis社会性书签服务以及评论Disqus插件同样也在密切追踪用户。而社交网络并不仅仅只追踪你在评论墙上的活动;如今,所有网站均采用流行网络服务提供的按键或窗体小部件,从而实现对用户的进一步追踪。 追踪方法 追踪的方法有许多。许多网站均具备获取基础用户数据的能力:浏览器会自动泄露你的IP地址、软件版本信息或所用显示器分辨率等内容。将所有各种看似无关的信息整合到一起后,广告商完全能仅凭这些信息为用户量身定制广告方案。 Cookies是在浏览会话结束后保存的小文件,里面含有验证信息、系统预设以及经常访问的网站板块等。凭借每一名用户的唯一识别符,重复最多的Cookies被用于追踪用户并收集相关数据。 正如我们所注意到的,社交网络按键是一种功能强大且使用方便的追踪工具:此外,与普通网页恰恰相反的是,社交网络是通过你的名字了解到你,因此能够收集到很大一部分的额外数据。 另外还有一些不太常见的追踪方法,且适用范围有限。例如,Adobe Flash插件部署了能存储可追踪的”局域对象”的系统。一台PC电脑还可通过高速缓存浏览器内容被识别出来。其实这样的方法还有很多。 追踪对于用户而言有何危害性? 我们对广告商所积累的数据类型和容量几乎一无所知;你永远无法弄清其中的真相,而用户协议的真实法律效力也无从考量。对此你只能大概地去猜测。 在线追踪根本与其表面看似的无关联性可谓大相径庭。尽管在互联网上的一举一动都受到监视,但依然有一个始终缠绕心头的问题摆在我们面前:谁可能想要得到互联网公司苦心收集(无论是出于善意的还是恶意的)的庞大数据量? 没有任何证据表明这些信息被安全地保存:成千上万用户登陆凭证遭泄的大型隐私外泄事件常常成为各大报刊的头版头条。这也是为什么每一名用户都应该行动起来,抵制互联网公司再如此肆无忌惮地收集您的信息。 保护方法 其实也有一种万无一失的方法:关闭自己的PC电脑并将它锁在一个安全的箱子里。 首先,更改一些浏览器的设置。你可以有效避免被追踪;如此,浏览器将会通知网络资源你不想共享用户数据,并打上一个大大的”标题”:请勿追踪。这一方法的前提是追总代理足够诚实,因此其有效性依然打上了一个问号:许多网站通常都会忽略”请勿追踪”。 此外,用户必须禁用自动扩展安装并启用阻止可疑网站和弹出窗口的功能,并对SSL证书强制检查。 阻止第三方cookies(广告网络cookies,而非你的网站cookies)也同样非常重要。考虑到这一点,你应该能想到广告网络正是凭借几种成熟的追踪技巧转移第一方cookies,因此需要启用一次性验证且保持不变。 如今的浏览器均提供单独窗口的无痕浏览功能:一旦被关闭后,会话上的所有数据均会被清除,因此大大加大了追踪的难度。使用这一模式,你可以轻松浏览所有网站而无需任何验证。 此外,还可通过请求式的插件激活功能摆脱追踪(通过点击启动Adobe Flash等)。当然也不要忘了清除浏览器中的高速缓存内容。 另外,最后请拒绝一切搜索面板、搜索助手和安装浏览器时提供的其它扩展–这些是需要用户同意后才能安装的合法间谍软件。