免触支付是否安全?
“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包,熟练地在POS机终端上轻轻一扫,很快就听到了哔的一声 – 瞧!–交易成功了! 免触式银行卡实在是太方便了。有了它,你再也不需要刷卡、记住PIN码和用笔签字,而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。 收银员同样也乐意使用免触支付方式:不仅加快了付款流程速度,同时还提高了收银员的顾客处理量,而这正是公认的所有零售过程的瓶颈。 然而,其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫,就将你存在卡内的所有资金偷个干净? 为了查明真相,我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面,但并非表示毫无缺陷。 范围 免触式卡采用近场通信(一种基于无线射频识别的技术)方式运行。卡内集成有微型芯片和天线,使用13.56 MHz频率范围,可对POS机终端的请求进行回应。不同支付系统使用各自的标准,包括:维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。 NFC的数据传输距离极短–不足一英寸。因此,你完全可以自己筑牢第一道安全防线。基本上来说,需要将读卡器和卡片凑得非常非常近才有可能扫描到,因此要想使用读卡器暗中扫卡的难度可谓相当之高。 同时,商家也可以安装专门定制的读卡器,可使扫描的距离更长。例如,来自萨里大学的研究人员就展示了一种紧凑型扫描器,能在80厘米的距离内读取NFC数据。 此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家,NFC兼容卡可谓相当普及。因此在人流聚集的地方,许多人都可能会成为犯罪分子实施NFC攻击的受害人。 最终,即使在没有定制扫描器或近距离接触的情况下,免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法,并在Hack in the Box大会上进行了演示。 图像来源: Practical Experiences on NFC Relay Attacks with Android 如今绝大多数的智能手机均配备有NFC组件,且手机通常都放在离钱包很近的地方–比方说,手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念,能将目标智能手机信号转到一种类似于NFC转调器的装置上。 一旦受感染手机放在和免触卡很近的位置,就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端,然后将启用NFC的智能手机靠近终端。如此,在没有真正扫卡的情况下,类似于’桥’的一种连接在NFC和NFC终端之间建立。