|
消费者支付产品与服务的方式演变得就像在支付的产品与服务一样迅速。例如移动支付,它将支付卡与无线技术结合在一起,使得付费交易更方便。移动支付可减少购买者和销售者的交易成本,还能减少现金循环供应的成本,因而越来越流行。然而,这种新的支付技术面临许多安全挑战,交易商家有责任解决这些问题以确保用户信息的安全。
推动安全的付费机制不仅只是一种理想,更要符合支付卡产业的资料安全标准(PCI DSS),它要求相关机构保护消费者的安全。PCI DSS适用于储存、处理或发送持卡人资料的任何机构,由最基本的安全要求条款和设计用于鼓励与增强持卡人资料安全的测试步骤组成。
不遵守PCI DSS的商家将面临来自发卡机构(如美国运通、万事达和威士)的重罚,甚至失去针对商品与服务使用支付卡的能力。另外,如果消费者确实透过移动支付完成购买活动,而其信息(即持卡人资料)又受到威胁的话,商家要承担责任(特别是当这些商家没有主动符合标准时)。
此外,如果未能采取足够的安全措施满足PCI标准要求,消费者可能会察觉到支付卡信息存在风险而选择不使用商家的基础设施。如果人们失去对支付系统安全的信任,他们会停止使用,系统最终就会变得毫无用处。接受支付卡的商家需要符合PCI DSS标准,确保实现正确的安保措施来保护持卡人的资料,同时确保销售点的安全,阻止可能置客户资讯于危险的攻击者和入侵者。 (图片) 无线入侵保护系统可监视并侦测可能威胁持卡人资料安全或破坏无线支付操作的入侵行为
目前黑客用于撷取与利用移动支付持卡人资料的威胁主要有三种。所幸通过强大的无线入侵保护系统(WIPS),商家可检测并抵抗这些威胁,确保自身与客户的安全。以下列出前三种最频繁也最危险的攻击方式,并讨论商家如何保护自家的无线局域网(WLAN):
WLAN上的拒绝服务攻击
拒绝服务(DoS)攻击会在信息网络上释放大量恶意信息,伴随这些信息的恶意软件同时会感染移动设备,进而破坏、修改或危害持卡人的资料。DoS攻击利用无线连接的实体层和数据链路层漏洞来破坏无线服务。举例来说,采用大功率天线的射频干扰设备可能破坏商店内外的移动支付系统。
Wi-Fi销售点终端(POST)──不管是智能手机还是自动贩卖机,都非常容易受到DoS的攻击,因为建立和维护网络及设备连接的射频通讯极易被欺骗,这种射频通讯没有加密机制。无线攻击者会以合法接取点的身份向手机发送断开或认证通知,从而达到破坏向移动设备提供的服务。因此,手机会尝试重新建立服务或重新认证,但结果只能是立即断线,然后重复这一过程。
应对WLAN的DoS攻击:相关机构可部署无线入侵保护系统(WIPS)来监视和检测关键的入侵行为,这些行为可能危害持卡人的资料安全或破坏无线支付作业。这些保护系统透过连续监控Wi-Fi通讯、追踪无线连接与关联以储存接取点、分析可能破坏通讯或来自恶意设备的传送源射频环境来检测攻击。当发现攻击时,WIPS将产生警告,以便让IT安全部门能够马上采取解决措施。
剽窃持卡人资料
剽窃是指透过偷窥合法的支付交易机制而窃取信用卡资讯。虽然'剽窃'信用卡资讯的方法有很多种,但针对销售点终端的剽窃过程与ATM剽窃非常类似:盗贼在支付终端的内部或外面加装一台第三方读卡器设备,用它来撷取正常客户在支付交易过程中传输的信用卡资讯。许多剽窃设备可根据指令使用蓝牙传送器向盗贼发送剽窃到的资讯。值得注意的是,蓝牙设备可在1公尺(3类设备)至100公尺(1类设备)的距离内通讯。
检测持卡人资料是否正被剽窃:与许多Wi-Fi设备一样,蓝牙也是一种操作在2.4GHz频段的网络协议。虽然WIDS/WIPS很难识别WLAN中的蓝牙传输,但蓝牙信号的存在会产生射频通道噪声。透过追踪射频通道中的噪声电平,WIDS/WIPS能够辨识持续具有高电平噪声的通道。一旦发现后,供应商可使用带定向天线的Wi-Fi分析仪撷取噪声源并采取行动。(图片) WLAN上的未经授权设备
窃贼也可能在其Wi-Fi销售点终端(POST)上进行安装,使其伪装成供应商的POST,甚至伪装成商店店员,并在自己的Wi-Fi智能手机上实现销售点功能。这些设备在供应商的WLAN上作为未经授权的设备,有的甚至还建立自有的WLAN。
辨识与保护WLAN免于未经授权设备的侵害:为了辨识别未经授权或被入侵的设备,相关机构需要时刻保持警惕,随时监视无线网络中是否存在未经授权的销售点终端、接取点和无线客户端。这个任务通过无线入侵防护系统(WIPS)而能有效加以实现。相关机构可利用WIPS追踪WLAN中每台无线设备的安全状态,并检查是否存在可能置移动支付于危险威胁的未经授权设备。
当授权设备背离安全策略时,如使用加密的通讯时,这些系统也能发出警示。一旦发现未经授权的设备,利用WIPS系统提供的位置资讯可轻易地定位这些设备并将加以移除。
如何确保移动支付持卡人资料的安全
移动支付对消费者和商家来说都是一种高成本效益、极其便利的支付解决方案。但如果商家选择接受基于Wi-Fi的支付方式,那么他们需要确保符合PCI-DSS标准,否则将遭到罚金甚至更重的处罚。投资建立专用的无线入侵防护系统(WIPS),提供全面的Wi-Fi保护,预防未经授权的设备或遭受危险的攻击,并利用频谱分析技术展开射频威胁检测,商家就可提供必要的安全认证,这样不仅可促进移动支付技术的普及,而且能够满足PCI DSS要求,确保消费者与商家在移动支付交易中的付出得到最大的回报。
5/10/2013
|
