iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 2
0

走入便利的超商,到餐廳消費吃飯,乃是加油站加油,甚至各式零售店家買東西,在現金之外,拿出信用卡消費,相信是大家都曾有過的經驗,當然現在的支付很多元,像是結合悠遊卡等的信用卡,使用綁定信用卡的手機行動支付App。這回談的就是信用卡。

相信大家對於信用卡都不陌生,一般而言,卡面上印有16位數的信用卡號,背後具有驗證用的CVV安全碼。但是,在外面消費時大家是否想過卡號都暴露在外呢?
也許大家可能意識到,例如,當你將信用卡交給櫃檯感應時,身旁的人就可能看到內容,但你或許會想的是,他人應該看不清楚。

個人疑心病重了點,我是記得在4K監控攝影機開始流行時,當下我會覺得應該要比較擔心。不知道大家有沒這樣想過。現在監控攝影機在公眾場所相當普遍,可保護店家及舉證,但擔心的主要原因是,在4K、60fps下,卡號、日期與背面的CVV要被拍下,應該是不難。記得過去好像有看過一則事件,是有人拿針孔型4K攝影機來偷拍信用卡資訊。

另外,就是在餐廳買單,你坐在位子上將卡片交給服務人員至櫃台結帳,但國內民眾其實大多都能抱持相當的信任,而且大家都這樣做,你也不太聽聞社會有這些事情發生。

當然,這都是跟風險有關。信用卡資料在實體店的消費過程中,資訊暴露的風險。雖然都只是小地方,但也就是看個人是否具有這樣的意識

一般來說,看過不少人是將信用卡放在一個簡單的信用卡套,使用的時候來感應。這裡介紹另一個較少人注意的信用卡知識,其實現在有些信用卡,卡片沒有凸版,甚至正面也不會帶有卡號(是放在背面),這是可以的喔,因此現在拿出卡片自己感應時,正面就不會有資訊會被洩漏。而這樣的改變,看起來是近一兩年的新趨勢,不過也可能有幾個原因啦,像是不希望文字干擾卡片設計之類。XD

https://ithelp.ithome.com.tw/upload/images/20190904/20013608yt52SEN6c6.jpg
例如這是上海銀行推出的小小兵信用卡,就是屬於卡片正面沒有資訊。另外,國內主要信用卡製造的業者,也順便查一下,包括台銘、宏通等,還有像是身分驗證解決方案的外商Gemalto。

除了信用卡卡面的資料保護,感應的風險是另一個問題。過去自己也曾在找尋交換禮物時,發現對於卡片感應的保護需求與商機,市面上有RFID保護套的產品,阻絕中間人攻擊,像是未經允許的資料讀取,避免隨身的卡片資料被有心人士截取破解或盜刷。

不過,上述這些問題的風險是有,但其實也沒想像那麼大,不論是信用卡組織與發卡銀行,對於盜刷問題一直都有一定的防範,從不同層次去解決這樣的問題。但一般民眾還是要注意,信用卡掉了立即掛失,出現未經授權交易聯繫發卡銀行,應該是大家都有的常識。(另外也附加一個要注意的風險,小心假冒詐騙通知的手法,與銀行聯繫可到門市或要確認從官方網站提供的聯絡方式)

又想到了,再加一個民眾容易疏忽的面向,例如,如果你有拍攝信用卡資訊的照片,存在雲端服務,一旦你的雲端服務帳號被盜,等於信用卡資訊也被盜。

再來談到行動支付,這裡也分成卡號的安全與中間人的攻擊。這裡有可能變得技術一點,但可以大概瞭解一下。

例如,將信用卡號綁定在Apply Pay、Google Pay等行動支付平臺,到底安不安全呢?其實,國際信用卡組織已經發展出一個名為代碼化(Tokenization)的技術,而這個技術才真正讓Apply Pay、Google Pay、Samsung等行動支付平臺能付諸實現,主要由國際發卡組織發展。

簡單來說,這項技術是讓信用卡的16位數號碼,置換為另一組16位數存放在手機並傳送,這可以讓原本的信用卡資訊,不會暴露在外。

目前不少支付都有使用代碼化技術,但是否有支付業者沒有用這樣的技術卻能綁定信用卡呢?可能要查一下。如果邦友們知道也留言一下,感謝。

像是LINE Pay記得是有自家的代碼化技術,街口不太了解,曾看過新聞好像也是自家專屬,這些都是專門支付相關業者就算了,令人感到好奇的是,零售業者的App綁定信用卡,記得55688是採國際發卡組織的代碼化技術,但我們生活上還有像是新光三越的Skmpay,微風的Breeze Pay,又是如何做?後面有用代碼化技術嗎?各專屬的代碼化技術安全程度是否有差異?好像沒有看過資安研究員有這樣的調查。

在感應支付外,還有一種是QRcode支付,這裡也有一個新聞可以注意。其實大家應該也有注意到,這跟上面之前提到信用卡保護套防範未經授權感應一樣,就是有人偷掃描你的QRCode,像是之前有新聞是顧客用手機準備付款結帳,在打開支付條碼頁面時,被他人掃描QR code,直接從帳戶盜走金錢。

不只,金融卡、信用卡資訊安全問題,還有像是去ATM也有要注意的資訊安全問題。像是在ATM上,不管是怕後方偷窺,小心詐騙,另一方面業者也要重視資訊安全問題,不僅是一些ATM也加裝照後鏡,還有防分期詐騙交易的宣導,以及系統連線安全,甚至新的人臉辨識ATM還能偵測用戶戴口罩、戴安全帽,警示後方有人之類。這也顯示這是雙方都必須重視才能做到的,使用者自己要注意,提供的業者也要注意

P.s.在超商,可能習慣使用結合悠遊卡功能的信用卡來感應結帳,每次逼一聲時,可能手指習慣遮住大部分的卡號,這就是一個避免資訊外洩的風險意識。有時,排隊結帳時,聽到前面的女子為了會員積點,報出了自己的手機號碼 ,是否從經想過漂亮的偷記下來,XDDD。超商的風險聯想,好像還可以有,像是結帳台上方的數位看板,上方設置了攝影鏡頭,你是否想過這是幹嘛用?


上一篇
第一篇輕鬆點,從電影看個資外洩事件與隱私~(從劍橋分析到楚門與完美陌生人)
下一篇
第三篇,AI人臉濫用(一),Zao、FaceApp的隱私問題與App安全
系列文
生活資安五四三!從生活周遭看風險與資訊安全~番外篇30

2 則留言

0
cwchiu
iT邦新手 4 級 ‧ 2019-11-27 10:50:33

請問 "QRcode支付" 的 QRCode 每次都會不同還是固定?

cheng527 iT邦新手 1 級 ‧ 2020-02-20 09:59:09 檢舉

QRcode應該是有不同的設計方式,過去在使用百貨App,那時要停車就有試著拿截圖老婆的QRcode去刷,發現好像是固定,因為拿之前截的都可以,後來發現應該有改,多久時候後就不能用,會有新的

QRcode支付,因為用於支付,我覺得要求應該是會更高。看看其他邦友是否有答案?
另外就是還有分主掃、被掃模式

0
圓頭人
iT邦新手 1 級 ‧ 2020-02-20 08:42:12

結帳台上方的數位看板,上方設置了攝影鏡頭,是做什麼的呢?

cheng527 iT邦新手 1 級 ‧ 2020-02-20 10:03:22 檢舉

可以參考這篇
https://www.ithome.com.tw/tech/121692
可用於像是分析客戶目光位置、年齡、性別等屬性,甚至當顧客看著廣告時,可以分析顧客的微笑程度,是否越走越近,還是臉轉掉等
一般是要結合會員身分才更有效益,但現在普遍應該都還不會

我要留言

立即登入留言