iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 19
3
Security

改變歷史的加密訊息系列 第 19

綁定信用卡的支付漏洞與<阿里巴巴與四十大盜>的借鑑

  我們在使用電子郵件,或者進入網路銀行、網路股市或者網路購物等網站,都需要設定一組帳號與密碼,作為開啟進入的程序,帳號與密碼輸入有誤時,會給三次機會進行再核實,三次機會都錯誤的話,會封鎖當日帳號與秘密的使用,若急著想要解開,必須向伺服器端的客服尋求解鎖,部分客服會直接要求客戶端進行密碼修改,並藉由手機簡訊或者電子郵件進行徵信,若確認是本人要求無誤,則會寄出機密訊息,請客戶端確認過後開通帳號和新密碼,但會說明尚需幾分鐘的時間,如同信用卡遺失時,信用卡公司也會進行相同的程序,保障民眾的使用安全。
https://ithelp.ithome.com.tw/upload/images/20191005/20111946it66hDaVvM.jpg

  帳密的進行核實,是網路上的通訊協定,我們稱之為安全通訊協定(Secure Sockets Layer,簡稱SSL),另外還有兩個協定,第一個是較新的傳輸層安全性協定(Transport Layer Security,簡稱TLS),第二個是超級文字傳輸協議安全協定(Hyper Text Transfer Protocol Secure,簡稱HTTPS)。當在進行主機伺服端與顧客端之間的交易程序時,兩端的對話與資料傳輸是無法由外部插入讀取的,並使用加密演算法屏蔽傳輸的孔道。簡而言之就是請顧客進入V.I.P包廂,進行一對一的說明和確認,中間的流程還會詢問顧客是否真確認進行購買?若想進行購買,則會說明個人資料確認,以及最重要且需嚴格的交易付款程序;若突然反悔不想購買,也可以退回購買申請。
https://ithelp.ithome.com.tw/upload/images/20191005/201119465qr9Qg2laS.jpg

  但近年卻發生因信用卡長期綁定在支付APP上,而被無故盜刷購買多筆遊戲點數,或購買昂貴的物件,會發生這類的案件,主要是支付的過程中,當顧客出示手機上的QR-CODE或條碼供商家掃描時,會很自然地暴露在外,只要在一旁進行近距離拍攝,或者遠處拍攝,有心者就會利用支付的便利,利用QR-CODE或條碼大刷特刷,等顧客收到信用卡帳單時,才驚覺金額高到嚇人,就必須向信用卡公司說明,並證明不是自己去購買,經過信用卡公司調查核實後,才有辦法消除不屬於自己的消費。
https://ithelp.ithome.com.tw/upload/images/20191005/20111946l0F5yqZsVa.jpg

  古時候有很多可以借鏡的傳說故事,即便不是真實的,也算是人類生活中所經歷的歷史經驗,例如風靡阿拉伯世界的故事集《一千零一夜》,背景假借波斯帝國,但其實是存在阿拉伯世界的偉大帝國阿拔斯王朝的民間文學,在《一千零一夜》中有一個耳熟能詳的故事<阿里巴巴與四十大盜>,這個故事可以與資安作為連結,將這則故事分享如下:

很久很久以前,在波斯國住著兩個貧困兄弟,哥哥叫哥斯木,弟弟叫阿里巴巴。長大後,哥哥幸運地娶了富商的女兒為妻,過著富裕的生活;
阿里巴巴娶了窮苦人家的女兒,每天辛苦地砍柴去販賣維生。

有一天,阿里巴巴,無意間,在山上發現了四十位強盜將掠奪的金銀財寶放在神秘的山洞中。好奇的阿里巴巴跟隨著強盜來到洞口。

只聽到強盜的首領對山洞大喊:「芝麻開門 !」
那山洞的大石頭,竟然轟隆隆地打開了....強盜們一起進入山洞中。

不久,強盜們出了山洞。強盜的首領對山洞大喊:「芝麻關門 !」
那山洞的大石頭,竟然轟隆隆地關閉了。

等到強盜們都離開後,阿里巴巴也試著對山動大喊:「芝麻開門 !」

那山洞的大石頭,竟然也轟隆隆地打開了....

這時阿里巴巴便進入山洞中,看到滿山的金銀財寶,不禁目瞪口呆,說不出話來...

待回神時,阿里巴巴才急忙帶了點金幣放在身上,轉身離開山洞。

「芝麻關門 !」

那山洞的大石頭,轟隆隆地關閉了。

https://ithelp.ithome.com.tw/upload/images/20191005/201119468JAtrwsDd1.jpg
阿里巴巴與四十大盜(圖片來源:維基百科)

這則故事告訴我們,密碼的加密防範圈很重要,四十大盜首領並不知道藏寶洞穴外,有不是組織的人正在偷聽,仍然「習慣性」的在搶劫完財物後,回到藏寶洞穴進行「念密碼」、「開門」、「存放」及「關門」的動作,等完成程序後,躲藏在一旁的阿里巴巴已經將所有程序記在腦中,等四十大盜離開之後,阿里巴巴依樣畫葫蘆的執行程序,竊取了強盜的部分寶藏。在真實生活上,支付綁定被盜取的教訓,不也跟這則歷史故事有很高的巧合,所以專家門會告誡說,如果支付不用時,請解除信用卡綁定,避免遇到比強盜更強的「阿里巴巴」,就欲哭無淚了!


上一篇
GPS導航?人工地圖導航?談聖修伯里《風沙星辰》的經驗
下一篇
被駭客攻擊的郵件與孫臏鬥龐涓的啟示
系列文
改變歷史的加密訊息30

1 則留言

0
cwchiu
iT邦新手 4 級 ‧ 2019-12-02 08:03:50

"一個是較新的傳輸層安全性協定(Transport Layer Security,簡稱TSL)", TLS?

謝謝指正/images/emoticon/emoticon41.gif

我要留言

立即登入留言