本站原创本文是一篇信用卡论文范文,关于信用卡类专科毕业论文开题报告,关于电子支付的安全漏洞相关专升本毕业论文范文。适合信用卡及数据库及无线通信方面的的大学硕士和本科毕业论文以及信用卡相关开题报告范文和职称论文写作参考文献资料下载。
无论是在收银台、加油站还是在互联网上,各种非支付方式已经成为了我们日常生活的一部分,在部分年轻人的生活中其所占比例甚至已经超过了支付的部分.然而,现有的电子支付方式相对落后,金融机构正尝试采用智能手机等无线通信技术来实现更快速的支付功能,特别是NFC(NearFieldCommunication,中文名称为近场通信,又称为近距离无线通信)更是被寄予了厚望.但是无线支付技术的安全性如何呢?CHIP将告诉大家NFC已知的安全问题,揭示攻击者是如何捕获NFC信用卡数据并进行盗用的.
除了新的技术,其他电子支付方式也同样面临危险,各种新的攻击手段层出不穷,被操纵的自动柜员机(ATM)、被的银行终端、隐藏在QR码背后的钓鱼网站,支付危险越来越多.那么我们该如何应对这些危险呢?
NFC:钱是这样被偷走的
NFC是由RFID(RadioFrequencyIdentification)演变而来的技术,所有数据都存储在一个小型的RFID芯片中,芯片上的信用卡数据是未经加密的,任何人都可以轻松读取其中的数据.在华盛顿的大会上,克里斯汀佩吉特介绍了NFC信用卡和到期时间的方法,而现如今只需在智能手机上安装适当的应用程序就可以捕获这些数据.为了测试相关的技术是如何NFC芯片中的信用卡数据的,我们在支持NFC技术的三星GalaxyNexus手机上安装了相应的应用程序,并尝试收集编辑部人员的信用卡数据.实践证明,在手机和信用卡直接接触的情况下,我们可以轻松地获得信用卡的数据.不过,我们知道,根据NFC的ISO标准,读取设备完全可以在100mm的距离内读取数据,而不需要接触.
与此同时,我们也发现了一个值得庆幸的事情,那就是存储在NFC芯片上的一个重要信息,信用卡的3位数字CVV(信用卡验证值)代码没有能被.因此,如果小偷要利用偷来的NFC信用卡数据在互联网上消费,那么他只能够在一些不要求输入CVV验证代码的网店上使用.因此,NFC芯片数据被盗的风险并不比在网上或在餐厅中使用信用卡大,我们在购物站点上消费时所提供的信用卡数据远比NFC芯片泄漏的要多.在餐厅,我们需要将信用卡交给商家,商家可以包括CVV验证代码在内的所有数据,甚至还可以复制我们的信用卡.唯一不同的是NFC信用卡数据的攻击者可以不用接触我们的信用卡,这加大了我们保护信用卡数据的难度.
要避免陌生人读取信用卡的数据,有一个简单的技巧,那就是用一个金属防护罩或铝箔屏蔽配备NFC芯片的.而要彻底避免可能因NFC芯片泄漏数据而产生的信用卡被盗用风险,则只能够依赖金融机构对于商家的规范化管理,例如确保信用卡必须在验证CVV代码之后方可使用.以往,国内大部分金融机构与国外的金融机构一样,用户无需为信用卡被盗用的损失负责,但是2012年法院出现判定持卡人必须为信用卡被盗用负部分责任的案例,在金融机构没有改变这种试图让持卡人为此负责的做法之前,是否应该拒绝使用NFC信用卡以避免可能存在的风险是一个值得深思的问题.
中继攻击:NFC攻击的明天
以色列特拉维夫大学的两名研究人员进一步揭示了无线通信支付方式的危险.按照研究人员的介绍,使用他们的中继攻击法,可以盗用NFC信用卡的所有数据,即使卡和读卡器之间使用了强大的身份验证和加密算法.
所谓的中继攻击,就是用一个自制的读卡器和假卡来实现攻击.可以在被害人和银行终端之间通过中继器传输信用卡的数据,实时盗用被害人的信用卡数据进行交易.一个想象中的攻击场景:小偷接近一个带有NCF芯片信用卡的人,读卡器激活信用卡并将数据转发到附近的假卡上,并在同一时刻使用假卡冒充真卡进行交易.
据研究人员的介绍,中继攻击最大的困难是使用读卡器激活被攻击者身上的信用卡,因为根据相关的ISO标准规范,读卡器的有效读取距离只有100mm.不过,研究人员已经克服了这一困难,他们通过增强读卡器的发射信号强度,将有效读取距离加大到了500mm,并能通过软件过滤产生的干扰,实现了近乎完美的远距离数据传送.读卡器与假卡之间的数据传输距离可以长达50m,可以在较远处的消费场所盗用被害人的信用卡数据进行消费.
幸好,目前这种攻击仍然只存在于技术层面上,因为它必须在NFC芯片的信用卡被广泛使用之后才可能出现.然而,这种方法让我们不难预见,未来NFC支付方式可能存在的危险有多高.
在线服务:窃取数据更容易
攻击在线服务站点是获得用户信息更简单的途径,只需要成功侵入一个网站的数据库,即可获得数以十万计的用户姓名、电子邮件、账户数据和信用卡.而大部分人在其他网站上也会使用同样的账号和,或者使用相关的信息作为网站取回的验证信息.因此攻击者可以通过收集到的信息,轻松地进入许多大型购物网站和电子支付站点的账户,获得这些账户里的钱.
在攻击者对入侵在线服务站点的兴趣越来越浓厚的同时,各大网站被入侵,泄漏大量用户数据的丑闻也在频频发生.时至今日,泄漏用户数据的网站名单已经很长,而其中也包含大量国内的中文站点.基本上,用户在线存储的信用卡资料完全没有安全可言,许多在线服务站点在没有能力保护服务器安全的同时,也没有妥善地保护用户的.索尼公司的游戏站点在被攻击之后,泄漏的不仅仅是用户的账户名和,甚至还包括用户的信用卡数据.该公司将这些对于用户来说万分重要的数据以未加密的形式存储在服务器上,唯一受到保护的仅有信用卡的CVV验证代码.
除了入侵网站数据库以外,攻击者还有许多方法可以用户的,例如很多人所熟知的钓鱼邮件.
QR代码:图形化的恶意代码
对于钓鱼邮件或者钓鱼网站的链接,有经验的用户可以在鼠标指向链接时,在状态栏中观察链接的实际地址并发现可疑的蛛丝马迹,但是通过QR代码(二维码)隐藏的图形化链接,由于无法直接查看,所以即使有经验的用户也可能会毫无防备地打开.类似的攻击对于经验不足的用户将更加有效,在用户通过一个QR代码打开一个网站时,会更容易被带到一个钓鱼网站上.这并非危言耸听,2011年年底,安全公司卡巴斯基实验室已经在许多网站上发现了隐藏恶意代码的QR码.