电子商务环境下移动支付的安全性分析
2009.2.28 21:23
中国移动手机支付业务网站
电子商务环境下的移动支付是指单位或个人通过移动设备,直接或间接向银行业金融机构发出支付指令,实现货币支付与资金转移的行为移动支付所使用的移动设备可以是手机、PDA、移动PC等。从移动支付的实质 上讲,移动支付就是将移动网络与金融系统结合,把移动网络作为实现移动支付的工具和手段,为用户提供货币支付、缴费等金融服务的业务。
移动支付通常有以下几种实现方式:(1)短信(SMS)支付,终端用户通过发送短消息的形式请求服务内容,从用户的话费中扣除费用,通常只适合于小额支付。(2)WAP(Wireless Application Protocol),终端用户通过访问WAP站点,进行简单的金融业务。(3)USSD(Unstructured Supplementary ServiceData,非结构化补充数据业务),是一种基于GSM网络的新型交互式数据业务,如证券交易、移动银行业务。(4)NFC((Near Field Communication),是一种短距离的无线连接技术,支付和票务业务是应用最早的NFC业务。
一、移动支付中的安全问题
在整个移动支付的过程中涉及到的支付参与者包括:消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。移动支付需要考虑以下安全问题:(1)移动终端接入支付平台的安全,包括用户注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。(2) 支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全,涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。
二、移动支付的安全认证技术
当前,移动设备的大量普及为移动支付的实现提供了必要的条件,但也存在许多问题制约着移动支付的实施,如移动终端的计算环境和通信环境都非常有限,这就需要对相应的安全认证做一些特殊要求。
1.WPKI安全标准概况
WPKI (Wireless PKI)是有线PKI的一种扩展,它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术,有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础,通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM(WAP Identity Module,无线应用协议识别模块)、WMLSCrypt(WML Script Crypto API,WML脚本加密接口)、WTLS(Wireless Transport Layer Security,无线传输安全层)和WPKI四个部分。以上各部分对实现无线网络应用的安全分别起着不同的作用。WPKI作为安全基础设施平台,一切基于身份验证的应用都需要WPKI技术的支持,它可与WTLS、TCP/IP相结合,实现身份认证、私钥签名等功能。WPKI的主要组件包括:终端实体应用 程序(EE)、PKI门户(PKI Portal)、认证中心(CA)、目录服务(PKI Directory)、WAP网关,在应用模型中还涉及数据提供服务器等设备,WPKI的基本结构和数据流向如图所示。
在WPKI中,代替RA(Registration Authority)的功能组件是PKI门户(PKI Portal),它是一个网络服务器,负责把WAP客户的需求转发给PKI中的RA和CA(Certification Authority)。CA主要负责生成证书、颁发证书和刷新证书等。WAP Gateway负责处理客户与源服务器之间的协议转换工作。WTLS是经传统网络的TLS协议改进和优化而得来的,主要保证传输层的安全,WPKI也是对 IETF PKIX标准的优化,使之更适合无线环境。
2.WPKI的加密算法和密钥
WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的,与WAP安全标准相比,WPKI所采用的ECC(Elliptic Curve Cryptography,椭圆曲线密码)密码系统更适合在无线设备中使用。同样强度的密钥,ECC的密钥长度(163bit)只是其他方案的六分之一(1024bit),但163bit的密钥长度对穷举密钥攻击几乎是绝对安全的,因为穷举163bit的密钥个数有1.156×1049个,按每秒钟测试 1亿个密钥计算,也要3.6×1032年!
三、结论
支付手段的电子化和移动化已经成为了不可避免的发展趋势,而移动支付系统的安全性问题又是移动电子商务安全的核心问题。从技术角度上看,需要将无线通信的安全与其他的安全机制相结合才能满足移动电子商务安全的需要。
标准缺位移动支付陷安全瓶颈
20##-05-14 00:45:27 来源: 中国企业报(北京) 有0人参与
分享到
随着争议多年的移动支付标准问题尘埃落定,安全问题对行业发展的阻碍日益突出,引起了从芯片、终端到商业银行、支付企业和安全厂商在内整个产业链的广泛关注。
金山安全公司技术总监、助理总裁林凯在接受《中国企业报》记者采访时表示,目前移动支付的安全防控主要是身份认证和通讯加密,支付环境的安全防范比较薄弱,传统的黑名单方式也难以跟上急剧增长的病毒增长,对于潜在的高级持续性攻击(IPT)更是大打折扣,解决这些问题需要包括支付企业、安全厂商在内整个产业链的共同努力和通力合作。
移动支付安全问题亟待解决
根据艾瑞咨询的统计数据,20##年,中国移动支付市场交易规模达1511.4亿元,同比增长高达89.2%。未来几年,这一领域仍将保持40%左右的年增长率。
中国支付网主编刘刚认为,随着标准问题争议结束,下一阶段影响移动支付商用发展的因素还有很多,日益突出的移动支付的安全问题是迫在眉睫的问题。近期的调查结果显示,93%的消费者表示,支付是否安全是影响其考虑使用移动支付服务的重要因素。
财付通上述人士认为,随着智能手机以及移动支付的普及,越来越多的手机病毒将会涌现出来,用户的财产、隐私都将受到威胁。有案例表明,招商银行、建设银行、浦发银行等多款银行类应用都曾遭遇恶意木马篡改。
与传统的针对大众用户的木马等病毒相比,林凯认为,新兴的高级持续定向攻击是移动支付更大的潜在威胁。这是一种更具针对性的、潜伏时长更长的攻击手段,在普及程度加深和价值充分体现之后,移动支付将会成为这类网络攻击的重要目标。
产业链各环节积极应对
考虑到安全问题对产业发展至关重要,整个产业链都一直在这方面进行努力,不仅包括一些支付企业,某些终端芯片厂商及一些传统互联网安全厂商也给予了高度关注。
“面对目前移动支付过程中存在的安全隐患,某些支付企业推出的相关移动支付技术能减少网页的跳转,有效地降低钓鱼网站和病毒的危害。收集的信息全程加密传输,信息保管也进行物理上的隔离,并且严禁用于与用户支付无关的场景。”业内人士指出。
除了技术方面的努力,某些支付企业还通过业务创新来保障用户资金安全。包括对手机交易额设置了上限,例如有些支付企业还开创性地推出了赔付机制,满足条件的用户可以拿到支付企业的全额赔偿,希望最大限度地打消用户使用移动支付的安全担忧。
此外,有些传统互联网安全厂商推出了云私有安全系统,该系统注重支付环境的安全,通过特有的白名单技术,将支付环境的规范化清零,只允许白名单中认可的程序运行,保证支付环境不受到病毒污染,而且对于潜在的IPT攻击更具有效果。
安全标准缺位是根源
就在产业链各环节纷纷为移动支付安全出谋划策的时候,另一个问题浮出了水面,整个行业缺乏统一的安全标准和体系,这给安全制度的推广造成了困难。例如,高级别安全认证工具的推广应用,就因为数字证书应用缺乏统一的硬件标准下的兼容性问题。
“移动支付的安全不是孤立的安全,总的来讲包括终端安全和业务安全,终端安全又包括设备安全、应用安全和数据安全,每一个环节的安全者需要相应的企业各司其职,同时又需要上下游之间充分沟通和协同,这样才能保证整个体系的安全。”刘刚说。
林凯也表示,移动支付涉及产业链的各个环节,包括银行、公安、手机厂商、运营商、手机安全厂商等应该全产业链联手,包括用户信用意识的建立,共同推进移动支付业务产业发展,金山安全已经与多年移动支付企业展开合作商谈。
财付通相关人士也透露,财付通已联合腾讯手机管家、QQ浏览器,共建安全的移动支付生态圈。财付通还在积极与安全厂商、手机厂商、移动支付提供商等企业进行沟通合作,以完善移动支付生态链的搭建。
8月21日,记者使用同事的手机成功进行身份验证,获取验证码。 实习记者 唐俊 摄
开通快捷支付?小心安全漏洞!
密码可轻易破解,卡内资金瞬间流失
实验:5分钟可“盗刷”2万元 专家观点:网络支付验证平台要注意保密
“无需网银,只需关联您的信用卡或借记卡,每次付款时只需输入支付宝支付密码即可完成付款……”这是支付宝快捷支付的宣传广告语。快捷支付在给市民带来方便的同时,也给市民带来了安全的困扰,部分使用支付宝“快捷功能”的客户遭遇网络盗刷,与支付宝绑定的银行卡资金被“蚂蚁搬家”。支付宝在自己的网页上还列出了近期因为被盗刷而理赔的案例,最大一笔资金达到9492.24元。
记者根据网上的一些提示,对快捷支付手段做了一次安全实验,发现了一些值得注意的安全漏洞。
实验:“捡到”手机后,五分钟内盗刷2万元
为了验证网上流传的“快捷支付存在安全问题”是否真实,记者做了一个实验,模拟在“捡到”一部手机之后,如何破解密码并刷取卡内资金。首先,记者拿起同事的一部手机,当然前提是这部手机已经绑定了支付宝快捷支付,并且假设记者并不知道该同事的其他信息。下面是记者的实验过程:
第一步:记者打开支付宝的登入界面,在账户名一栏记者看到输入手机号码或邮箱地址的提示,而这两个信息拿到手机的人都会知道,记者点击旁边的忘记登录密码,并尝试这个手机的号码或手机里面的QQ邮箱是否已注册支付宝账号,记者尝试后知道,这个手机的号码就是支付宝的账号。
第二步:接下来是输入手机验证码,当你点击发送手机验证码时,会有一组六位数字的验证码发到这个手机上,这时只要你输入这组数字,就可以进入更改密码的界面,记者由此完成对密码的修改。
第三步:知道支付宝账号和密码后,记者登入这个账号的支付宝界面,在账户管理的界面里,记者可以看到这个账号上面的余额,还能看到这个账号绑定了中国银行卡。记者同样运用找回密码这一功能,用这个手机接到的验证码将绑定的银行卡快捷支付密码更换。
第四步:记者接下来通过快捷支付转账,输入新的支付密码后,成功转出中国银行规定的最高额度两万元。记者看了一下时间,从开始操作修改密码到完成转账,记者只用了5分钟时间。
随后,记者又让同事修改银行卡密码。但是记者发现银行卡密码被修改后,支付宝账户绑定的银行卡付款操作并未受到任何影响。这意味着,开通快捷支付后,万一手机被盗,绑定的银行卡很容易遭到盗刷,即使用户修改了银行卡的密码也无法阻止盗刷。
窥私大盗盯上移动支付机具 手机刷卡器到底安不安全
20##-11-30 09:33:09 来源: 广州日报(广州) 有0人参与
0
近期深圳有不少市民的银行卡遭异地盗刷,有报道称犯罪嫌疑人疑似使用拉卡拉手机刷卡器进行作案。
有业内人士告诉记者,不法分子盗刷是需要获取账号信息还有密码的,因此并非如坊间流传的仅凭身份证号码就能刷走银行卡里的钱。昨日,拉卡拉方面向记者表示,拉卡拉手机刷卡器与此事完全没有关系,完全可以保证持持卡人的用卡安全。
本报记者调查发现,目前移动支付虽然带来了不少方便,但同时也面临着被间谍软件威胁盗取信息的安全问题,而银行业内人士更是认为移动支付目前增加了克隆卡变现的渠道,其影响不容忽视。
本报讯 据媒体报道,日前,家住平湖的打工仔邓先生突然收到一条短信“您尾号2994的储蓄卡账户11月25日8时42分网络ATM取款支出人民币3032.00元,活期余额83.65元。”
根据报道,当时银联客服给邓先生的回复称,他的存款是在河南郑州一家银行被提走的,而另外十余名受害者中,10名事发地在河南境内,2名在山西境内。邓先生告诉媒体,对方告诉他,这是一种来自手机的网络ATM刷卡消费。报道称,这是一起疑似使用拉卡拉手机刷卡器作案的异地盗刷银行卡案,警方已经派人去外地调查。
记者了解到,近年来,经常出现银行卡被盗刷的案例,但通过手机刷卡器作案的还并不多见。
拉卡拉:非手机终端问题
昨日,拉卡拉方面向记者表示,“就已披露信息而言,这是犯罪团伙通过不明渠道窃取用户银行卡信息制作伪卡,进行异地ATM提现的案件。在某些媒体的不实报道中,把手机刷卡器想象成提现工具,是完全没有根据的联想。”拉卡拉方面称,拉卡拉手机刷卡器与此事完全没有关系。拉卡拉手机刷卡器的安全性是经过银联安全认证的,一卡一密,一机一密,加上拉卡拉多重风险控制保障,完全可以保证持卡人的用卡安全。
拉卡拉方面还表示,拉卡拉手机刷卡器是个人支付工具,有着严密的安全保障体系。只获知身份证号是不可能被刷走卡中金额的(除个人身份证外,必须同时满足以下5点才可使用:用本人身份证验证开通的手机刷卡器、绑定的手机号、开通时设定的登录密码、银行卡实体而非银行卡账号、银行卡密码,缺少任何一个环节都不可能使用)。
央行将发布移动支付标准
来自网秦的数据显示,今年第三季度,网秦查杀到可具备盗取用户支付账户密码行为的间谍软件357款。安全专家透露,目前不法分子主要通过两种形式威胁用户支付安全,一是通过篡改一些知名电商应用,在其中嵌入木马程序,盗用支付密码;二是通过专门截获手机的支付验证码形式,直接模拟用户的购物行为。
据媒体报道,11月27日,央行科技司副司长陆书春透露,近期将发布中国金融移动支付标准。央行方面下一步会积极推动标准应用试点示范以及基础设施的完善,并为移动支付营造更好的环境。
争议:手机刷卡器到底安不安全?
手机支付是近年兴起的一种手机支付新业务,因其支付便捷,随着智能手机的兴起而逐渐火热。而手机刷卡器仅一张卡片的四分之一大小,厚度与一般手机相同。该产品主要面对个人消费者,是一款连接智能手机的外设刷卡终端,支持iPhone、Android等主流智能手机及Pad产品。
专家:仅凭身份证号码不能刷走金额
最近,一则“只要掌握机主身份证号码即可手机刷走他人卡上金额”的消息引起广泛关注。网秦科技手机安全专家邹仕洪对本报记者表示,电商终端还相对安全,但实际上,由于目前手机不法分子通常会根据攻击目标的安全系数来调整自己的攻击方法,在未能及时辨别的状态下,用户仍然存在安全风险。
邹仕洪表示,如果只是知道用户的身份证号码,不法分子是不可能盗刷成功的,因为没有获取用户具体哪个银行的银行卡账号信息以及密码。邹仕洪认为,这种盗刷,极有可能是不法分子此前已经成功克隆了用户的银行卡信息以及通过不法途径获得了用户的银行卡密码,才借助某个平台进行盗刷,这与此前被曝光的盗刷性质是一样的,只是平台进行了更换。为此,邹仕洪博士提醒用户,要定期更换账户密码,并采用较为复杂的密码保护机制,发现账户活动异常时及时咨询、举报和对交易账户进行锁定。
银行:移动机具若审核不严 易被利用犯罪
目前网上有很多银行卡的资料,甚至可以买到磁条、密码的信息,很多不法分子利用制作假卡,再在手机做支付进行套现,“现在随手可得的移动支付机具太容易让不法分子获得刷卡的机会了”,某股份制银行技术部门负责人对本报记者表达了担忧,“如果卖移动支付机器的时候没有强制的身份验证,如果有企业为了扩大用户量,对刷卡机具的准入的机制也很放松,这让移动支付的业务很具风险。
该负责人说,不法分子如果要通过ATM机变现,有视频监控进行监管,在商场刷卡,也有视频监控和签名等机制进行管理。但是,一旦银行卡被克隆,这种移动支付方式就提供了一种前所未有的轻而易举的非法变现途径。
案例
间谍软件窃取手机验证码
据悉,近日一款窃取手机验证码的间谍软件“窥私大盗”正在一些论坛里散发,只要不小心被安装了,支付验证码很有可能轻易就被“复制”,进而被偷走钱。“大家都以为手机验证码是网上账户的安全保障,其实不是。”网秦安全工程师提醒,如果用户一个时期内频繁收到多个手机验证码,这时候就要多个“心眼儿”了。另外,间谍软件一开始常被用于非正当的商业获取机密,也有人用来监视自己的朋友、家人。(记者李婧暄、段郴群)
拉卡拉方面还表示,拉卡拉手机刷卡器是个人支付工具,有着严密的安全保障体系。只获知身份证号是不可能被刷走卡中金额的(除个人身份证外,必须同时满足以下5点才可使用:用本人身份证验证开通的手机刷卡器、绑定的手机号、开通时设定的登录密码、银行卡实体而非银行卡账号、银行卡密码,缺少任何一个环节都不可能使用)。近期深圳有不少市民的银行卡遭异地盗刷,有报道称犯罪嫌疑人疑似使用拉卡拉手机刷卡器进行作案。
有业内人士告诉记者,不法分子盗刷是需要获取账号信息还有密码的,因此并非如坊间流传的仅凭身份证号码就能刷走银行卡里的钱。昨日,拉卡拉方面向记者表示,拉卡拉手机刷卡器与此事完全没有关系,完全可以保证持持卡人的用卡安全。
本报记者调查发现,目前移动支付虽然带来了不少方便,但同时也面临着被间谍软件威胁盗取信息的安全问题,而银行业内人士更是认为移动支付目前增加了克隆卡变现的渠道,其影响不容忽视。
本报讯 据媒体报道,日前,家住平湖的打工仔邓先生突然收到一条短信“您尾号2994的储蓄卡账户11月25日8时42分网络ATM取款支出人民币3032.00元,活期余额83.65元。”
根据报道,当时银联客服给邓先生的回复称,他的存款是在河南郑州一家银行被提走的,而另外十余名受害者中,10名事发地在河南境内,2名在山西境内。邓先生告诉媒体,对方告诉他,这是一种来自手机的网络ATM刷卡消费。报道称,这是一起疑似使用拉卡拉手机刷卡器作案的异地盗刷银行卡案,警方已经派人去外地调查。
记者了解到,近年来,经常出现银行卡被盗刷的案例,但通过手机刷卡器作案的还并不多见。
拉卡拉:非手机终端问题
昨日,拉卡拉方面向记者表示,“就已披露信息而言,这是犯罪团伙通过不明渠道窃取用户银行卡信息制作伪卡,进行异地ATM提现的案件。在某些媒体的不实报道中,把手机刷卡器想象成提现工具,是完全没有根据的联想。”拉卡拉方面称,拉卡拉手机刷卡器与此事完全没有关系。拉卡拉手机刷卡器的安全性是经过银联安全认证的,一卡一密,一机一密,加上拉卡拉多重风险控制保障,完全可以保证持卡人的用卡安全。
拉卡拉方面还表示,拉卡拉手机刷卡器是个人支付工具,有着严密的安全保障体系。只获知身份证号是不可能被刷走卡中金额的(除个人身份证外,必须同时满足以下5点才可使用:用本人身份证验证开通的手机刷卡器、绑定的手机号、开通时设定的登录密码、银行卡实体而非银行卡账号、银行卡密码,缺少任何一个环节都不可能使用)。
央行将发布移动支付标准
数据显示,今年第三季度,某安全企业查杀到可具备盗取用户支付账户密码行为的间谍软件357款。安全专家透露,目前不法分子主要通过两种形式威胁用户支付安全,一是通过篡改一些知名电商应用,在其中嵌入木马程序,盗用支付密码;二是通过专门截获手机的支付验证码形式,直接模拟用户的购物行为。
据媒体报道,11月27日,央行科技司副司长陆书春透露,近期将发布中国金融移动支付标准。央行方面下一步会积极推动标准应用试点示范以及基础设施的完善,并为移动支付营造更好的环境。
争议:手机刷卡器到底安不安全?
手机支付是近年兴起的一种手机支付新业务,因其支付便捷,随着智能手机的兴起而逐渐火热。而手机刷卡器仅一张卡片的四分之一大小,厚度与一般手机相同。该产品主要面对个人消费者,是一款连接智能手机的外设刷卡终端,支持 iPhone、 Android等主流智能手机及Pad产品。
专家:仅凭身份证号码不能刷走金额
最近,一则“只要掌握机主身份证号码即可手机刷走他人卡上金额”的消息引起广泛关注。手机安全专家对本报记者表示,电商终端还相对安全,但实际上,由于目前手机不法分子通常会根据攻击目标的安全系数来调整自己的攻击方法,在未能及时辨别的状态下,用户仍然存在安全风险。
专家表示,如果只是知道用户的身份证号码,不法分子是不可能盗刷成功的,因为没有获取用户具体哪个银行的银行卡账号信息以及密码。专家认为,这种盗刷,极有可能是不法分子此前已经成功克隆了用户的银行卡信息以及通过不法途径获得了用户的银行卡密码,才借助某个平台进行盗刷,这与此前被曝光的盗刷性质是一样的,只是平台进行了更换。为此,专家提醒用户,要定期更换账户密码,并采用较为复杂的密码保护机制,发现账户活动异常时及时咨询、举报和对交易账户进行锁定。
买刷卡器的多是玩票性质,因为习惯网购的人一般都会开通网银直接付款,而通过刷卡器反而显得麻烦。“还要小心盗刷的可能,或者刷卡没成功却扣钱的情况。”马先生提醒说。
平湖派出所办案民警昨日表示,十余名受害人中,部分人使用过“拉卡拉”手机刷卡器,犯罪分子可能在这些手机刷卡器上做了手脚,使之成为暗藏机关的“木马”,以盗取银行卡磁条中存储的信息,复制银行卡后异地取款。因案件尚在侦查阶段,警方需在破案后才能透露全面情况和具体作案手段。