|
|
轻轻一扫就盗取了付款卡资料 国家银行和科技专才却说不可能?!
[复制链接]
|
|
|
发表于 20-1-2017 09:14 AM
|
显示全部楼层
各位我想问一下。。。
现在被强制换有PayWave功能的Debit卡可以关掉Paywave功能吗,因为现在(以后)只是把它当ATM卡来用,不会拿这张卡来网购,刷卡。何况我是现金派的说。 |
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 09:22 AM
|
显示全部楼层
|
想请问一下,现在使用PayWave需要输入六位数密码吗?最近我在Aeon购物,使用Citibank信用卡。不用输入密码,也不用签名。是这样吗? |
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 09:27 AM
|
显示全部楼层
技术上来说是可以防盗的,因为只有 PayWave 没有验证程序,只要限制可以用 PayWave 的商家就可以了。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 10:04 AM
|
显示全部楼层
太过怕的话,建议直接不带卡出门吧。带现金吧。
ops.. 可是又怕掉钱包/抢钱包噢。。那怎么办。 |
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 10:47 AM
|
显示全部楼层
面子书用户Hajar Majid日前上传了一张题为“数码扒手做法”的照片。图片中的文字显示,数码扒手只需要下载一个免费的手机程式就可以在1米的距离内,盗取用户的资料。如果你的电脑安装了无线电波读卡器的话,就可以轻地在5米内盗取用户的付款卡资料。
资料更显示,不法分子获得你卡上的资料后,就可以在无需上网的情况下,使用相关资料进行300令吉到1500令吉的交易。
Hajar同时发布视频,以行动证实这项说法。视频可见,他确实可以透过手机程序轻易地取得密码验证卡的用户名字和卡号。接着,他还出示了一个类似可以保护银行卡免于受侵的卡套。不过,他并没有说明,相关手机程式如何透过用户名字和卡号进行网上交易。
看到那個視頻,我笑了
原來1米的距離是把手機壓在信用卡上面的距離
說了那麼多謊話,要賣那個所謂的保安卡套才是真的
|
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 11:34 AM
|
显示全部楼层
本帖最后由 timoti 于 20-1-2017 11:37 AM 编辑
Visa payWave Master Card payPass 等等用NFC EMV 技术都是有被 Relay Attack 盗用的风险。上述例子就是一个。
简单来讲 Relay Attack 只需要两个attackers,一个中间人 A 和 一个 attacker B。 中间人 A 接近受害者 C 的信用卡然后用 NFC Reader 与信用卡的微处理器对话。与此同时另一个 attacker B 用另一台机器和商家的 POS terminal 对话。过后A的机器和B的机器互相连接,并在 POS terminal 和受害者信用卡之间建搭桥梁。这就等于POS terminal 可以直接读取受害者的行用卡了。
这attack的难度在于一般的NFC Reader 只能在小于一寸的短距离才能读取信用卡。所以中间人A要接近受害者的行用卡是比较难得逞的。可是根据Kaspersky的部落格 (https://blog.kaspersky.com/contactless-payments-security/9422/) 有人可以做到用 80 cm的距离读取NFC资料。这意味着只要被人靠近就有风险。
如何防范行用卡的Relay Attack?设定PIN是必须的第二层保护。因为就算你的信用卡被盗用了(不管是被偷还是被骇客攻击),只有你知道PIN。为了方便而不使用PIN是极其危险的。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 01:20 PM
来自手机
|
显示全部楼层
Joo95 发表于 20-1-2017 09:14 AM
各位我想问一下。。。
现在被强制换有PayWave功能的Debit卡可以关掉Paywave功能吗,因为现在(以后)只是把它当ATM卡来用,不会拿这张卡来网购,刷卡。何况我是现金派的说。
可以的。去 atm 机哪边按。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 02:06 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
发表于 20-1-2017 03:24 PM
|
显示全部楼层
本帖最后由 ckianhong 于 20-1-2017 03:28 PM 编辑
现在油站刷卡打油,超过200块就要输入密码,还有短信提醒。不是自己刷卡就要向银行举报。
所谓“盗取付款卡资料”,也许可以做到。
信用卡+密码,被人盗用滴机率应该很低。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 26-1-2017 01:58 PM
|
显示全部楼层
RM250以下不需要PIN
 |
|
|
|
|
|
|
|
|
|
|
|
发表于 26-1-2017 02:18 PM
|
显示全部楼层
骇客利用分布式猜测攻击,破解 VISA 信用卡仅需 6 秒
本帖最后由 牛牛好累 于 26-1-2017 02:24 PM 编辑
我们大多数人都用信用卡线上刷卡过,线上刷卡除了要输入卡号之外,还要输入到期日的月年,以及信用卡背后的一组检查码,才能成功支付。而为了不让别人利用多次尝试来猜到你的输入资讯,因此通常猜测几次错误后,就会不让你继续输入。
不过,最近英国的研究人员发现了一种作法,可以破解VISA信用卡的到期月年,以及检查码的方式,并且还可以不受到输入次数的限制,进而在线上「帮你」刷卡,这份研究发表在IEEE Security & Privacy 期刊上。
英国新堡大学(Newcastle University)的测试方式称为「分散式猜测攻击(Distributed Guessing Attack)」,原理与一般分散式运算的原理差不多,就是将信用卡的所需输入资讯,丢到不同的网站去猜测处理。每个网站的猜测次数都保持在安全范围内,那么就不会被锁住。
详细地说,一般信用卡的有效期限大约为五年,因此猜测的次数为六十次(5年x12个月)。至于三位数的检查码,最多则要猜测1000次。
研究人员测试了389 个人们常用到的线上电商网站,然后利用多工输入的方式来进行猜测信用卡资讯,发现了两个目前信用卡会有的弱点:
第一,目前的VISA支付系统不会侦测同一张信用卡在不同网站多重输入错误的情况,这也暗示了目前信用卡无法有效防止骇客利用多个网站进行分散式猜测攻击。
第二,虽然电商网站提供的输入资料栏位各不相同,但是这个攻击依然奏效。
在这个研究测试的389 个电商网站中,其中仅有47 个网站成功阻挡了分散式攻击,而有291 个网站只会验证到期日和检查码,其中238 个网站还可以让使用者输入错误六次以上,其中还有26 个网站只验证到期日,不做检查码的验证。而依照现在电脑的运算能力,估计利用这种分散式攻击大约不到六秒钟的时间就可以得到结果。
值得一提的是,同样的问题在MASTERCARD上不会发生,因为他们会检查多重输入的问题。
不过VISA对于这个研究结果不觉得很严重,他们表示学术研究归学术研究,这个研究并没有将现存的电子支付系统中,多重防护诈骗的方式考虑进去。研究者必须将这些因素都考虑进去,才能够符合现实世界中的实际交易状况。
此外,VISA也强调,他们也有更安全的机制,电商可以使用 3D Secure技术 (就像是 Visa 或 MasterCard 的安全码)来防止这些攻击。
具体步骤:
- 首先,黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。
- 下一步是到期日期,信用卡的有效期为 60 月,所以猜测日期最多需要 60 次。
- CVV(信用卡安全代码)是最后的屏障,理论上只有卡持有人知道该号码,但猜测这三位数最多尝试 1000 次
- 通过上述步骤就可以获得被黑账户的所有数据
如何避免此类欺诈:
- 限制在线支付金额
- 银行卡不要存大量的钱,资金已到位立刻转出
- 保持警惕、注意交易记录
引用:T客帮
虽然 VISA 说问题不严重。既然可行,一定有人会尝试。
.gif)
|
|
|
|
|
|
|
|
|
|
|
|
发表于 9-2-2017 11:27 AM
|
显示全部楼层
是的
我已经去银行确认了
那位员工还跟我说,是有点危险
我也不知道该怎么回答他。。。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 9-2-2017 12:02 PM
|
显示全部楼层
|
很简单,怕就不要用,一切以现金付款,也不要上网买东西。难道说你怕发生交通意外而不敢去坐车或驾车? |
|
|
|
|
|
|
|
|
|
| |
 本周最热论坛帖子
|
3388 
112
