黑客究竟用什么姿势偷走了你的钱?
手机POS机存在哪些问题? 很多小店铺或者私营业主使用手机收款POS机来进行收费,这为刷卡消费提供了很多便利。在这个案例中,消费者到一家店铺的POS机上进行刷卡消费。然而在消费者刷卡完成离开店铺之后,恶意的POS机收款方虽然并没有拿到消费者的银行卡和银行卡密码,但依然可以从消费者的卡中扣除任意金额的资金,转到自己账户中。分析原因前,我们先来看一下演示视频。 【视频链接戳这】 这个视频是我们GeekPwn和央视在315晚会上合作的一个短片,短片展示了之前描述的POS问题的案例。在视频中,恶意的POS持有者在刷卡者刷卡消费完成之后,随便拿了一张便利店的会员积分卡,输入任意密码就刷走了之前刷卡者银行卡里的钱。在这里刷便利店的磁条卡和输入任意密码仅仅是为了触发刷卡支付的相应步骤。由于315晚会时间的限制,短片没能细致地解释这个盗刷流程,因此不少观众以为演示的是复制磁条卡的问题,其实这个案例比复制磁条卡更进一步。在刷卡消费过程中,需要两个要素,一是磁卡,二是磁卡的支付密码,缺一不可。因此如果只是复制磁卡,那么还需要额外获得磁卡的密码。在这个案例中,受害者刷卡消费时,刷真实的卡,输入正确的密码,在收款客户端中生成了一个扣款的令牌。然而这个扣款令牌并没有实现一次一密,在刷卡完成后并没有作废,因此恶意的POS持有者就可以从手机内存中取出这个令牌,反复使用反复扣费。所以说,导致这个案例的原因,是支付平台的POS支付协议的漏洞。 指纹支付存在哪些问题? 如果你的手机忘了锁屏,放桌上被人拿走了,钱会被偷走吗?你可能会想:“应该没法转走钱吧,毕竟支付的时候还需要再验证一次。更何况我设置了指纹验证,比支付密码更安全。”大多数时候确实如此,但是如果这里有漏洞,那就不是这样了。这个案例展示了攻击者拿到一台已经解锁屏幕的手机,绕过指纹验证进行支付的场景,受害者当然是手机被拿走的那个人。在分析原因前,我们先看一下攻击流程。 (编辑:网站开发网_马鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |