行动支付黑客

行动支付高攻击风险持续延烧

2015年是行动支付元年，尤其年底将至各家行动支付业者、信用卡组织都开始推出各种方案以冲高申办用户数。然而安...

2015年是行动支付元年，尤其年底将至各家行动支付业者、信用卡组织都开始推出各种方案以冲高申办用户数。然而安全性仍然是使用者心中最大的疑虑，研究报告指出2016年新一代行动支付系统将成为黑客的重点目标，黑客将持续钻研行动装置上的弱点。

根据趋势科技2016年度资安预测报告指出，黑客将试图从新的支付交易技术窃取信息，例如EMV信用卡、非接触式RFID芯片感应信用卡，以及Apple Pay、Google Wallet（现为Android Pay）等行动钱包，而这些支付机制的安全性在2016年将受到网络犯罪集团的严重考验。

在今(2015)年3月，三星收购行动支付厂商LooPpay的企业网络遭中国黑客入侵，三星官方指出此企业网络与Samsung Pay处理支付交易的网络是实体隔离的，Samsung Pay未受到影响、没有任何个资外泄。根据外电报导指出，黑客似乎是为了Samsung Pay的电磁安全传输(MST)技术而来，此一技术让Samsung Pay可以适用在一般商家的磁条卡片阅读机，是Samsung Pay的核心技术。在入侵事件后，LoopPay的网络已进行全面检查并加强安全措施。

趋势科技资深技术顾问简胜财指出，其实新一代的支付技术已比传统的交易支付安全许多，例如代码技术(Tokenization)以虚拟卡号取代实际卡号，使信用卡号不会储存在行动装置或商家的任何系统中，以及搭载具有加密功能安全芯片的行动装置日渐普及等，然而黑客仍然会对行动支付抱持高度兴趣。以整个行动支付流程而言，从前端用户行动装置与支付App到商家PoS系统以及银行后端系统，每个环节都有可能遭受攻击，但以攻击机率来说，最高的仍然要属前端装置或App。手机操作系统或App只要有弱点被挖出，整个交易风险就大为提升。

因此，要享受行动支付带来的便利，就应避免不安全的行为并趋吉避凶，综合多位专家建议，使用端掌握5要点才能安心享受行动生活：

1.不要破解手机取得最高权限
在今年的Black Hat黑帽大会上，已有研究员展示可远程窃取在Android手机上用户的指纹图像，被root的手机遭窃取的风险更大。指纹辨识已被用在行动钱包的身分认证上。

2.不要安装非官方App或在第三方平台下载App
以GooglePlay商店而言，约0.16%的App是恶意软件，但在中国大陆市场上约13%的App是恶意软件。

3.有新版App要及时更新，以定期修补程序漏洞

4.不用NFC(Near Field Communications)时就关闭此功能
日前香港传出有2款App只要靠近NFC感应信用卡，在5秒内就可读取持卡人姓名与个资，甚至在部分不需输入信用卡验证码的网站上就可用窃来的资料盗刷。

5.采用行动安全防护软件透过行动安全防护软件可以过滤用户安装的App是否有安全问题，例如越来越多的越权广告程序搜集过多用户信息，或将数据传送到可疑网站，可透过安全防护软件阻挡。