2015年是行動支付元年,尤其年底將至各家行動支付業者、信用卡組織都開始推出各種方案以衝高申辦用戶數。然而安全性仍然是使用者心中最大的疑慮,研究報告指出2016年新一代行動支付系統將成為駭客的重點目標,駭客將持續鑽研行動裝置上的弱點。
根據趨勢科技2016年度資安預測報告指出,駭客將試圖從新的支付交易技術竊取資訊,例如EMV信用卡、非接觸式RFID晶片感應信用卡,以及Apple Pay、Google Wallet(現為Android Pay)等行動錢包,而這些支付機制的安全性在2016年將受到網路犯罪集團的嚴重考驗。
在今(2015)年3月,三星收購行動支付廠商LooPpay的企業網路遭中國駭客入侵,三星官方指出此企業網路與Samsung Pay處理支付交易的網路是實體隔離的,Samsung Pay未受到影響、沒有任何個資外洩。根據外電報導指出,駭客似乎是為了Samsung Pay的電磁安全傳輸(MST)技術而來,此一技術讓Samsung Pay可以適用在一般商家的磁條讀卡機,是Samsung Pay的核心技術。在入侵事件後,LoopPay的網路已進行全面檢查並加強安全措施。
趨勢科技資深技術顧問簡勝財指出,其實新一代的支付技術已比傳統的交易支付安全許多,例如代碼技術(Tokenization)以虛擬卡號取代實際卡號,使信用卡號不會儲存在行動裝置或商家的任何系統中,以及搭載具有加密功能安全晶片的行動裝置日漸普及等,然而駭客仍然會對行動支付抱持高度興趣。以整個行動支付流程而言,從前端使用者行動裝置與支付App到商家PoS系統以及銀行後端系統,每個環節都有可能遭受攻擊,但以攻擊機率來說,最高的仍然要屬前端裝置或App。手機作業系統或App只要有弱點被挖出,整個交易風險就大為提升。
因此,要享受行動支付帶來的便利,就應避免不安全的行為並趨吉避凶,綜合多位專家建議,使用端掌握5要點才能安心享受行動生活:
1.不要破解手機取得最高權限
在今年的Black Hat黑帽大會上,已有研究員展示可遠端竊取在Android手機上用戶的指紋圖像,被root的手機遭竊取的風險更大。指紋辨識已被用在行動錢包的身分認證上。
2.不要安裝非官方App或在第三方平台下載App
以Google Play商店而言,約0.16%的App是惡意程式,但在中國大陸市場上約13%的App是惡意程式。
3.有新版App要及時更新,以定期修補程式漏洞
4.不用NFC (Near Field Communications)時就關閉此功能
日前香港傳出有2款App只要靠近NFC感應信用卡,在5秒內就可讀取持卡人姓名與個資,甚至在部分不需輸入信用卡驗證碼的網站上就可用竊來的資料盜刷。
5.採用行動安全防護軟體
透過行動安全防護軟體可以過濾使用者安裝的App是否有安全問題,例如越來越多的越權廣告程式搜集過多使用者資訊,或將資料傳送到可疑網站,可透過安全防護軟體阻擋。