『 智慧型手機被盜刷！！！ 』

規模較小的公司與商店都開始設計及導入 mPOS 這類型的裝置，請大家要多加留意安全性。

企業安全解決方案供應商 Positive Technologies 研究人員發現一個影響全球支付服務的安全漏洞，
黑心商家或者是駭客有機會在顧客藉由 mPOS 載具進行消費時，入侵其消費者的帳戶或是竊取信用卡相關資訊，
較進階一點的方式，駭客還可以修改客戶支付卡的金額，另外還能強迫消費者使用其他種方式來做付款，POS 機的廠商真的要注意！

會有這樣的情況發生，是近期較熱門的移動式支付讀卡機 (mPOS)，
駭客趁機在手機於 mPOS 之間，利用中間人攻擊手法 (MiTM)。
當消費者準備使用手機做信用卡交易的途中，會透過手機的藍芽裝置進行信用卡的交易，
這時駭客會藉機在傳輸時利用攻擊程式進行監聽，並且能夠有效的干擾磁條通過後的支付金額，也有機會遠端控制手機程式。

這是因為有些mPOS讀卡機在執行藍牙傳輸時，沒有採用較安全性的機制進行配對，讓mPOS暴露了不少的安全漏洞，
Positive Technologies供應商建議商家應避免採用磁卡交易，而是利用晶片+PIN碼、晶片+簽名或非接觸式支付選項。

小編認為磁卡交易在手機上才算是新一代的消費模式，改善方式不是單純避免磁卡交易才算有效解決，
應該改變及優化藍芽裝置的加密機制，或者在進行載具及網路傳輸時，
增加多因子的身份認證，例如多一組帳號確認、手機簡訊通知，可降低駭客入侵及修改金額的機會。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

https://www.ithome.com.tw/news/125139
https://latesthackingnews.com/…/vulnerability-discovered-m…/

 

各種系統的漏洞未及時更新，常常是駭客利用各式工具掃描進而入侵的管道之一。一旦入侵成功，再進一步搜尋不安全的，或是破解服務安裝，
例如 Remote Desktop Protocol (RDP)，然後遂行勒索、破壞或竊取的目的。
駭客會利用安全漏洞來取得對系統的特權存取。 
許多這些漏洞由供應商提供的安全修補程式來修復，這些修補程式必須透過系統管理者來進行安裝。
所有系統必須具有所有適當的軟體修補程式，以防止駭客和惡意軟體對持卡人資料的竊取和破壞。
在 PCI DSS 標準中：
6.2 Ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor-supplied security patches. Install critical security patches within one month of release.
安裝由供應商所提供的安全修補程式，確保所有系統組件和軟體免受已知漏洞的影響。並且在發布後一個月內安裝關鍵安全修補程式。