作为支付安全专家,我收到了关于新支付技术的人们的许多问题。商家可能会接受它们吗?他们有多安全?这个空间,循环和硬币中最近的几个初创公司一直在产生相当多的问题,我对他们的审查显示了一些关于漏洞。

循环和硬币只是移动支付的两个例子,该初创公司试图通过将其新技术与现有支付卡系统嫁给其新技术将发明带入市场。原因很简单:如果商家可以重用现有的付款硬件和软件,主流更可能被主流接受他们的技术。

循环和硬币都试图保持垂死的磁条支付系统。但是,他们有另一个重要的“特征”共同:通过用数字ersatz取代原始塑料卡,他们无意中简化了被盗信用卡数据的流程。

环形

环路的核心专业知识正在转换传统的磁条读卡器设备(MSR),商家用于接受磁性信用卡和借记卡,进入非接触式读者。强大的磁场由移动支付设备(代替支付卡的磁条)产生,因此卡数据可以无线地传输到相同的读取器。

尽管从技术角度来看,这种技术非常有趣,但是有几个具有接受循环作为主流支付方法的潜在问题。首先,这里没有真正的创新。它只是旧技术的组合。其次,从安全的角度来看,它是与现有信用卡相同的噩梦。它可能更糟糕,因为我的所有卡现在都存储在一个地方。当从移动设备和整个系统传输时,卡数据不会受到保护,就像传统的塑料卡一样。

最后,循环比塑料卡更便于,特别是iPhone所需的FOB。我需要:握住手机,解锁手机,查找并启动应用程序,选择该卡,然后按下手机的按钮,同时按下手机,同时按下手机,同时按下“滑动”的按钮“滑动”fob 。更不用说许多读者在客户面向硬件中深入“隐藏”的事实,例如银行ATM或加油站的燃油泵,因此不能通过环路设备到达。

但最重要的是,该系统对商家,发行人和收购者危险,因为它简化了信用卡欺诈进程。黑客不需要制造物理塑料了 - 他们只是将被盗卡数据的转储加载到单个设备中,并voilà!

循环的开发人员表示,该应用程序在将新卡添加到钱包之前识别持卡人,因此无法将别人的卡添加到钱包中。这种“安全控制”非常薄弱,任何熟悉磁性支付卡设计的人都可以找到解决方法。通过比较持卡人名称在信用卡或借记卡的磁气轨道1上编码的持卡人名称来实现这种保护措施,其中包含循环应用帐户上的名称。想要进入和使用被盗轨道数据的黑客可以轻松伪造卡上的名称,并将其与循环账户上的名称匹配,因为磁轨道上的持卡人名称不会受加密或数字签名保护,并且可以改变在不影响付款审批过程的情况下任何信件组合。

硬币

硬币的想法是类似的,但更优雅:用单张纸张的复杂装置替换几张支付卡。硬币背后的技术非常令人印象深刻,但它提出了与循环设备相同的安全问题。通常情况下,当载体员想要在砂砾商店使用被盗的卡数据来购买时,他们需要生产假塑料卡,必须看起来像真正的信用卡,并用被盗的磁轨道对它进行编码。但是用硬币,不需要生产一个良好的身体塑料了。偷窃数据可以直接编码到硬币设备中。

载手必须克服一个障碍:拍摄真实卡的照片,以便他们可以通过iPhone或Android应用程序进入硬币的新卡信息。但我认为生成信用卡的现实虚拟形象(所以它可以被拍摄而不是真实卡)比创建物理假冒卡便宜,这需要特殊的设备,例如PVC打印机,压花器,脚步镜,卸妆器等特殊设备。

我相信黑客,嘉次和收款人将是第一个测试人员(以及随后是这种“创新”技术的最欣赏的用户之一。更有效的安全控制 - 如果它们是可行的 - 必须设计用于重用现有磁条技术的移动钱包应用程序。

Slava Gomzin是一家安全和支付技术专家,在惠普,以及书籍的作者,销售点:付款应用秘密,威胁和解决方案,也可在Kindle上提供。他还有一个关于支付安全和技术的博客,Payappsec。在HP的角色,斯拉瓦有助于使用最新的安全和付款技术创建集成到现代支付处理生态系统的产品。在加入Hewlett-Packard之前,他是一名安全架构师,企业产品安全官员,研发和应用安全经理,Retalix的开发团队负责人,是NCR零售部门。作为PCI ISA,他专注于POS系统,支付应用程序和网关的安全性和PA-DSS,PCI DSS和PCI P2PE符合性。在进入安全之前,斯拉瓦在研发设计和实施新产品中,包括下一代POS系统和各种接口,以支付网关和处理器。SLAVA目前拥有CISSP,PCIP,ECSP和Security +认证。