http://paynews.net/article-29201-1.html 利用移动支付验证漏洞 苹果支付系统在美屡遭盗用 2015-3-9 08:09 | 来自: 鹤壁日报 摘要: 据新华社旧金山3月5日电 美国苹果公司不久前高调推出的苹果移动支付服务开始出现安全隐患。据《华尔街日报》5日报道,有犯罪分子利用苹果移动支付验证系统的漏洞,借用盗取的信用卡信息,用苹果支付服务进行交易 ... 你所不知道的随行付 据新华社旧金山3月5日电 美国苹果公司不久前高调推出的苹果移动支付服务开始出现安全隐患。据《华尔街日报》5日报道,有犯罪分子利用苹果移动支付验证系统的漏洞,借用盗取的信用卡信息,用苹果支付服务进行交易诈骗。 苹果支付服务采用近场通信技术,用户可用苹果手机进行免接触支付,免去刷信用卡支付步骤。用户的信用卡、借记卡信息事先存储在手机中,用户将手指放在手机的指纹识别传感器上,将手机靠近读卡器,即完成支付。 苹果支付系统本身并未遭黑客侵入,而是犯罪分子在其自用的苹果支付系统中输入了黑客侵入零售商系统窃取的客户信用卡信息,再用苹果支付服务购物。 被盗取的信用卡信息之所以能被支付系统接受,与苹果把核实信用卡信息的程序交给银行的做法有关。不同的银行有不同的核实方法,而犯罪分子用低技术手段,找到了这些验证系统的漏洞。但具体情况怎样,报道没有披露。
漏洞一直都有,跟苹果没什么关系。 http://www.douban.com/note/270583657/ 关于这次信用卡被盗刷两万的一个记录【转】 http://daikuan.51credit.com/yinhang/101232.shtml 信用卡被盗刷三案例分析 http://www.qh.xinhuanet.com/2014-02/02/c_119202712.htm 六个“妙招”防止信用卡在境外被人盗刷 http://www.leiphone.com/news/201501/H79C51hBO5hVaC3j.html 信用卡盗刷了?你需要知道这三件事 上海银监局介绍了几类盗刷形式,一是冒充购物网站工作人员以“交易未成功需退款”由头要用户在退款链接上输入信用卡交易密码、手机验证码等;二是冒充银行客服以“提升额度”等由头要求提供信用卡信息(有效期、CVV2等);三是利用伪基站群发银行营销活动短信,诱导用户点击钓鱼链接,并通过木马病毒盗取持卡人信息。 总结以上几种,都是盗取了用户的信用卡关键信息,从而实现盗刷。 ……
这个类似“第3方支付”的“快捷支付”的授权“漏洞”!Apple Pay其实可以看作为就是一个“第3方支付的快捷支付” 支付是一个完整的“链条”,其中任何一个环节的薄弱都会导致问题,就像水桶的蓄水取决于最短的一块木板!
分歧在于:如果由于信息泄露造成危险,那么责任应该由泄露信息的环节还是使用信息的环节来负?我觉得应该是技术上更容易防止问题的环节。 第3方支付在整个链条中是不掌握完整信息的环节,它们不可能自己完成确认用户信息的工作,只能把这个责任推给银行。 信息掌握程度的这种状况,是由实际业务模式决定的,短期内不可能改变。
因为对“第3方支付”及“快捷支付”方来说,越简单越有利,反正钱不是它们口袋里掏的,而“银行”方面对这个问题的认识不足,客户就更认识不足了。而过去“制作”“伪卡”的设备代价比较高,而现在一个iphone6就足够了(通过Apple Pay,可能以后都不需要iphone6,各便宜的低版本都可以,只要可以支持passbook),包括Samsung Pay应该也会有类似的问题(所有第3方支付,快捷支付都可能有这个问题),就比如我之前曾经说过的支付宝快捷支付的银行卡授权环节的风险问题,到现在各方还是没有去尝试解决!Apple Pay这个问题和它非常的类似的。