【大紀元2014年10月30日訊】(大紀元記者張岳綜合報導)自2013年至今,大型連鎖超市的收銀系統遭駭客侵入事件頻見報端。連鎖的零售店、餐飲店和旅店是駭客攻擊的首選目標。科技公司不斷開發新的應對技術,試圖抵擋駭客的攻擊。這些技術包括EMV智慧晶片(芯片)卡、Tokenization記號化技術和指紋傳感技術等。
支付風險增加 企業損失慘重
信用卡支付技術支持公司Elavon及Trustwave公司發布的安全報告表示,支付系統遭受入侵的現象不只存在於大集團公司,去年遭駭的企業中,連鎖性質的零售店、餐飲店和旅店這三個行業佔了64%。
根據尼爾森公司(Nilson)的報告,2013年全球總的銀行卡遭欺詐金額逼近140億美元,其中美國為71億美元,超過全球數字的一半,而且與2012年相比,盜用金額增加了29%。根據過去一段時間的駭客攻擊報導,預計今年這一數字將會更高。
然而,賬目上的損失還只是冰山一角。Ponemon資訊安全研究所的調查報告顯示,43%的消費者會避免再去遭駭過的商家購物,另外31%的消費者會減少到該商家的購物。其它直接或間接的損失包括商譽受損、訴訟、負面新聞和正常經營流程受影響等等,全部損失難以估量。
晶片卡逐漸普及
EMV(Europay, MasterCard和Visa的首字母縮寫組合)是晶片卡的全球技術標準,可以降低賬戶資料被破解和卡片被偽造的風險。傳統磁條卡上的資訊用普通讀卡器就較容易被讀取出來,從而用於製造偽卡;而晶片技術賦予每次交易不同的動態值,使持卡人的資訊幾乎不可能被破解。
EMV卡和EMV終端機在歐洲大部分地區已經普及,目前美國幾家大的發卡機構也在發行晶片卡。便攜式EMV收銀設備則更加方便,方便消費者確保銀行卡在自己的身邊和視線之內,也會增加消費者的滿意度和安全感。這種設備適用於餐飲、零售店及更多行業。
記號化技術讓敏感資訊「隱身」
Tokenization技術是用特別的識別符號(Token)替代敏感性資料。在信用卡交易中,除了卡號的最後四位數字,其他的資訊由字元組成,這些字母代表持卡人的資訊和更詳細的交易數據。實際的信用卡號碼只在最初的請求中使用,在批准或拒絕交易中,返回給請求者的是符號,而不是卡號。存儲在銷售終端(POS)系統中的是符號,也不是卡號。記號化使持卡人的真實資料得以「隱身」,駭客更難獲取。
Elavon公司認為,Tokenization技術支付方式非常適用於不需出示實物卡的環境,例如移動支付、網上支付等。此外,像旅館、健身俱樂部等經常需要存儲臨時交易數據的商家也適合使用此技術。
美國上萬家酒店已用Tokenization技術
Trustwave的安全報告表示,餐飲及酒店的交易具有延時的特殊性,交易不是馬上完成,而在預刷卡之後,交易數據會「坐」在系統裡,等待結賬時再做調整(如增加小費、雜費等),而最後結賬並不需要客戶重新出示實體卡片,使得賬戶資訊更容易被駭客捕捉到。
在南加州經營酒店多年的李秉信(Ben Li)表示,他擁有的幾家酒店五年前就已使用有Tokenization加密技術的支付系統。他說:「我們的酒店是全美最大旅店集團Wyndham的加盟店,集團旗下有十幾個酒店品牌,共有約一萬多家旅店,所以對支付系統的安全非常重視。」
此外,他還介紹說,其酒店支付系統有雙層防火牆防護,除了每個酒店自身的防火牆外,集團總部亦設有防火牆。經Tokenization加密後的數據存儲在總部的系統裡,Token密碼時刻動態變化,外層密碼每6個月更換一次。
蘋果Apple Pay採用Tokenization技術
今年9月蘋果發佈新款手機iPhone 6 和 iPhone 6 Plus時推出了新的移動支付方式Apple Pay系統。用戶首先需要將有效的銀行卡資訊添加到手機Apple Pay程式,到商店買東西時,只要將手機靠近專用的收銀設備,信息通過內置的NFC晶片和Touch ID指紋辨識技術實現傳輸,無需再刷實體卡片。交易過程中,Apple Pay傳輸的和交易單上顯示的是一個全新的虛擬卡號,而不是實際的信用卡卡號。蘋果的這種移動支付功能,就是基於Token實現的,符號能代表信用卡,卻很難被破解。此外,交易完成後,手機還能立刻收到交易提醒,告訴主人交易時間、商家和金額等資訊。因為手機在手,更增強了安全性。
Apple Pay的一項不足是它只能在iPhone 6 和 iPhone 6 Plus手機上使用,而且手機要升級到iOS 8.1系統。
萬事達卡擬採用指紋傳感技術
10月17日,萬事達卡(MasterCard)和指紋識別技術公司Zwipe在倫敦宣佈,二者合作推出了世界上第一款集成了指紋傳感器的非接觸式支付卡。
該Zwipe萬事達卡沒有磁條。它利用Zwipe生物特徵認證技術保存持卡人的指紋數據,並直接存儲在卡上,而不是在發卡公司的數據庫,從技術上杜絕了駭客通過攻擊數據庫而獲取海量銀行卡數據的可能。
除採用指紋認證外,該卡集成生物數據傳感器,包含一個EMV認證的安全元件和萬事達卡的非接觸式應用程式。在持卡結賬時不需要再將卡片和機子接觸或在機子中劃過,使用者只需要將手指按在信用卡上的指紋辨識晶片上,再貼近讀卡機,即可完成交易。該指紋辨識信用卡相較於過去的萬事達Paypass信用卡,不僅增強了安全性,也縮短了結賬時間。
萬事達已與挪威Sparebanken DIN銀行合作,開始試行指紋傳感信用卡,目前的試用版本需要內裝電池,所以比常見的信用卡顯得厚重。但Zwipe公司表示已經找到方法解決電源問題,未來會在指紋傳感信用卡中內置低頻RF晶片,在付款時,讀卡機會發送RF訊號為信用卡供電。新卡有望2015年首先在英國正式發行。
與Apple Pay只能在高端iPhone手機上使用不同,萬事達指紋傳感信用卡與手機無關,理論上任何人都可以使用。◇
責任編輯:汪曼
