查看: 94|回复: 0
你的银行卡，我的钱——POS机安全初探
TA的每日心情难过3&小时前签到天数: 226 天[LV.7]常住居民III主题帖子积分
天涯海角搜一下：
【前言】现代社会，刷卡已经非普及了，所以POS系统(Point Of Sales System)的应用非常普遍，在商场、餐厅、酒店、医院等场所都能见到它的身影。移动支付体系下的新式的POS机一般是连接第三方支付机构使用银行卡快捷支付，技术上引入了蓝牙/WiFi/音频(用于POS刷卡器与POS终端主机通讯)、Android/iOS(POS终端主机APP支持的系统)，更便捷的同时引入更多安全问题。我们针对几个品牌的POS机进行了安全测试，结果却让人感觉害怕：把卡在黑客控制的POS机上刷一下后，银行卡还在你手上，黑客却可以继续刷卡，刷光里面的钱(你的卡，我的钱)。【场景演示】我们分析了国内几款知名的POS机，发现其系统设计都存在类似的安全漏洞，经过对数据篡改后，可以对刷卡的人扣取任意费用。无图无真相，看下图。漏洞原理比较简单，但是影响却让人感觉害怕。我们遵循负责任的安全漏洞报告流程，漏洞细节已经报告给相关厂商修复。【技术分析】现在到了技术分析时间。我们分析发现，该款POS机在向服务端发送指令时是包含了一个防止重放攻击的随机数，但是服务端却没有验证随机数，结果就是POS机向服务端发的包可以重放攻击。同时，POS终端发出的指令包也没有数字签名，可以任意修改。于是漏洞就产生了，攻击者通过正常刷卡获得受害者银行卡的一些信息后，可以自行生成一个付款指令到服务端，这样受害者的银行卡就被扣款了。大致的漏洞示意图如下(具体的细节就略过)：
修复方法也比较简单，服务端校验这个随机数就可以了。这样即使是重放，由于随机数已经出现过了，所以攻击会失效。但是问题又来了，黑客如果直接拦截改包而不是嗅探，那么怎么防护呢?加一个数字签名吧。这个漏洞的本质是信息化后不安全的IT系统洞穿了基于“拥有”(银行卡)加基于“知道”(密码)的身份认证体系。试想一下，未来的生物特征(指纹、声纹、虹膜等)认证方式同样是信息化的，是否也会存在这种隐患呢?【延伸知识】发达的资本主义国家早就遇到过POS机的安全问题。2013年国外安全公司Arbor Networks就发现了感染POS终端和服务器的恶意软件，下图就是被感染的地域分布图。从图中我们可以看到，中国大陆几乎不受影响，看起来是国内的POS系统跟国外不是一个技术架构，所以不受洋蠕虫病毒的影响。
2014年1月，US-CERT针对POS恶意软件发出预警，并给出了POS系统最佳安全实践：
【防范恶意POS机】通过上文可以看到，POS机的安全隐患还是较大的，现在我们的研究团队成员出门刷卡时看到POS机心里就特紧张。那么，怎么防范呢?金融安全关系重大，特别是随着互联网金融的兴起和发展，带来的安全问题只会越来越多，监管机构、厂商和普通用户都应该对此引起足够重视。对于监管机构来说，厂商发布的金融类产品的安全质量应有切实可行的规章制度流程来保证。对于厂商来说，硬件设备要遵循SDL流程，将大部分安全风险消除在发布前——毕竟终端的升级成本会高于在线服务很多，而且随着互联网金融的发展，传统金融行业隐匿起来的安全风险会被更多的发现。对于普通用户来说，为了防备恶意POS机，最好准备两张卡，一张专门用于存钱，一张专门用于刷卡和网银，这样即使被盗刷了损失也可控;同时开通银行的单笔消费通知(微信和短信双管齐下)，如果有异常消费就可以第一时间发现和处理了。
【后记】随着互联网的发展，结合硬件、软件、通讯架构下的智能设备的安全问题还很多，随着时间的推移和业界的关注，这些问题会逐渐爆发出来(比如最近对部分省份电信DNS Server 产生DDoS攻击的感染摄像头的蠕虫)。
本帖子中包含更多资源
才可以下载或查看，没有帐号？
天涯海角也要找到Ni：
天涯海角搜一下：
注册账号后积极发帖的会员
经常参与各类话题的讨论，发帖内容较有主见
经常帮助其他会员答疑
积极宣传本站，为本站带来更多注册会员
曾经为论坛做出突出贡献目前已离职的版主
||追梦网络设备与服务论坛_路由器_交换机_Linux_windows server 2003_windows server 2008半年前往银行卡打钱，钱？忘记打多少了现在能查出来吗_百度知道
半年前往银行卡打钱，钱？忘记打多少了现在能查出来吗
　　　　随着银行卡的广泛使用，银行卡犯罪的案件也逐渐增多，近日，在郑州又出现新骗局，捡到银行卡，有30万却不能使用，是怎么回事？　　事件回顾：　　“为表示感谢，不方便登门致谢，送上银行卡，略表心意。”近日，不断有市民、巡防队员、环卫工在郑州街头捡到标有这些字样的信封，里面装了附有密码的农业银行信用卡，蹊跷的是，这些银行卡的卡号相同。　　据了解，在ATM机上查询后，卡里显示“可用余额30万元”，却无法取出。该银行的工作人员称，这些银行卡都是假的。　　释疑1：　　　那么银行卡是假的，为什么能在ATM机上正常操作呢？　　业内人士介绍，ATM机主要识别银行卡的磁条信息，“磁条信息属实，可能确实有30万元金额，但账户被冻结了或者密码是错误的，所以钱无法取出。”　　杜岭街巡防队员提醒市民，遇到此事，千万不要轻信，以免上当受骗。　　释疑2：　　捡到银行卡之后，事态会如何发展呢？　　这次大家发现及时，没有被骗，但我们不妨来看一下几年前的相关案例，大家就能大概清楚骗子的手段了。　　家住邵武市区的张老三走随手接了一张宣传单，回家一看，发现单子上写着“日本株式会社成立周年纪念回馈广大消费者刮奖活动”等字样。他好奇地刮开中奖区，一看自己中了25万元的巨奖。　　为探个究竟，他拨通了宣传单上的“香港公证处”的公正电话，对方表示确实有该活动。而后他又拨通了领奖中心的电话，对方让他将身份证复印件、住址等寄过去，钱会直接打入银行卡汇给他。　　几天后，张老三收到对方从“东芝香港有限公司大连分公司”总部寄来的“汇丰储蓄卡”一张，内附有账户余额查询密码，并说明要先交个人所得税5万元，方能得到25万元卡的取款密码。他拿着卡到市区银行自动取款机上查询，卡内果真有25万元余额，一连在不同银行试了几遍，结果都一样。　　此时，张老三对自己中奖一事深信不疑。第二天，他便按对方的要求，向对方指定的账户上汇出5万元的个人所得税。第三天，他又与领奖中心取得联系，“缴纳”15000元押金。不料，钱汇出后，他再次拨打领奖中心的电话索要取款密码时，发现电话怎么也打不通了。知道自己上当后，他只好报警。　　据银行工作人员介绍，对方所说的取款密码也就是查询密码，只是骗子哄骗张老三的一种伎俩；储蓄卡是真的，卡中25万元也是真的，可卡已被锁定冻结，可以查询到余额，却取不出来；还有一种是公对公以防打错款，24小时打出的款对方是无法提取的，打款方可在24小时之内自行撤回打出的款。　　看了以上的案例，相信大家都对这种骗局的行骗流程有了一个比较清晰的认识了。下面给大家介绍几种常见的银行卡欺诈手法和防范方法，希望各位在生活中都能更加提高警惕，防止受骗。　　防诈骗技能get√　　类型一：利用短信、电话诈骗　　不法分子通过电话等通信工具，骗取持卡人账户信息。比如有的打电话谎称持卡人亲人朋友遇到紧急事件需要资金等，欺骗、诱使持卡人将自己卡上的资金转到不法分子的账号上。　　防范方法：收到可疑信函、电子邮件、手机短信、电话等时，应谨慎确认。如有疑问应直接到发卡银行柜台去询问，或拨打发卡银行统一的客服热线。　　类型二：在自助银行机具上捣鬼　　不法分子往往在自助银行机具或ATM上设置一些障碍或“机关”，窃取持卡人密码，将卡片掉包或等持卡人离开后将卡片取出盗刷。　　防范方法：使用自助银行机具操作时应避免他人干扰，防止他人偷窥密码。如遭遇吞卡，应拨打发卡行的统一客服热线电话。　　类型三：通过网络“钓鱼”窃资金　　不法分子利用电子邮件、网络黑客软件及终端设备，引诱持卡人登录到伪冒的网上银行网站，盗取持卡人的银行卡卡号、密码等账户信息后，制作伪卡进行消费、转账。　　防范方法：持卡人进行网上支付及登录网上银行时，不要使用不明链接或电子邮件提供的银行网站，登录时仔细检查网站名称、标识是否正确。不要在网吧等公共上网场所操作网上银行或进行网上交易。
其他类似问题
为您推荐：
银行卡的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁黑客把卡上钱盗走银行有责任没_百度知道
黑客把卡上钱盗走银行有责任没
黑客把卡上钱盗走银行有责任没
我有更好的答案
有没有责任你的去问法官
首先要进行责任认定，黑客是怎么把你的钱盗走的，如果是因为你的电脑有漏洞或者病毒、密码泄露等原因，你自己是要担负相当大的责任的，如果是黑客直接攻击银行把你钱盗走了，那就是银行的责任，这就像交通事故，不是说谁撞了你就一定是他的责任，要交警进行责任认定的。不过现在银行势大，国家有没有专门保护储户的法律措施，走法律途径大多情况都是拿银行没办法的
其他类似问题
为您推荐：
黑客的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁还可以输入150字
标题已超出10个字
您发布过于频繁，请2分钟后重新发布
登录后才可以发表评论哦！可以选择
赶紧当第一个评论者吧！
您可能感兴趣的新闻：
24小时挨踢1024 TOP 10
口碑要变差了 红米note2的虚假宣传到现在都死不承认
口碑不好但是不能不承认小米有钱
滴滴打的 是最终极名字，朗朗上口，一股浓浓的喜庆味……没错，就是这个味，我就喜欢你…滴滴打的…
这下不但能劫色还能劫财了
我还以为要变更为滴滴生活，包含滴滴打人、滴滴打炮等多款应用。
马云不引入党产始终不敢放心做。
小米是一家典型的三观不正的公司，小米模式正在杀死中国的创新能力。
唱衰五年了，人家依旧获得很滋润
真是第二次闭关锁国。现在墙的范围已经远远的超过了所谓“敏感政治信息”的范围。一般的资讯网站，科研机构，学校，公司等等网站已经大规模的上不去了。我在多大读博的朋友说回国连学校邮箱都看不了。
手机号登录|用户名登录
中国香港(+852)
中国澳门(+853)
中国台湾(+886)
加拿大(+1)
马来西亚(+60)
新加坡(+65)
俄罗斯(+7)
一个月内自动登录
1 填写手机号 > 2 填写基本资料
中国香港(+852)
中国澳门(+853)
中国台湾(+886)
加拿大(+1)
马来西亚(+60)
新加坡(+65)
俄罗斯(+7)
获取验证码收不到短信？大家好，请教你们一下，我银行卡上的钱被黑客取走了，我该走什么途径报案好？_百度知道
大家好，请教你们一下，我银行卡上的钱被黑客取走了，我该走什么途径报案好？
提问者采纳
提问者评价
太给力了，你的回答完美地解决了我的问题，非常感谢！
其他类似问题
为您推荐：
报案的相关知识
其他3条回答
直接去派出所报案。
还不知道是哪里人弄走的。
你所在的派出所。
就直接，报案不行吗
报是报了，不知道有什么用？
看看你的钱数量多大，5万以上到当地公安局经侦大队报案。立案调查
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁