網購安全 風險大增 罪犯熱烈分享破解3D Secure技術心得

網購安全 風險大增 罪犯熱烈分享破解3D Secure技術心得

為提高 網購安全 性,信用卡公司及銀行相繼加入3D Secure技術,即是確認付款前必須輸入由上述機構發出的一次性密碼(OTP),或通過手機專用程式的生物特徵(biometrics)驗證。雖然看似安全,但近來地下討論區就有不少網絡罪犯分享破解心得,方法之多簡直令人心寒!

按此看:好幫手 Telegram機械人自動化執行購物詐騙

網購安全 3D盔甲

疫情下不少人都習慣網上購物,而網購安全風險亦成為大家關注的問題,例如小編自己就曾先後兩次被人盜用信用卡消費,雖然最終銀行調查後證實確與本人無關,但過程始終令人擔心。為減少被盜用信用卡消費風險,信用卡公司及銀行近年先後引入3D Secure技術,增加盜用難度。所謂的3D Secure,即用戶在網購時於付款畫面輸入及確認信用卡資料後,再跳轉至另一個額外一次性密碼(One Time Password)輸入畫面,信用卡公司或銀行會根據用戶預先選擇的方法,例如電郵或SMS短訊,發送這個一次性密碼給用戶作額外驗證,而最新版本的3D Secure則要求用戶使用生物特徵如指紋作為額外驗證方法。

按此看:Telegram活用案例 簡易盜取網購平台信用卡資料

三種方法破解網購安全保護

雖然3D Secure感覺上可增加網購安全性,不過,最近網絡安全公司Gemini Advisory就警告,如何破解3D Secure正成為地下討論區的熱門討論話題,有討論區會員更分享各自的破解心得。

 

方法一:假扮銀行職員

現時不少網絡罪犯會在網上出售完整的信用卡資料,包括信用卡號碼、姓名、聯絡電話、地址等,罪犯可假扮信用卡公司或銀行職員致電特定用戶,再用不同藉口例如須進行身份驗證,而同一時間罪犯正在利用對方信用卡進行網購,如對方未有懷疑並透露剛收到的一次性密碼便成功。

 

方法二:安裝惡意軟件

當罪犯取得目標人物的信用卡詳細資料,便可透過發送釣魚電郵給對方,引誘對方於電腦或手機安裝惡意軟件,截取對方通過上述方法接收的一次性密碼。

 

方法三:收買電訊公司職員

如目標人物選擇以SMS接受密碼,罪犯可收買目標人物所使用的電訊公司的職員,暗中將其SMS轉寄給自己,同樣可截取密碼。

按此看:Visa、Master割席 訂閱色情網站要學虛擬貨幣買賣

Gemini Advisory的安全專家指出,現階段使用生物特徵驗證技術的3D Secure雖然較為安全,因為罪犯會較難取得目標人物的指紋,不過,專家指暫時未見太多信用卡公司或銀行採用,所以作為消費者,暫時只能自保,盡量避免成為上述三種方法的受害者。

 

詳情:http://bit.ly/2PzdTsw