中间人攻击:你的信用卡数据是这样暴露的……
2017-07-18 15:14
260 查看
NCR Corp研究人员展示了针对PoS终端和PIN输入设备的被动中间人攻击是如何绕过信用卡芯片和密码保护、而导致信用卡数据可在其他地方被使用以及修改的。
这种类型的攻击的工作原理是什么,我们可以做什么来防止PIN输入设备暴露信用卡数据?
Nick Lewis:支付技术公司NCR Corp安全研究人员Nir Valtman和Patrick Watson在2016年美国黑帽大会展示了他们在支付环境(例如PIN输入设备)发现的漏洞。他们的研究表明,具有传统功能的传统系统和现代系统并不安全,攻击者可通过监控网络连接来寻找未加密的信用卡数据。
虽然他们提供的是新内容,但这个漏洞利用其实是一个众所周知的问题的变种。作为中间人的攻击者可捕捉信用卡数据或者在交易流量做出更改使其看起来像是在离线进行。
研究人员对这些漏洞的建议包括:使用强加密、使用签名固件以及加密PIN输入设备离线交易数据。尽管这些都是非常好的建议,但传统系统不可能利用它们。最好的做法是企业升级自己的技术来使用点对点加密,而考虑到成本,有些企业可能会选择承担安全泄露事故的风险。
然而,这种风险非常大,企业应该采取一些步骤来最小化风险,例如不要存储支付卡卡号、在交易结束后清除在离线操作时存储的主账号,以及在数据存储后部署令牌技术。
同时,支付卡行业(PCI)标准委员会提供了最佳做法来防止这些风险,企业可部署这些做法来保护其PoS终端。企业还应该注意在支付期间以及在安全意识培训计划中使用PIN输入设备时的不寻常提示。
这种类型的攻击的工作原理是什么,我们可以做什么来防止PIN输入设备暴露信用卡数据?
Nick Lewis:支付技术公司NCR Corp安全研究人员Nir Valtman和Patrick Watson在2016年美国黑帽大会展示了他们在支付环境(例如PIN输入设备)发现的漏洞。他们的研究表明,具有传统功能的传统系统和现代系统并不安全,攻击者可通过监控网络连接来寻找未加密的信用卡数据。
虽然他们提供的是新内容,但这个漏洞利用其实是一个众所周知的问题的变种。作为中间人的攻击者可捕捉信用卡数据或者在交易流量做出更改使其看起来像是在离线进行。
研究人员对这些漏洞的建议包括:使用强加密、使用签名固件以及加密PIN输入设备离线交易数据。尽管这些都是非常好的建议,但传统系统不可能利用它们。最好的做法是企业升级自己的技术来使用点对点加密,而考虑到成本,有些企业可能会选择承担安全泄露事故的风险。
然而,这种风险非常大,企业应该采取一些步骤来最小化风险,例如不要存储支付卡卡号、在交易结束后清除在离线操作时存储的主账号,以及在数据存储后部署令牌技术。
同时,支付卡行业(PCI)标准委员会提供了最佳做法来防止这些风险,企业可部署这些做法来保护其PoS终端。企业还应该注意在支付期间以及在安全意识培训计划中使用PIN输入设备时的不寻常提示。
相关文章推荐
- 数组和字典的writeToFile方法——在项目开发中处理网络数据的时候,可以把请求获得的网络数据保存为plist文件,这样更方便开发
- 其实添加数据也可以这样简单——表单的第三步抽象(针对UI及后置代码)
- 今天用java弄个json数据交换接口,个人感觉这样实现省事实力。
- 真实的数据可视化应该是这样的
- Android开发之定义接口暴露数据
- 这样的数据字典如何设计?
- 题目描述:有这样一种数,它本身是一个整数的平方,其高三位和低三位也分别是一个整数的平方,求100000到999999之间的所有三平方的数据进行求解!
- Numpy学习(4):自己动手制作类似于cifar10这样的图像数据集
- 数据层应该分为两个部分,这样可以更好的“分工”,各自研究自己的功能
- net控件中数据导到Excel的格式 首先,我们了解一下excel从web页面上导出的原理。当我们把这些数据发送到客户端时,我们想让客户端程序(浏览器)以excel的格式读取它,所以把mime类型设为:application/vnd.ms-excel,当excel读取文件时会以每个cell的格式呈现数据,如果cell没有规定的格式,则excel会以默认的格式去呈现该cell的数据。这样就给我们提供了自定义数据格式的空间,当然我们必须使用excel支持的格式。下面就列出常用的一些格式: 1) 文本
- XGBoost 与 信用卡诈骗数据集
- 怎样快速输入这样的数据呢?
- 其实添加数据也可以这样简单——表单的第三步抽象(针对UI及后置代码)
- 这样自己组装数据,醉了,
- 恶意差评是这样暴露的
- java编程如何实现多条2017-08-08 22:10:00.0这样的时间数据,相差多少天?(隔24小时为相差1天,否则为0天)
- 今天遇到一个问题:在程序中加入的定时触发器,当时出现这样一个问题,触发器定时2秒,程序从后台查询数据经过复杂处理后时间超过了2秒,我查阅好些网络上说有可能触发器等待程序执行完毕后,在触发下一次,也有说
- 用R语言对一个信用卡数据实现logit,GBM,knn,xgboost
- oralce中查询某个机构号及其下属机构号,这样的树形数据查询问题