【出超必】VISA代碼化技術 杜絕Magecart偷客戶資料
網購已經成為咗唔少人嘅習慣,不過,由 Magecart 黑客組織發動嘅 card skimming 攻擊又的確幾令人擔心,因為唔少購物網站都中過招,更有網絡安全組織發現高峰時間中咗 Magecart 嘅網站接近 200 萬個,我想買嘢啫,做乜搞到咁危險先得㗎?而為咗對付聞風喪膽嘅 Magecart,VISA 會喺今年推出採用代碼化(Tokenization)技術嘅網上付款方式,到底係咪真係咁保險呢?
亂數助去識別化
首先回一回帶,交代下 Magecart 係啲乜嚟先,其實佢係透過喺購物平台嵌入 obfuscated Javascript惡意程式,神不知鬼不覺咁偷取客戶「濕平」時輸入嘅資料,黑客既可以向提供付款服務嘅供應商度造手腳,亦可以直接喺購物平台入手。而中咗招嘅網站,喺表面上絕對無任何破綻!
VISA 為咗對付呢種攻擊,其實上年已經喺 VISA SECURITY SUMMIT 安全峰會 上,公布咗代碼化支付安全藍圖,仲表示今年會率先為年交易達 100 萬宗以上嘅客戶提供技術支援。代碼化技術係乜嘢嚟呢?其實佢係一種以相同格式嘅亂數進行傳輸嘅方法,舉例原來嘅信用卡號碼為 16 個位,代碼化後嘅亂數依然保持 16 位格式,當中不涉及任何數學演算對應關係,所以即使黑客攔截到呢組代碼,亦難以估計係原始資料抑或亂數,達到客戶去識別化嘅效果。
兵分兩路打假
實際運用時,VISA 嘅技術分為 VISA Token Service 及 Click To Pay 系統,佢會向購物平台客戶提供一個 Click To Pay 按掣,會直接連去 VISA 伺服器進行客戶身份核實,而當網民點擊呢個掣,佢哋只需要輸入一次信用卡資料,VISA 就會將呢啲資料記錄喺佢哋嘅伺服器,然後將一個經亂數後嘅 token 數據傳返俾信用卡客戶,以後客戶就毋須要逐次輸入資料,就算俾黑客攔截到呢個 Token,但由於內容全部放喺 VISA 伺服器,所以黑客攞住呢啲資料亦唔會有用。
除咗採用代碼化技術,VISA 網絡安全團隊亦用咗好多功夫去「掃場」,佢哋設立咗一個 eCommerce Threat Disruption 平台,專門去搜尋被 Magecart 感染咗嘅付款服務供應商及網站,一旦發生「魔蹤」,安全團隊就會主動聯絡對方,提供免費嘅移除惡意程式服務支援,例如上年 9 月,佢哋就成功發現一種新嘅 Magecart 攻擊 Pipka,估計制止咗1.4 億美元嘅損失。出咗咁多力,大家以後上網買嘢就實揀卡用啦!
相關文章:【網購極危】超過200萬個網站 發現Magecart偷信用卡程式
