作者:趨勢科技全球安全研究副總裁 Rik Ferguson
Visa組織在2001年推出一個他們稱為3DS的安全協議,也就是3 Domain Secure的縮寫。試圖減少在網路購物時發生的信用卡詐騙事件。3DS比較被人所知的是各發卡組織實作系統時所用的名稱 – 「Visa驗證(Verified by Visa)」,「MasterCard Secure Code」,「J/Secure」(JCB國際組織)和「SafeKey」(美國運通)。問題是,3DS其實並沒有任何屏障的效果,甚至對一般的詐騙者來說也是,至少在我所測試的過程看來是這樣,
在 Visa所發表的常見問答集裡提到:「Visa驗證可以保護您的卡片,防止未經授權的交易,讓您在網路購物時可以完全的放心」。但同時他們也在常見問答集裡提到「如果您忘記了密碼,可以很輕鬆的重設它」,這裡就出現了問題。接下來和我所測試的發卡組織所實作的方式有關,並不一定代表全部的3DS系統。
問題出現在一個很基本的設計缺陷。如果你跟一個用這系統的商家買東西,你在付款階段會被導到 3DS 驗證頁面。你在這頁面確認交易細節,輸入密碼。然後就跟變魔術一樣,交易完成了。到目前為止都還好,商家看不到我的密碼,也就無法利用我的資料來完成任何交易,我被保護的好好的,但是…
犯罪份子會怎麼做呢?如果他們有了你的信用卡,卻沒有你的密碼?當然了,還有一個方便的「忘記我的密碼」連結。讓我們來看看這是怎樣的良好保護。
繼續閱讀