NO.1 二維碼支付:也就是所謂的『即拍即付』。打開手機上的支付客戶端,其中有一項二維碼識別的功能,它可以用來拍攝和識別印制在各種物體上的二維碼商品信息,識別後,你直接點擊付款,完成交易,商品由快遞員送到家裡。
Dangerous ! 由於二維碼應用的廣泛性,那麼單一使用二維碼來做交易驗證,不懂安全的人掃來源不明的二維碼很容易受騙執行惡意程序。
NO.2 NFC手機錢包:通過在手機中植入NFC芯片或在手機外增加NFC貼片等方式,將手機變成真正的錢包。在付錢時,需要商戶提供相應的接收器,這樣,大家纔能拿著手機去完成『刷一下』這個動作,便捷付款,整個過程很像是在刷公交卡。
Dangerous ! NFC適用於近場支付,特點是無線交互,但是這樣不用確定的模式會在客戶不知情的情況下發生交易。更可怕的是可以把刷卡器做在門框上於是過一個人就能刷一個人的錢還很難追溯,並且軟件開啟後,一般人就不會關閉,這樣會帶來很多的潛在風險。
NO.3 搖一搖轉賬:大家都打開支付客戶端,拿出手機『搖一搖』,對方的賬號就自動跑到你的手機上,接下來就是便捷的輸入金額和收款付款了,簡直是聚餐湊份子和水果攤小老板結賬的利器。它背後的技術包括GPS、藍牙、重力加速感、NFC等等,當然,用戶不必記住這些名詞。
Dangerous ! 只要有人一直發送在搖的信息搶先應答,那麼很可能劫持交易會話,這種付款的方式極不安全非常容易被手機劫持者遠程確認。
NO.4 短信支付:短信支付由來已久,發送一串字符到指定號碼就可完成手機充值等各種支付,而現在有了更多的演繹。 比如說,短信支付讓網上交水電費這件事變成了一項堪稱『驚艷』的功能,第一次使用時,你還是用PC在網上操作的,在第三方支付網站登錄賬戶,交完水電費後選擇『繳費提醒』,此後,每個月到了繳費時,支付公司將自動發來短信,回復三個驗證碼,水電費就交完了,家裡永不停電。後來,這項功能又演變為『超級轉賬』,你甚至不用知道對方的賬戶,在支付客戶端上發起轉賬後,對方短信回復銀行卡號就能完成收款。
Dangerous ! 2G短信是可以在手機附近進行空口監聽的,另外黑客也可以通過飛信或其他的客戶端包括短信轉移進行劫持。這種單一的認證只適用於特定的業務模式下。
NO.5 『地理圍欄』識別、『看照片』確認支付:當你到達A咖啡廳100米的范圍內之內,咖啡廳正在使用的支付應用會啟動Geofencing(地理圍欄)技術,自動感知到你的到來,調出你的賬戶,名字和照片等資料,當然同時也會向你發出通知。一旦你收到通知,確認購買了一杯咖啡,到達咖啡廳後,你只需要說出名字,收銀員看著照片確認那就是你,她就可以按下支付確認鍵完成支付,你就可以端著咖啡走了。很快你還將收到一個推送通知,告知消費了多少錢並且得到一份電子發票。
Dangerous ! 這種近場的交易模式相對安全,除非黑客入侵手機後惡意操作盜刷,但是因為商戶的可追查性因此風險並不是很大。
NO.6 語音支付:電視廣告中已經嵌入了特定的語音命令,而手機上則安裝相應的支付應用。當你在看電視時,把支付應用打開,它就能接收和識別廣告裡嵌入的語音波段,並主動詢問用戶是否需要購買此商品並完成付款。
Dangerous ! 語音支付實際也是遠端數據近端識別客戶確認的模式,如果這種支付只綁定了提供這種交易的那幾個注冊商家一樣是比較安全的。
NO.7 圖像識別支付:這種支付堪稱信用卡版的『名片全能王』,它使用手機攝像頭來讀取信用卡信息,包括信用卡號碼和到期日,接下來就可以發起收款囉。
Dangerous ! 收款模式安全但是確認過程令人擔懮,如果黑客發起收款給劫持後的手機很可能遠程操作付款,關鍵付款的動作如何解決這個問題值得思考。
NO.8 超聲波識別支付:這個功能其實還是一種『近場』的識別,但它利用的是超聲波,讓手機通過麥克風和揚聲器就能完成一次近場『相認』,而不必依賴專用的芯片,不用改造你的手機,用戶體驗就和所有『刷手機』付款的方式一致。
Dangerous ! 超聲波識別這個模式本質上還是數據傳輸,那麼黑客可以使用數據接口遠程發起交易並劫持確認刷錢,並且模式操作復雜且不科學,不值得推廣。
NO.9 隨身刷卡器: 隨身刷卡器可以用來識別各種銀行卡,從而實現隨時刷卡消費或繳費的目的。刷卡器很小,呈正方形或長方形,可以輕松插入手機中的耳機插孔,安裝後,打開應用就可以刷卡了。
Dangerous ! 黑客商家可以使用數據接口記錄交易後,重放信息或重新發起交易刷走客戶錢,這種模式如果設備上綁定個人的信息並有完整的備案是可以推廣使用的。
NO.10 條碼支付:這個支付方式更像是『條碼收款』。通過安裝支付客戶端,你的第三方支付賬戶可以生成為一個條形碼,而收銀員用條碼槍在用戶的手機上一掃,用戶點下同意支付的按鍵,一次付款就完成了。
Dangerous ! 這個模式本質上還是簡單數據傳輸,並且確認過程簡單,那麼黑客可以使用數據接口遠程發起交易並劫持程序直接確認刷錢。
文字來源:ZDNet 丁慧茹
|