NO.1 二维码支付:也就是所谓的“即拍即付”。打开手机上的支付客户端,其中有一项二维码识别的功能,它可以用来拍摄和识别印制在各种物体上的二维码商品信息,识别后,你直接点击付款,完成交易,商品由快递员送到家里。
Dangerous ! 由于二维码应用的广泛性,那么单一使用二维码来做交易验证,不懂安全的人扫来源不明的二维码很容易受骗执行恶意程序。
NO.2 NFC手机钱包:通过在手机中植入NFC芯片或在手机外增加NFC贴片等方式,将手机变成真正的钱包。在付钱时,需要商户提供相应的接收器,这样,大家才能拿着手机去完成“刷一下”这个动作,便捷付款,整个过程很像是在刷公交卡。
Dangerous ! NFC适用于近场支付,特点是无线交互,但是这样不用确定的模式会在客户不知情的情况下发生交易。更可怕的是可以把刷卡器做在门框上于是过一个人就能刷一个人的钱还很难追溯,并且软件开启后,一般人就不会关闭,这样会带来很多的潜在风险。
NO.3 摇一摇转账:大家都打开支付客户端,拿出手机“摇一摇”,对方的账号就自动跑到你的手机上,接下来就是便捷的输入金额和收款付款了,简直是聚餐凑份子和水果摊小老板结账的利器。它背后的技术包括GPS、蓝牙、重力加速感、NFC等等,当然,用户不必记住这些名词。
Dangerous ! 只要有人一直发送在摇的信息抢先应答,那么很可能劫持交易会话,这种付款的方式极不安全非常容易被手机劫持者远程确认。
NO.4 短信支付:短信支付由来已久,发送一串字符到指定号码就可完成手机充值等各种支付,而现在有了更多的演绎。 比如说,短信支付让网上交水电费这件事变成了一项堪称“惊艳”的功能,第一次使用时,你还是用PC在网上操作的,在第三方支付网站登录账户,交完水电费后选择“缴费提醒”,此后,每个月到了缴费时,支付公司将自动发来短信,回复三个验证码,水电费就交完了,家里永不停电。后来,这项功能又演变为“超级转账”,你甚至不用知道对方的账户,在支付客户端上发起转账后,对方短信回复银行卡号就能完成收款。
Dangerous ! 2G短信是可以在手机附近进行空口监听的,另外黑客也可以通过飞信或其他的客户端包括短信转移进行劫持。这种单一的认证只适用于特定的业务模式下。
NO.5 “地理围栏”识别、“看照片”确认支付:当你到达A咖啡厅100米的范围内之内,咖啡厅正在使用的支付应用会启动Geofencing(地理围栏)技术,自动感知到你的到来,调出你的账户,名字和照片等资料,当然同时也会向你发出通知。一旦你收到通知,确认购买了一杯咖啡,到达咖啡厅后,你只需要说出名字,收银员看着照片确认那就是你,她就可以按下支付确认键完成支付,你就可以端着咖啡走了。很快你还将收到一个推送通知,告知消费了多少钱并且得到一份电子发票。
Dangerous ! 这种近场的交易模式相对安全,除非黑客入侵手机后恶意操作盗刷,但是因为商户的可追查性因此风险并不是很大。
NO.6 语音支付:电视广告中已经嵌入了特定的语音命令,而手机上则安装相应的支付应用。当你在看电视时,把支付应用打开,它就能接收和识别广告里嵌入的语音波段,并主动询问用户是否需要购买此商品并完成付款。
Dangerous ! 语音支付实际也是远端数据近端识别客户确认的模式,如果这种支付只绑定了提供这种交易的那几个注册商家一样是比较安全的。
NO.7 图像识别支付:这种支付堪称信用卡版的“名片全能王”,它使用手机摄像头来读取信用卡信息,包括信用卡号码和到期日,接下来就可以发起收款啰。
Dangerous ! 收款模式安全但是确认过程令人担忧,如果黑客发起收款给劫持后的手机很可能远程操作付款,关键付款的动作如何解决这个问题值得思考。
NO.8 超声波识别支付:这个功能其实还是一种“近场”的识别,但它利用的是超声波,让手机通过麦克风和扬声器就能完成一次近场“相认”,而不必依赖专用的芯片,不用改造你的手机,用户体验就和所有“刷手机”付款的方式一致。
Dangerous ! 超声波识别这个模式本质上还是数据传输,那么黑客可以使用数据接口远程发起交易并劫持确认刷钱,并且模式操作复杂且不科学,不值得推广。
NO.9 随身刷卡器: 随身刷卡器可以用来识别各种银行卡,从而实现随时刷卡消费或缴费的目的。刷卡器很小,呈正方形或长方形,可以轻松插入手机中的耳机插孔,安装后,打开应用就可以刷卡了。
Dangerous ! 黑客商家可以使用数据接口记录交易后,重放信息或重新发起交易刷走客户钱,这种模式如果设备上绑定个人的信息并有完整的备案是可以推广使用的。
NO.10 条码支付:这个支付方式更像是“条码收款”。通过安装支付客户端,你的第三方支付账户可以生成为一个条形码,而收银员用条码枪在用户的手机上一扫,用户点下同意支付的按键,一次付款就完成了。
Dangerous ! 这个模式本质上还是简单数据传输,并且确认过程简单,那么黑客可以使用数据接口远程发起交易并劫持程序直接确认刷钱。
文字来源:ZDNet 丁慧茹
|