附圖是世界展望會網站使用國泰世華銀行的SSL安全交易頁面,可以明白看出還需要驗證信用卡的有效期限以及最後三碼的驗證碼正確,才能完成交易
國內著名的網路公司-來自日本Sony集團來台投資的台灣索尼通訊網路股份有限公司(So net),日前爆發了線上交易客戶信用卡號被駭客盜刷的事件,由於受害者超過千人,所以電視新聞也大幅報導。
但由於電視報導把本次線上交易的危險性講成彷彿只要在線上刷信用卡就很容易被截取到卡號,進而損失金錢;同時也對許多線上交易的細節作了錯誤描述:比如駭客利用在線上捐款給世界展望會(http://
www.worldvision.org.tw)的小額捐款來認證自行用公式計算得到的卡號,因此我決定寫這篇文章來導正一些對於線上交易,使用信用卡刷卡部分的一些謬誤。
首先我們要先了解目前最流行的線上交易的安全認證機制:也就是SSL加密的機制,這是當初瀏覽器公司Netscape提出的加密方式:全名是SSL:Secure Sockets Layer,這是一種用於瀏覽器之間傳輸資料的加密模式,是利用RSA公開金鑰的加密技術做為用戶端與主機端在傳送機密資料時的加密訊協定。簡單說就是當你遇到網路上購物網站要求你填寫信用卡號碼或其他資料時,用來保護如信用卡號碼等這些機密資料傳送,而不要被其他人知道的一種技術,基本上SSL利用很大位元的編碼技術將資料重新編碼後再傳至遠端。
SSL技術現在已經被廣泛運用,幾乎只要稍具規模的購物網站,都有採行認證,從兩個地方可以看到是否有申請SSL認證,一是網站首頁都會將其申請通過的標章秀在首頁,目前台灣最多的是HITrust、或是台灣認證中心等提供的,你可以點進去標章後,查詢這個網址標章是否過期。另一個證據是當你再進行線上交易時,可以看瀏覽器下方,會有一個鎖的樣子或者是鑰匙的樣子出現,這就表示你使用的瀏覽器正處於SSL加密的狀態。而目前最流行的是128bit SSL機制,這已經是很高等級的加密機制,同時也可以透過很多公正的第三者機關,如網路消機會,經濟部等來查證你購物的網站是否有通過SSL機制的申請,或者是機制是否過期。
與一般人認知不同的是:當你透過SSL機制將網頁及伺服器之間的資料傳輸加密時,SSL過程是消費者用SSL加密方式將信用卡卡號傳輸給網路商家,網路商家再將卡號與金額以SSL加密方式傳輸給銀行,網路商家在取得銀行授權後再通知網路商家,以及客戶雙方確認完成正常的交易,因此如果信用卡過期、號碼不正確、已經刷爆,銀行都可以快速在網路上告知信用卡的狀態。但是一般來講傳輸過程雖然不能確保資料完全不會在過程中被駭客截取,但只要有SSL加密,就已經透過編碼機制將卡號等機密資料轉化成一串的編碼數值,因此除非剛好猜中,或者是內神通外鬼的情況,不然是很難破解這一串編碼數值的。也就是SSL加密雖然不能完全保證傳輸過程的資料被盜取,但至少可以防止竊取資料的人可以直接看到傳輸的資料面貌,像密碼或信用卡號等。一般只要你準備付款時,就會進入有SSL加密的https的一串網址,因為你正在使用受SSL加密保護的網頁。
而目前SSL申請都需要透過向第三方的具公信力的單位去申請,會經過公司資本額審核,以及確認架站的一些網頁檢驗,然後通過審核後,每一次資料傳輸都要取得一個私密金鑰Private Key,另一個公開的金鑰Public Key則是放在網路上;資料在網路傳輸都經過編碼,就算有人盜取這些經過編碼的資料,看到也都是一堆亂碼,而只有經過兩道私密金鑰以及公開金鑰都確認無誤,才能解開這些資料。因此目前通行在網路電子商務的SSL機制,是確保訊息在網路流通時,不會被駭客攔截解讀,或是不會被駭客擅自修改資料內容,以防止其他人經由網路窺探任何訊息。可以說是很安全的傳輸技術。
這一次SONET爆發的駭客盜刷,根據電視報導是駭客先破解了信用卡號碼共計16碼數字的前6碼,因為前6碼是發卡銀行規則,駭客破解後用解碼器算出完整的後12碼數字,然後到世界展望會網站去測試卡片真偽,但經過我實際到世界展望會網站測試,發現其實根本還是很難破解,因為其網站就算經過身分資料驗證後,填入刷卡資料時,還有卡片有效日期共計2個欄位,以及信用卡後3碼的檢驗,所以駭客必須先經過機率十二分之一(月份)×幾十分之一(年份)×千分之一的這些資料驗證,先姑且不論駭客如何用何種方式取的正確的卡號,光是要通過後面這些驗證,至少是十幾萬分之一機率,加上實際去網站測試所花的時間,其實可以證實網路線上交易安全還是遠比在實體環境,如你將信用卡交給店員去刷卡安全太多了。
可以這麼說網路上幾乎都是駭客先截取了某段資訊,比如這一次是因為駭客破解了發卡銀行的規則,所以拿到正確16碼信用卡號碼,如果只是單純要從網路截取資料,或者從頭破解16碼信用卡號碼,其實是非常困難的事,當然內神通外鬼的洩露不在此限。那身為消費者的我們該如何注意線上交易安全呢?至少應該注意以下幾點:
1、慎選線上交易網站,請依照以上原則檢查網站是否有安全交易SSL認證,同時不要在沒有保密的網頁填寫任何機密資料。
2、不要隨便把卡號或機密資料用mail、msn等即時通訊軟體赤裸裸展現機會給駭客。
3、去常去的購物網站進行完整會員交易通知及登錄,並隨時去檢查個人帳號,一般購物網站在完成交易後都會發mail或簡訊通知,可以盡速並隨時知道自己的交易狀況。
4、一發現被盜用趕緊去銀行辦理手續,多使用像台新銀行這種有完整的盜刷保障機制的發卡銀行,只要是盜刷都是銀行負擔風險,不用擔心損失。
5、時時去更改各種個人密碼,不要用太簡單的密碼比如生日等等。
很簡單的步驟,就可以防範線上交易的安全,但寫本文主要目的是從科技面告知,其實線上交易並不是想像中那樣不安全,大多數的意外都是人謀不臧,與科技本身保障無關,切勿因噎廢食,延誤了網路發展的商機。
以下是實際去世界展望會網站,觀察其使用的SSL安全交易機制連結,當然直接點選是不會有內容的,必須完整交易才可以,但實際觀察發現要利用捐款確認卡號正確,還是很費時費力的。跟一個一個去測試卡號意思是完全一樣的。所以本次SONET盜刷事件主要是因為歹徒破解了發卡行的前6碼規則,先導出正確16碼卡號,才會有這次事件,真正癥結並不是網路上的SSL機制出現問題。
https://
www.epay.net.tw/worldvision/cardfinance.php
https://sslpayment.uwccb.com.tw/Order_Payment.asp