《电子支付观察》总第1期.pdf

电子支付观察 责任编辑：银行卡检测中心 孙茂增 丁宇燕 【风险提醒】 【风险提醒】 波兰遭遇大规模DNS 劫持攻击 波兰遭遇大规模DNS 劫持攻击 身份欺诈成为新的热门犯罪手 转载自:FreeBuf 段：每两分钟一个受害者 波兰计算机应急中心检测到大量家用路由器的DNS 配臵被修改。黑客 淘宝漏洞引恐慌 “信息泄露 门”或将再次上演 对大量网上银行的用户实施了中间人攻击。波兰CERT 在报告中写到: “很 安全机构监测发现最新视频吸 费病毒 多家用路由器存在未授权的远程修改配臵漏洞导致了这次事件。这次中间人 手机支付类病毒猛增 攻击中，黑客在多个网上银行的页面中注入了恶意的javascript 代码欺骗用户 【行业资讯】 输入账号密码和交易确认码。最后窃取了用户银行里的钱“。 银行卡检测中心 授权成为国内 为了绕过HTTPS ，黑客采用了SSL 剥离的技术。攻击者阻止用户和银行 首家PCI DSS 安全评估机构 国家级移动支付平台MTPS 建成 之间建立SSL 连接，使用户和代理服务器之间使用未加密的http 通信。唯一 人行：去年移动支付金额按年 不同的是浏览器会提醒用户连接没有使用SSL 加密。攻击者为了迷惑用户， 大升3.2 倍至9.6 万亿人币 比特币市场接连遭挫 技术漏洞 重写了url ，在域名前加了个“ssl-.的前缀。当然这个域名是不存在的，只能 疑最大隐忧 在黑客的恶意DNS 才能解析。 移动支付推动O2O 商业模式 腾 讯概念股点石成金 根据波兰IT 安全组织Niebezpiecznik.pl 的调查，攻击者很可能利用的是 【政策动向】 ZyNOS 路由器固件的漏洞，利用这个漏洞，攻击者可以未授权的情况下下载 中国人民银行关于加强银行卡 到路由器的配臵信息，从而获取路由器的登陆密码。防御的建议是家用路由 业务管理的通知 互联网金融监管政策或出台 相 器不要开启任何的远程管理功能，不要使用默认的管理密码。去年国内也曾 关概念股或起风云 爆发过一次大规模的家用路由器DNS 劫持攻击。 银监会官员：信用卡未激活不 得收任何费用 【中心提示】 咨询导引： 1、提供第二通讯渠道或2 代USBKEY 设备等方式以安全确认交易信息。 2、提供短信通知等方式，提醒用户资金发生变化及资金去向。 银行卡检测中心现可面向 3、提醒用户严格限定交易限额，尤其针对无安全有效确认机制的交 商业银行、非金融支付服 易。 务机构、受理商户等提供 4、提醒用户加强安全意识，对路由器固件进行升级，关闭远程管理功 电子银行、发卡系统、非 金融机构支付系统、商户 能，采取安全工具验证路由器的安全性，并设置路由器复杂密码。 收单系统等开展系统安全 5、提醒用户采取安全工具验证本地DNS 解析的正确性。 评估、安全咨询、PCI 6、提醒用户注意浏览器中的 URL 和证书信息，发现异常则及时咨询专 DSS 合规评估工作，详细 业人员处理。 可咨询: 7、提醒用户维持安全的电脑环境，安装安全软件防范恶意程序。 8、通过后台的风控系统对异常交易进行监控。 孙茂增010 9、对于假冒网站进行侦测，并及时进行举报、关闭。 sun.mz@ 第1 页 /共13 页