消費者支付產品與服務的方式演變得就像在支付的產品與服務一樣迅速。例如行動支付，它將支付卡與無線技術結合在一起，使得付費交易更方便。行動支付可減少購買者和銷售者的交易成本，還能減少現金循環供應的成本，因而越來越流行。然而，這種新的支付技術面臨許多安全挑戰，交易商家有責任解決這些問題以確保用戶資訊的安全。

推動安全的付費機制不僅只是一種理想，更要符合支付卡產業的資料安全標準(PCI DSS)，它要求相關機構保護消費者的安全。PCI DSS適用於儲存、處理或發送持卡人資料的任何機構，由最基本的安全要求條款和設計用於鼓勵與增強持卡人資料安全的測試步驟組成。

不遵守PCI DSS的商家將面臨來自發卡機構(如美國運通、萬事達和威士)的重罰，甚至失去針對商品與服務使用支付卡的能力。另外，如果消費者確實透過行動支付完成購買活動，而其資訊(即持卡人資料)又受到威脅的話，商家要承擔責任(特別是當這些商家沒有主動符合標準時)。

此外，如果未能採取足夠的安全措施滿足PCI標準要求，消費者可能會察覺到支付卡資訊存在風險而選擇不使用商家的基礎設施。如果人們失去對支付系統安全的信任，他們會停止使用，系統最終就會變得毫無用處。接受支付卡的商家需要符合PCI DSS標準，確保實現正確的安保措施來保護持卡人的資訊，同時確保銷售點的安全，阻止可能置客戶資訊於危險的攻擊者和入侵者。

圖: 無線入侵保護系統可監視並偵測可能威脅持卡人資料安全或破壞無線支付作業的入侵行為

目前駭客用於擷取與利用行動支付持卡人資料的威脅主要有三種。所幸藉由強大的無線入侵保護系統(WIPS)，商家可檢測並抵抗這些威脅，確保自身與客戶的安全。以下列出前三種最頻繁也最危險的攻擊方式，並討論商家如何保護自家的無線區域網(WLAN)：

WLAN上的拒絕服務攻擊

拒絕服務(DoS)攻擊會在資料網路上釋放大量惡意資料，伴隨這些資料的惡意軟體同時會感染行動設備，進而破壞、修改或危害持卡人的資料。DoS攻擊利用無線連接的實體層和數據鏈路層漏洞來破壞無線服務。舉例來說，採用大功率天線的射頻干擾設備可能破壞商店內外的行動支付系統。

Wi-Fi銷售點終端(POST)──不管是智慧手機還是自動販賣機，都非常容易受到DoS的攻擊，因為建立和維護網路及設備連接的射頻通訊極易被欺騙，這種射頻通訊沒有加密機制。無線攻擊者會以合法接取點的身份向手機發送斷開或認證通知，從而達到破壞向行動設備提供的服務。因此，手機會嘗試重新建立服務或重新認證，但結果只能是立即斷線，然後重複這一過程。

因應WLAN的DoS攻擊：相關機構可部署無線入侵保護系統(WIPS)來監視和檢測關鍵的入侵行為，這些行為可能危害持卡人的資料安全或破壞無線支付作業。這些保護系統透過連續監控Wi-Fi通訊、追蹤無線連接與關聯以儲存接取點、分析可能破壞通訊或來自惡意設備的傳送源射頻環境來檢測攻擊。當發現攻擊時，WIPS將產生警告，以便讓IT安全部門能夠馬上採取解決措施。

剽竊持卡人資料

剽竊是指透過偷窺合法的支付交易機制而竊取信用卡資訊。雖然‘剽竊’信用卡資訊的方法有很多種，但針對銷售點終端的剽竊過程與ATM剽竊非常類似：盜賊在支付終端的內部或外面加裝一台第三方讀卡器設備，用它來擷取正常客戶在支付交易過程中傳輸的信用卡資訊。許多剽竊設備可根據指令使用藍牙傳送器向盜賊發送剽竊到的資訊。值得注意的是，藍牙設備可在1公尺(3類設備)至100公尺(1類設備)的距離內通訊。

檢測持卡人資料是否正被剽竊：與許多Wi-Fi設備一樣，藍牙也是一種作業在2.4GHz頻段的網路協議。雖然WIDS/WIPS很難識別WLAN中的藍牙傳輸，但藍牙訊號的存在會產生射頻通道雜訊。透過追蹤射頻通道中的雜訊電平，WIDS/WIPS能夠辨識持續具有高電平雜訊的通道。一旦發現後，供應商可使用帶定向天線的Wi-Fi分析儀擷取雜訊源並採取行動。

WLAN上的未經授權設備

竊賊也可能在其Wi-Fi銷售點終端(POST)上進行安裝，使其偽裝成供應商的POST，甚至偽裝成商店店員，並在自己的Wi-Fi智慧手機上實現銷售點功能。這些設備在供應商的WLAN上作為未經授權的設備，有的甚至還建立自有的WLAN。

辨識與保護WLAN免於未經授權設備的侵害：為了辨識別未經授權或被入侵的設備，相關機構需要時刻保持警惕，隨時監視無線網路中是否存在未經授權的銷售點終端、接取點和無線客戶端。這個任務藉由無線入侵防護系統(WIPS)而能有效加以實現。相關機構可利用WIPS追蹤WLAN中每台無線設備的安全狀態，並檢查是否存在可能置行動支付於危險威脅的未經授權設備。

當授權設備背離安全策略時，如使用加密的通訊時，這些系統也能發出警示。一旦發現未經授權的設備，利用WIPS系統提供的位置資訊可輕易地定位這些設備並將加以移除。

如何確保行動支付持卡人資料的安全

行動支付對消費者和商家來說都是一種高成本效益、極其便利的支付解決方案。但如果商家選擇接受基於Wi-Fi的支付方式，那麼他們需要確保符合PCI-DSS標準，否則將遭到罰金甚至更重的處罰。投資建立專用的無線入侵防護系統(WIPS)，提供全面的Wi-Fi保護，預防未經授權的設備或遭受危險的攻擊，並利用頻譜分析技術展開射頻威脅檢測，商家就可提供必要的安全認證，這樣不僅可促進行動支付技術的普及，而且能夠滿足PCI DSS要求，確保消費者與商家在行動支付交易中的付出得到最大的回報。

資料來源: eetTaiwan 2013/4/30