【上海現場直擊】隨著科技與時代的進步,民眾的支付模式,在近年有著顯著的變化,從早期支付卡的應用,到電子支付,現在又有各式行動支付(Mobile Payment)的出現,都為民眾的生活與消費習慣,帶來莫大的改變,然而,這些支付模式安全嗎?背後使用的安全技術又是如何?

在本月19、20日,於上海舉行的Visa亞太資安高峰會(AP Security Summit 2019),不僅談討了支付的轉變與現況,同時,揭露2019年支付安全的最新趨勢。特別的是,這次我們也難得一窺支付服務的背後,了解所使用的各式安全技術。

近年來,行動支付的盛行已經成為焦點,也是全球都不可避免的趨勢,而且許多國家政府都抱持積極的態度,像是臺灣,也期望能建構國內行動支付環境的標準及基礎,期待多元的支付能提高交易便利性、推動創新,甚至設定了目標,要讓行動支付的普及率,在2025年達到90%。

而在支付安全方面,2011年發展的代碼化(Tokenization)技術,使Apply Pay、Google Pay等行動支付平臺能付諸實現;如今我們更是關注到,Visa已經在用AI解決支付詐欺的問題;而電子商務的支付安全也將在今年出現很大的革新,原因是SRC(Secure Remote Commerce)標準的推出,有望讓全球線上交易應用更一致的支付形式。

多元支付發展快速,新一波支付變革也即將到來

關於支付趨勢的變化,是這幾年各方關注焦點,Visa亞太區總裁Chris Clark,特別以工業革命為例來說明。他表示,從18世紀蒸氣機發明、電氣時代與數位化時代,現在,隨著AI、IoT、量子電腦、生物辨識等新興科技的發展,足以帶來具顛覆性的第四次工業革命,並為全世界的生活與居住,帶來更廣泛的影響。

在這些新興技術發展之下,Chris Clark指出,支付產業也將邁向第四次重大變革。過去,從1950年代支付卡興起,到磁條與晶片卡的技術,以及資料應用與代碼化技術,現在也將面臨下一階段,他預期資料的重要性將更為提升,且支付將超越交易本身,變得更加自動化且具互動性,甚至滲透到每個設備當中。

不過他也提醒,犯罪組織對於支付技術使用的詐欺方式,也是不斷演進。從早期的偷身分與偽造帳戶,偷卡片與偽造卡片,到近年的大規模資料外洩,以及社交工程與網釣手法等。Chris Clark表示,現代的社會,已經處於第四次支付革命的邊緣,未來的支付,將會變得非常複雜,而面對的安全問題,也將來自各個面向與不同形式,因此,他強調,能否導入開放性的創新安全技術與標準,將是確保消費者便利與安全的重要關鍵。


隨著各式支付安全技術與機制的推動,支付詐欺事件的比例逐年降低
在科技的進步與消費者習慣改變之下,支付模式也日益複雜,但支付詐欺的防範,也正隨著各式安全技術的導入而逐年降低。對此,Visa亞太區總裁Chris Clark指出,每次安全新技術的提出,都讓欺詐事件的比例明顯解少,包括支付卡片的CVV號碼、EMV晶片卡,及3DS 1.0、Visa Advanced Authorzation(VAA)、PCI DSS與代碼化技術等。特別的是,近年Visa的VAA方案更是全面應用AI來防詐欺,這也讓Visa全球交易的詐欺率,降低至歷史新低的0.1%以內。(攝影/羅正漢)
 

降低盜刷率,用AI幫助即時驗證每筆交易是否詐欺行為

對於支付安全的議題,如何防範支付詐欺,一直是支付產業的改善重點。面對多元的支付模式,從實體支付、線上支付到行動支付,我們如何能在不影響支付體驗的情形下,區分何者為正常的交易,而何者為犯罪份子的詐欺交易。

Chris Clark指出,自1950年以來,詐欺事件的比例逐年降低,特別是在每次安全新技術的引入,都讓欺詐問題有明顯減少,例如,可以解決實體店家,面對偽卡交易的EMV晶片卡技術,幫助線上交易認證的3DS機制,以及支付卡產業安全標準(PCI DSS)等。

值得關注的是,在這次活動期間,Visa公布了他們對抗支付詐欺的新利器,就是運用AI人工智慧,來保障電子商務的支付安全。目前,在該公司的 Visa Advanced Authorization(VAA)方案中,就已經全部使用AI,來分析每筆交易。

什麼是VAA?具體而言,它是風險偵測授權的服務,可即時監控VisaNet支付網路的交易授權,Visa從2006年就開始提供,現在更是完全結合了機器學習與AI的預測性分析技術,當中更是包含了500多種獨特風險屬性的分析,可對每筆交易的風險評分,以協助判別每一個消費者的每筆交易正當性,並提供給金融機構,以幫助他們執行交易的批准或拒絕。

對此,VISA大中華區首席風險長楊景香,還強調了VAA的另一大特色,那就是,可以做到即時的風險評分。例如,刷卡過程中,從一開始的等待時間,就已經在驗證交易是否為詐欺行為。因此,不像其他業者多半是在交易完成後,才產出風險評分,這麼做,等於是完成交易之後,才去檢視交易安全。

此項技術的成效如何?Visa在2018年,已經藉助這樣的AI技術,分析了VisaNet上的1,270億筆商家與金融機構的交易,結果顯示,他們將全球交易的詐欺率降低至0.1%以內,創下歷史最低水準,並宣稱每年可為金融機構,防範250億美元的詐欺損失。

關於未來,在迎接第四次支付革命的同時,Visa也期望在2021到2025年,隨著支付安全技術更加進步,還能夠再次讓詐欺率顯著降低。

另外,由於Visa在2010年將Cybersource併入旗下,Visa亞太電子商務產品負責人Chris Hughes,也在這次大會上,特別強調安全無縫消費者支付體驗的重要性,並提醒企業應在考量收益、成本與降低詐欺的情形下,更進一步審視商家本身的詐欺管理。


線上支付新標準SRC今年將普及
為了讓消費者將有更好的線上支付體驗,並減少商家掉單率,Visa與同業推動的SRC(Secure Remote Commerce)標準,將會幫助未來的線上支付體驗,可以有更簡單一致且安全的方式。Visa亞太區產品及數位解決方案副總裁Robert Walls說,SRC將在第2季正式出爐,8月後Visa Checkout將開始採用新的SRC規格,並擴大SRC與第三方合作。(攝影/羅正漢)

支付環境日益複雜,技術標準化讓支付體驗一致且安全

在解決欺詐問題之外,對於近年的支付模式轉變,安全問題也將來自多個面向,如何提供更好的支付體驗與安全,是支付產業的一大挑戰。因此,Visa近年推動並實施了幾項重要的支付安全技術標準,例如,代碼化技術、SRC線上支付,以及3D Secure 2.0驗證機制等,其中後兩者更是近期的最新發展。

而這些技術,都已經是支付產業標準組織EMVCo的重要作法,業界透過建立標準化的方式,解決支付過程中的問題,並確保支付體驗與安全。

●代碼化技術:簡單來說,代碼化技術就是將信用卡的16位數號碼,置換為另一組16位字串,替代敏感性資料,讓實際的信用卡號碼只有使用在最初的請求中,而後續存放與傳送過程,都是使用另一組代碼,進而降低被盜刷的風險,可以不讓持卡人的付款資料暴露在外,保障線上交易安全。

這項技術,在2014年成為EMVCo的正式標準,目前,Visa就使用這樣的技術,而提供了Visa代碼化服務(Visa Token Service),其他國際發卡組織如Mastercard等,也有提供類似的服務。

而且,它還是Apple Pay、Google Pay、SamSung Pay等行動支付背後,重要的安全關鍵技術。而新一代的安全電商,也將能用上這樣的技術。

在本次大會上,Chris Clark重申代碼化技術的價值。他表示,近年資料量已經呈現大幅增長的現況,降低資料價值就變得相當重要,否則資料只會越來越多,且電子支付越來越複雜。但他也提醒,在資料價值降低之下,犯罪者也會將目標轉移到個人身上,像是利用網路釣魚方式,並還會用AI創造個人化的攻擊。

SRC線上支付標準:值得關注的是,在這次活動中,我們注意到一項最新的支付產業安全技術,就是2019年剛要成形的SRC(Secure Remote Commerce)標準。

事實上,今年Visa也將安全電商(Secure Ecommerce),獨立成一大焦點,而這個Visa與同業正推動的SRC標準,看起來,將會是強化線上支付安全的一大關鍵。

根據Visa的描述,SRC這項標準將為電子商務支付提供基礎,讓消費者、商家與發卡機構,都能利用一致且安全的支付形式。

據了解,當消費者在網路商店結帳時,商家的系統若支援SRC技術,使用者只要在任何裝置的第一次使用時,輸入需要的資料與信用卡資訊,之後進入任何支援SRC的網路商店結帳時,消費者不用再輸入付款資訊,就能透過SRC API並連接到發卡組織的後端系統去識別。

也就是說,透過這樣的支付模式,使用者在不同網路商家支付時,都能進入統一的SRC付款頁面,讓消費者的線上購物體驗變得更簡便且安全,對於發卡銀行、收單機構與商家,也都會有助益。

整體來看,Visa對於電子商務的線上交易的安全提出了全新的策略。Visa亞太區產品及數位解決方案副總裁Robert Walls指出,今年8月,Visa Checkout解決方案採用新的SRC規格,而在他們最新的Visa電子商務安全計畫中,更將包含五大重要關鍵技術,不只包括了Visa代碼化技術、SRC與3DS 2.0,還有Cloud Token Framework,以及Card on File Tokenization。

3D Secure 2.0認證機制:Visa在前兩年的亞太資安高峰會上預告,3D Secure 2.0(3DS 2.0)將是新的線上交易用戶身分認證協議,而且,EMVCo已經在2016年10月正式公告2.0的規格,相較於2000年提出的1.0版,兩者之間相隔超過15年。特別的是,到了今年,Robert Walls也公布此項機制的執行時程,將會在2020年第2季正式啟動,但比之前公布的時間要延後一些。

至於新舊版3DS有何不同?楊景香解釋,2.0版不僅增加了多元的驗證方式,對於交易風險評估所使用的資料分析,也有更多方式,在先前的1.0版中,資料不超過20項,現在則有超過100項,同時,新版的機制為了減少商家因驗證流程的掉單率,只會要求針對高風險交易的5%持卡人,要求額外的認證,同時,也增加了生物辨識的驗證方式,將能提供更安全且較便捷的體驗。


Visa公布提升新電商安全的關鍵技術
隨著多元支付模式的興起,今日的電子商家對於線上支付的安全必須更加重視。而Visa今年也將電子商務安全列為焦點,在最新的Visa電子商務安全計畫中,將利用代碼化技術、SRC、3DS 2.0,以及Cloud Token Framework與Card on File Tokenization,來建構一個更簡單且安全的支付環境,其中,SRC與3DS 2.0,更是這兩年支付安全最新關注的兩大重點。(攝影/羅正漢)
 

防範新型網路犯罪,從多層次面向著手

面對科技、商業模式與消費習慣的改變,Visa不僅與同業推動新的支付標準,協助多元的無現金支付與安全發展,在這次大會一場關於支付網路犯罪的議題中,也讓我們看到Visa因應新型網路犯罪,其實也發展出各式不同的安全解決方案。

例如,對於近年新興攻擊中的ATM提款,全球風險支付詐欺中斷負責人Penny Lane指出,過去犯罪組織透過一系列的入侵行為,像是網釣攻擊、帳號盜取、人頭帳戶、偽造卡片,接著,詐欺人員遍布全球提領的行為,往往因為缺乏協作與資訊不對稱,導致收單方沒有防範,而現在要阻止這樣的詐欺行為較為容易。

譬如說,Visa提供了Vital Signs的解決方案,將能監測並主動提醒發卡機構,注意潛在的嚴重詐欺活動,像是監控到不正常的活動,甚至能直接停止交易。同時,他們並會將蒐集的情報與金融機構共享,近年也已經幫助金融機構,處理了60多次的攻擊。

但她也提醒,在2019年將要特別注意組合攻擊的手法,像是一旦主要的資料中心停電,備用資料中心的安全監控機制較少,就有可能帶來威脅,此外,還有結合POS與ATM的詐欺行動,都必須要特別注意。

對於交易安全的防護,他們也有實際進行研究,並設立了Visa支付威脅實驗室(Visa Payment Threat Lab)。Penny Lane表示,他們會透過模擬的VisaNet環境,來執行紅隊攻擊演練,但這裡專注的是交易本身,而不是基礎架構。她也舉例說明,像是發卡行不同意授權,攻擊方就會想盡辦法讓發卡行同意。而且,未來他們還希望讓這樣的紅藍隊演練,能夠變得更自動化。

不僅如此,Visa也設立了全天候監控的風險營運中心(Risk Operation Centre),Penny Lane特別說明,這個單位並不同於他們的基礎架構營運中心,因為,裡面還集結了防詐欺的專家,做到支付生態系統的保護。同時,他們也有支付系統威脅情報(Payment Systems Threat Intelligence),提供即時的安全警告、資料分析與相關技術指標,並與國際安全組織合作,以因應各式新興網路威脅。


要注意結合POS/ATM攻擊的手法
對於支付網路犯罪的的問題,Visa全球風險支付詐欺中斷負責人Penny Lane指出,近年興起一股結合ATM與POS攻擊的攻擊行動,將是電子商家、金融業在2019年必須關注的網路犯罪趨勢。(攝影/羅正漢)

 

Visa資安策略聚焦四大重點

從電子支付到行動支付,安全問題將來自不同面向與形式,如今,Visa正透過多層級的防護方式,來幫助確保支付生態系統的安全。
實際要怎麼做?近年Visa提出的資訊安全策略,主要聚焦在四大重點項目,包括:賦予消費者能力(Empowering Consumers)、保護資料(Protecting Data)、治理資料(Harnessing Data)與去除資料價值(Devaluing Data),而Visa也不斷強調這些策略的重要性。
值得我們注意的是,今年VISA亞太區總裁Chris Clark特別將四大重點,近一步歸納為三個層次,讓大家能更清楚,這些策略背後的目的與面向。他解釋,首先要給消費者控制權,做出知情的風險決策,接下來要運用情資與技術,做到資料的保護、資料的利用,以及降低資料價值,更重要的是,還需要大家都能共通協力,才能真正保障未來支付環境的安全。(攝影/羅正漢)


Advertisement

更多 iThome相關內容