跟一次性短訊說再見 VISA:在 2019 年全面推行 3D Secure 2.0

隨著愈多人愛上網購,非實體的網上信用卡交易也不斷增多,但這同時也帶來全新的安全風險。VISA 早前於南韓首爾召開的 VISA Security Summit 2017 宣布推出新一代的 3D Secure 2.0,透過採用更多方式驗證身份,把詐騙交易減低四成的同時,還能讓消費者免除各種煩瑣的驗證步驟。

隨著愈多人愛上網購,非實體的網上信用卡交易也不斷增多,但這同時也帶來全新的安全風險。VISA 早前於南韓首爾召開的 VISA Security Summit 2017 宣布推出新一代的 3D Secure 2.0,透過採用更多方式驗證身份,把詐騙交易減低四成的同時,還能讓消費者免除各種煩瑣的驗證步驟。

 

1958 年成立的 VISA 公司歷史悠久,由現金交易為主的時代發展到開始接受一張塑膠卡的支付方式,再到透過電話、甚至互聯網平台購物,VISA 見證了人類消費模式的不斷轉變。但 VISA 創新及戰略合作關係部高級副總裁 Matt Dill 表示,VISA 販賣的「不是一張塑膠卡」,而是「信心」,面對著消費方式不斷轉變,VISA 也要不斷跟上時代,甚至要比時代看得更前。

 

手機支付讓實體信用卡可以不用從口袋裡掏出,隨著交易不再只限於在真實世界,在網上交易亦不用把實體信用卡拿出來。但由此而來的是,所有建基於實體信用卡的驗證也沒法使用,例如晶片卡能防止偽造假卡,但在線上交易卻沒有能驗證晶片的方式。當便利的消費方式不斷出現,同時也讓 VISA 在保障交易安全時有更大挑戰,因此才有 3D Secure 的出現。

3D Secure 是由 VISA、MasterCard 及 JCB 共同創制的,以讓持卡人能在更安全的網路環境下交易。除了利用加密技術防止未獲授權人士截取機密資料,亦透過需要在網購時輸入一次性的手機短訊 3D 驗證密碼後才能完成交易,從而增加多一重保障。但這就同時讓消費者增加多一重步驟,若有什麼原因而無法收取短訊的話更隨時無法完成交易,帶來不便。

 

四大安全措施降低信用卡詐騙機會

3D Secure 驗證是為了保障消費者,但這也為消費者帶來不便。安全和方便如何取得平衡一向是難題,就像大家每天登入系統時的密碼,組合的要求愈來愈多:字數、大小階、必須包含符號字母和數字,使用者開始抱怨密碼愈來愈難記,即使措施是為了防範密碼被破解。

VISA 風險總監 Ellen Richey 在 VISA Security Summit 2017 上表示,3D Secure 2.0 透過從四個層面來提升交易安全:透過加密技術來儲存客戶數據、減低資料的關鍵性來降低風險、實時偵測交易有否可疑,並釋出工具讓客戶能更大權力控管,從而把信用卡詐騙機會壓低。

 

目前已有支付卡產業安全標準(PCI DSS),所有與支付卡處理相關聯的機構都必須符合該標準的要求,必須以安全可靠方式收集、處理、傳送和儲存持卡人資料,在傳輸、儲存時都必須加密。VISA 亞太區風險主管 Joe Cunningham 表示,落實執行該標準才可讓整個網上交易世界安心,即使只有 1% 機構沒有達標都會破壞消費者信心,讓各持份者都切實執行 PCI DSS 標準非常重要。

 

讓信用卡號「被黑客盜取了也沒有用」

實體信用卡上記載了 16 位的信用卡號碼、有效期限和 CSV 安全碼,目前這些資料依然是關鍵,是確認持卡人的重要方式,但同時這些訊息其實很易盜取。而 3D Secure 2.0 就希望透過增加更多消費者看不到的驗證方式來確認交易時的持卡人身份,減低資料的關鍵性從而令這些資料不再那麼重要,甚至做到「黑客盜取了也沒有用途」的目標。

目前主要利用 Token 代碼技術來隱藏真實的信用卡資料,在交易時會用一組並不相關的代碼,來取代信用卡號碼、有效期限和 CSV 安全碼,從而令黑客截取後也無法得到真實的信用卡資料。目前各種手機和智能手錶支付,如 Apple Pay 和 Android Pay 都使用了 Token 代碼技術,未來技術會應用更多網上交易層面。

 

其實大家在網購時使用什麼裝置、瀏覽器,在什麼地點和時間網購等都是重要訊息,要是有網上消費時並不是從慣用的裝置在居住地點進行,愈多不符合過往紀錄的參數都愈提升信用卡正被盜用的可能性。若再加上生物辨別技術的話,其實能判斷網購時是否持卡者本人的基準也愈多,而 3D Secure 2.0 就利用這些隱藏的驗證方式來取代一次性密碼,從而毋須犧牲交易便利也能保障安全。

 

利用人工智能及機器學習判斷交易真偽

隨著網上交易愈來愈普遍,網上信用卡支付次數也不斷以幾何級數提升,在美國聖誕節網購高峰就可達到每秒平均 8 萬交易的驚人數字。這也代表著對網上支付的挑戰,由銀行到發送一次性密碼的伺服器等都是負擔,更遑論必須驗證每一筆交易真偽的 VISA 系統。

而 3D Secure 2.0 的四大措施就包括實時偵測交易有否可疑,Joe Cunningham 表示 VISA 會利用人工智能和機器學習實時分析每一筆信用卡交易,例如前述提到的客戶所在地、交易習慣和使用裝置等不同隱藏驗證參數,或是相同時段卻在不同地點以相同信用卡消費、不尋常的大筆交易等,會暫停交易並向可疑人士要求提供更多驗證方式(如出生日期或預設的驗證問題)來確認身份。

 

Joe Cunningham 表示人工智能可偵測每秒 60,000 筆交易,能以「微秒」為單位的速度發現可疑交易。人工智能當然也有錯誤偵測的機會,因此才需要機器學習,當交易人士能成功回答驗證問題時,就會分析為何會出現錯判,從而令下一次偵測能更加準確,減少誤判機會。Joe Cunningham 表示目標是把錯誤的比例降到 5% 以下。

 

提供工具讓持卡人有更大控制權

上述很多都是由 VISA 及銀行提供的,消費者能在不影響網上消費體驗的情況下得到更佳的保障。但這其實並不足夠,畢竟持卡人也是持份者之一,持卡人一樣有權利掌握更多控制權來保護自己。因此在 3D Secure 2.0 四大措施的最後就包括提升消費者的參與度。

消費者對網上交易安全認識愈多,自然愈能避開可能的危險,而增加持卡人控制權也有助他們更好地控制風險。例如 VISA 就有方案提供給發卡銀行,讓銀行可開發應用程式允許持卡人自訂信用卡的功能開關。舉個例子,若持卡人明知自己不會在網上購物,就能把有關服務關掉,那就算黑客盜取了信用卡資料也無法成功盜用。

持卡人能控制得愈多就愈能減少風險,例如不在外遊期間就關掉海外簽帳、不允許在網上遊戲充值、為網上交易設定上限金額等等,透過讓持卡人對自己的信用卡開放程度有更大的自訂權限,都能達到「被黑客盜取了信用卡號也沒有用」的終極效果。

 

總結:向「一次性短訊」說再見

Joe Cunningham表示 VISA 期望透過全面實踐 3D Secure 2.0 的四大措施後,能把信用卡詐騙交易比率降低四成。事實上,2016 年 VISA 在全球的詐騙交易率只佔總交易筆數的 0.06%,而在亞太區平均更只有 0.023%。VISA 亦已有全球實施的時間表,預期在 2019 年 4 月後在全球 100%全面實施 3D Secure 2.0,首階段就已在去年 10 月達到所有信用卡都 EMVCo 晶片化的目標。

而在香港方面,VISA 亦跟全港銀行協議好在今年下半年開始率先試行各種全新的保安措施,並同意早日停止使用「一次性短訊」作為驗證方式。事實上從銀行角度也會覺得「一次性短訊」成本不菲,也成為交易時的瓶頸,當在「雙 11」一類尖峰期時更是為系統帶來考驗,因此全部同意盡早停止使用「一次性短訊」並不意外。

隨著網購的形式也不斷改變,未來隨時連輸入信用卡號等步驟也隨時省略,而生物辨別技術也會愈加重要。此外 QR Code 作為連繫線上和線下交易的重要渠道,VISA 又為這渠道做了些什麼保護交易安全的措施?在下一篇文章 Unwire.pro 將會繼續報導。

 

 

作者:Boris Lee
Unwire.pro 資深編輯。在企業 IT 科技報道範疇有十多年經驗。