電子商務:數位時代商機‧梁定澎總編輯‧前程文化 出版 第5章 電子付款與交易安全 授課教師: 電子商務:數位時代商機‧梁定澎總編輯‧前程文化 出版
摘要 5.1 導論 5.2 電子交易 5.3 電子付款 5.4 電子付款與交易的未來發展 5.5 摘要與結論
學習目標 何謂電子交易與付款。 了解電子交易風險及如何避免。 電子交易與電子付款之應用現況。
悠遊卡遭駭,第一代悠遊卡所面臨的資安威脅 日前傳出發行超過千萬張的臺北悠遊卡遭駭 客破解,自行加值、竄改其卡內的金額,引 發民眾對悠遊卡安全性的質疑。 警方指出,這名涉嫌入侵悠遊卡的男子為擔 任某科技公司的電腦工程師,竄改悠遊卡內 部晶片程式執行流程,再用設定好的加值機 器對悠遊卡加值。悠遊卡的儲值金額上限為 一萬元,在悠遊卡內的數位金額等同於現金, 用途甚廣,跨足了交通與小額消費市場,如 四大超商及上萬家特約商店。 梁定澎主編 電子商務:數位時代商機 2014
悠遊卡遭駭,第一代悠遊卡所面臨的資安威脅 在悠遊卡所有保密安全措施中,加值系統為 最重要的一部份,悠遊卡公司對此很有信心, 向全民保證其安全性,卻在流通於市面上的 悠遊卡中,出現了未經合法加值程序「自行 加值的悠遊卡」,悠遊卡公司得知消息後, 確認已有三張以上的悠遊卡成功的自行加值。 經過追查,悠遊卡被加值後,均使用於市面 上消費,金額不足時,又自行加值。 梁定澎主編 電子商務:數位時代商機 2014
5.1 導論 5.2 5.3 5.4 5.5 導論 科技的發達使我們的生活型態改變許多,傳 統的買賣交易過程電子化,付款流程也在虛 擬的環境下運作,方便了生產者及消費者。 然而,便利之餘,在看不見的狀態下交易, 想必有一定的風險存在,因此,交易的過程 中的安全機制,是非常重要的。
導論 本章節將介紹: 電子交易概念與機制 電子付款系統整體架構、特色、種類 電子付款與交易之風險 電子付款與交易的未來發展 5.1 導論 5.2 5.3 5.4 5.5 導論 本章節將介紹: 電子交易概念與機制 電子付款系統整體架構、特色、種類 電子付款與交易之風險 電子付款與交易的未來發展
電子交易的演化 「1999中華民國電子商務年鑑」中,將電子 交易之發展沿革提前到1970年代,分為五個 階段: 5.1 5.2 電子交易 5.3 5.4 5.5 電子交易的演化 「1999中華民國電子商務年鑑」中,將電子 交易之發展沿革提前到1970年代,分為五個 階段:
電子交易的定義 利用電腦與網際網路完成商品交易的過程統 稱為「電子商務」,也稱作「電子交易」。 5.1 5.2 電子交易 5.3 5.4 5.5 電子交易的定義 利用電腦與網際網路完成商品交易的過程統 稱為「電子商務」,也稱作「電子交易」。
電子交易的特性 在電子交易隨著電子信息和網路技術的發展 而産生的一種新型的網路交易形式,共有七 大特色: 5.1 5.2 電子交易 5.3 5.4 5.5 電子交易的特性 在電子交易隨著電子信息和網路技術的發展 而産生的一種新型的網路交易形式,共有七 大特色:
5.1 5.2 電子交易 5.3 5.4 5.5 現今電子交易機制之介紹及比較 電子與傳統交易的差別是利用低交易成本和 容易尋找買主與賣主的優勢,改變交易方式, 附表簡單說明電子與傳統交易之差異: 目前在網際網路上應用的消費安全協定有 SSL和SET。
SSL(Secure Socket Layer) 5.1 5.2 電子交易 5.3 5.4 5.5 SSL(Secure Socket Layer) 用公開金鑰和私密金鑰的機制,讓連線的兩 方可以互相交換加密過的訊息。 用可信任第三方認證機構方式,讓兩方能夠 相互確認對方的資料,沒有假冒的風險。 SSL已經成為現今電子交易或是電子傳輸時 的主要媒介。
SSL(Secure Socket Layer) 5.1 5.2 電子交易 5.3 5.4 5.5 SSL(Secure Socket Layer)
SET(Secure Electronic Transaction) 5.1 5.2 電子交易 5.3 5.4 5.5 SET(Secure Electronic Transaction) 「安全電子交易」是由其他組織所共同制訂 的一套電子付款系統。與SSL不同的是雙方 都必須要先跟發行認證的機構申請,獲得 SET的電子軟體與認證後,才可以使用支援 SET的軟體上網交易。
SET(Secure Electronic Transaction) 5.1 5.2 電子交易 5.3 5.4 5.5 SET(Secure Electronic Transaction)
5.1 5.2 5.3 電子付款 5.4 5.5 現今社會電子付款 當人類文明跨入科技化時代後,貨幣也隨著 電子化。例如:股票,這可以遠端操作對不 同公司的投資。電子轉帳,可以快速地將錢 轉給遠方的親戚朋友,甚至是買賣也可以用 電子轉帳來付款。
5.1 5.2 5.3 電子付款 5.4 5.5 現今社會電子付款
電子付款的特色 身份鑑別性(Authentication):主要是鑑別 兩個來源,身份鑑別及資料鑑別。 5.1 5.2 5.3 電子付款 5.4 5.5 電子付款的特色 身份鑑別性(Authentication):主要是鑑別 兩個來源,身份鑑別及資料鑑別。 資料保密性(Confidentiality):須確保資訊 的機密,防止機密資訊洩漏給未經授權的使 用者。 資料完整性(Integrity):必需要確保資料 傳輸時,不會遭受篡改,以保證資料傳輸內 容的完整性。
5.1 5.2 5.3 電子付款 5.4 5.5 電子付款的特色 不可否認性(Non-Repudiation):對於傳送 方或接收方需留下記錄,傳送方不得否認其 曾傳送某筆資料,而接收方亦無法否認其曾 接收到某訊息。
電子付款的機會與未來 新興的電子付款 NFC(Near Field Communication,近場通訊) 一種短距離的高頻無線通訊技術,允許電子設 備間進行非接觸式點對點的資料傳輸,在短距 離內交換資料,應用於車票、門票、電子錢包 等。而智慧手機越來越盛行,手機使用「NFC」 可在手機與其他NFC裝置間傳輸資訊,不需再 透過藍牙或傳訊軟體,將成為新穎的電子付款 主流。
電子付款與交易的風險─信用卡盜刷 女護士拿好友信用卡盜刷買名牌 竟鼓勵友人 報警 社會中心/台北報導 女護士拿好友信用卡盜刷買名牌 竟鼓勵友人 報警 社會中心/台北報導 台北市某診所一名擔任護士的謝姓女子,日前 到許姓女性友人家過夜時,藉機竊取許女信用 卡,並盜刷買名牌,但讓人傻眼的是事後她還 鼓勵許女報警,警方訊後依竊盜、詐欺及偽造 文書罪嫌,將謝女移送法辦。 警方指出,謝女竊取許女信用卡和多張禮券, 並盜刷5萬餘元,因謝女之前盜刷金額未破5000 元,直到盜刷名牌風衣4萬2000元,發卡銀行以 簡訊通知許女,她才驚覺信用卡遭竊。
電子付款與交易的風險─信用卡盜刷 女護士拿好友信用卡盜刷買名牌 竟鼓勵友人 報警 社會中心/台北報導 新聞分析: 女護士拿好友信用卡盜刷買名牌 竟鼓勵友人 報警 社會中心/台北報導 許女表示,事後用手機聊天軟體LINE向謝女抱 怨此事,謝女還鼓勵她報警,經警方調查後發 現,盜刷信用卡的嫌犯居然是謝女。 (摘自網路—NOWnews今日新聞[21]) 新聞分析: 信用卡盜刷事件可分為兩類: 在實際在現實生活中消費購買用的。 利用網路機制的漏洞實行盜刷。
電子付款與交易的風險─信用卡盜刷 新聞分析: 網路盜刷信用卡是目前較常見的,於網路上消 費,通常需要卡號、信用卡到期日以及授權碼。 而這些都是卡片上能看到的。因此,做好信用 卡片的收藏管理很重要。另一種簡單的方法就 是設置簡訊通知,現在很多銀行都有這種設置, 如果金額太高,有些銀行會打電話做確認。 近年來,信用卡有推出一項3D驗證服務,讓我 們在網路上使用信用卡購物時,輸入一組自行 設定的「專屬密碼」,來確定是持卡人在消費, 如此就不需擔心別人偷記信用卡上的資料盜刷, 是對於持卡人的財富安全保障。
? 不可追蹤式電子貨幣技術 匿名性:指在交易過程中,店家或銀行無法 得知消費者的身份。 5.1 5.2 5.3 5.4 電子付款與交易的未來發展 5.5 不可追蹤式電子貨幣技術 匿名性:指在交易過程中,店家或銀行無法 得知消費者的身份。 不可追蹤性:是指無法從消費紀錄中去得知 消費者的身份,或從消費者的身份去搜尋其 消費紀錄。 A B C ?
不可追蹤式電子貨幣技術 悠遊卡(以普通卡為例)可分為兩大類,無 記名卡及可記名卡: 5.1 5.2 5.3 5.4 電子付款與交易的未來發展 5.5 不可追蹤式電子貨幣技術 悠遊卡(以普通卡為例)可分為兩大類,無 記名卡及可記名卡: 無記名卡:不可追蹤式電子貨幣技術,目前有 第一代悠遊卡及icash悠遊卡。 可記名卡:目前第二代悠遊卡,為新一代悠遊 卡。新的悠遊卡晶片容量較大,提供網路查詢 交易紀錄服務(使用插卡式讀卡機)及網路申 辦記名服務。
公平交易協定 電子交易須符合以下四種公平特性: 5.1 5.2 5.3 5.4 電子付款與交易的未來發展 5.5 公平交易協定 電子交易須符合以下四種公平特性: 金錢原子性(Money Atomicity):金錢在交易 時不會憑空地被創造出來,也不會無端減少。 貨品原子性(Goods Atomicity):「商家收到 貨款」與「消費者收到商品」兩者必須同時成 立或不成立。 有效接收性(Validated Receipt):消費者付款 前,有驗證商品正確性的能力。 有效傳送性(Validated Sending):商家在發送 商品前,擁有驗證貨款正確性的能力。
新興的貨幣,不同的影響 智慧卡的推行,我們在購物上增添許多便利。 自2002年起,使用於台北捷運上後,任何金 錢交易的地方逐漸被悠遊卡滲入,我們慢慢 的習慣有悠遊卡在身邊的生活方式。 事實上,台北悠遊卡發行的過程並非一帆風 順,數年前遭某科技公司的電腦工程師,以 竄改卡片內存金額藉此獲利,甚至有台灣大 學電機系鄭振牟教授在2010年駭客年會上提 出了破解悠遊卡的方法。
新興的貨幣,不同的影響 科技始終來自於人心,無生命的科技產品, 若被有心人士操弄,將引入科技危機的洪流, 勢必造成一大衝擊,如此才更激勵我們改進 電子交易技術。 此外,對於使用者而言,須對悠遊卡負保管 責任,儘管是有記名式的悠遊卡(如許多大 專院校推行的學生證與大眾運輸的悠遊卡結 合)仍需要使用者多留心,也應避免在悠遊 卡上存入過多的金額,這些都是降低風險與 損失的方式。
新興的貨幣,不同的影響 電子交易系統已是被社會大眾認同的龐大金 融系統之一,勿輕忽悠遊卡背後的影響性, 電子交易之金融系統關係到整個經濟體系, 不能因小而犯罪之,正視悠遊卡對於社會的 影響性,讓便利的金融體系在我們生活當中 有價值地呈現。
電子付款與交易的風險─無記名卡 撿到icash卡佔為己有 吃上侵占、詐欺官司
電子付款與交易的風險─無記名卡 撿到icash卡佔為己有 吃上侵占、詐欺官司 新聞分析: 警方表示,雖然只是一張不起眼的儲值卡,裡 面的餘額也不多,但是女護士已經觸犯「侵佔 遺失物罪」,因為又盜刷餘額現金,因此又觸 犯了「詐欺罪」。 (摘自網路—雅虎新聞 中廣新聞網[22]) 新聞分析: 根據此新聞的敘述: icash卡屬無記名卡,若icash卡遺失時可能無法找回。 若屬記名卡,icash卡持有人向警方報案後,警方可 以向icash卡公司調閱消費紀錄,找出被誰撿走。 從此新聞就可以很清楚的看出記名卡和無記名卡的 優缺點。
5.1 5.2 5.3 5.4 電子付款與交易的未來發展 5.5 商品內容隱私保護機制 消費者在購買商品時,賣方有義務為消費者 保密,對商品加以包裝,及對客戶資料的保 護,以防範有心人士得知消費者所購買的商 品或真實身份。對於電子商品或消費者的數 位資料的部份我們也可以透過加密演算法來 達到我們的目的。
5.1 5.2 5.3 5.4 電子付款與交易的未來發展 5.5 商品內容隱私保護機制
5.1 5.2 5.3 5.4 電子付款與交易的未來發展 5.5 其他相關研究之介紹 憑證管理中心(CA) 公開金鑰密碼技術的運作是建立在「通訊雙方 能夠正確地取得對方公開金鑰」的前提下,否 則極有可能使訊息洩漏或收到偽造的訊息而沒 察覺。必須由通訊雙方都信任的公正第三者經 一定的程序,鑑別個體之身分與金鑰對後簽發 憑證,證明該個體確實擁有與其所宣稱的公開 金鑰相對應之私有金鑰的根據。此種憑證稱為 公開金鑰憑證(Public-Key Certificate),簡稱 憑證(Certificate),而簽發憑證的機構稱為憑 證管理中心(Certification Authority,CA)。
摘要與結論 電子付款的原意為增加交易效率及便利性, 然而,在享受便利的同時,新的風險也跟著 出現,為安全性帶來不少隱憂: 5.1 5.2 5.3 5.4 5.5 摘要與結論 摘要與結論 電子付款的原意為增加交易效率及便利性, 然而,在享受便利的同時,新的風險也跟著 出現,為安全性帶來不少隱憂: 隱私問題 系統設計不當 遭惡意入侵 電子交易可以在任何一個地方進行,若是透 過網際網路,更可隨時由全球各地進入交易 網站。這特性使得電子交易暴露在高度的風 險中。
5.1 5.2 5.3 5.4 5.5 摘要與結論 摘要與結論 不論是消費者或是生產者,「安全」問題皆 是他們採用電子交易時的最大顧慮,這樣的 顧慮可能會阻礙電子付款的發展,進一步影 響整體競爭力的提升。透過不斷改良進步的 電子付款方式,建立良好的機制很重要。了 解電子付款與交易的安全性與風險評估,做 好管理,才是最佳的方式。