在現(xiàn)代電子商務(wù)系統(tǒng)中，電子支付是主要的支付手段。電子支付以接受線上轉(zhuǎn)賬和其他電子化付方式為主要特點(diǎn)，已經(jīng)成為我國最常見的支付手段之一。據(jù)統(tǒng)計(jì)截至2022年，我國移動(dòng)支付用戶規(guī)模約為9.04億，77.5%的手機(jī)用戶每天都會(huì)使用移動(dòng)支付。電子支付影響力仍在不斷擴(kuò)大，安全問題也愈發(fā)受到關(guān)注。

為了更好地了解電子支付漏洞的發(fā)展趨勢，并采取適當(dāng)?shù)拇胧?yīng)對漏洞威脅，天融信特發(fā)布《電子支付漏洞專題報(bào)告》，為廣大客戶和讀者提供有價(jià)值的信息。

1、電子支付的現(xiàn)狀

我國電子支付分為傳統(tǒng)金融機(jī)構(gòu)提供的支付手段（如網(wǎng)絡(luò)銀行）和第三方支付兩大主流類型。傳統(tǒng)金融機(jī)構(gòu)和第三方支付手段均覆蓋線上和線下兩種支付場景，電子支付的應(yīng)用場景大致相同。“第三方支付”指非金融機(jī)構(gòu)作為商戶與消費(fèi)者的支付中介，通過網(wǎng)聯(lián)對接而促成交易雙方進(jìn)行交易的網(wǎng)絡(luò)支付模式。近年來，在我國電子商務(wù)持續(xù)繁榮、移動(dòng)支付快速發(fā)展的推動(dòng)下，我國第三方支付交易規(guī)模持續(xù)擴(kuò)大。

中國第三方支付綜合交易規(guī)模發(fā)展趨勢

中國非銀行互聯(lián)網(wǎng)支付與移動(dòng)支付市場規(guī)模對比

2、電子支付相關(guān)漏洞的統(tǒng)計(jì)

根據(jù)《國家信息安全漏洞共享平臺(tái)》（CNVD）每年公布的電子支付相關(guān)漏洞進(jìn)行統(tǒng)計(jì)，2019年之前電子支付相關(guān)漏洞數(shù)量保持了較快增長趨勢，2019年后，相關(guān)漏洞數(shù)量逐漸減少，天融信阿爾法實(shí)驗(yàn)室調(diào)研發(fā)現(xiàn)，漏洞減少的原因主要有以下幾點(diǎn)：

● 第三方支付業(yè)務(wù)聚攏在頭部廠商，該類廠商具備完善的運(yùn)營機(jī)制和風(fēng)控機(jī)制；

● 相關(guān)企業(yè)對電子支付漏洞越來越重視，逐年加大漏洞治理投入力度；

● 攻擊者未將掌握的相關(guān)漏洞公開。

支付漏洞趨勢

3、電子支付的安全風(fēng)險(xiǎn)

3.1 線下支付安全風(fēng)險(xiǎn)

線下交易要求付款者必須持有有效支付工具，如銀行卡和智能手機(jī)APP。銀行卡可產(chǎn)生的安全問題包括：

● 卡遺失導(dǎo)致被冒用；

● 商戶終端的安全問題，如針對信用卡系統(tǒng)的中間人攻擊；

● SDA（靜態(tài)數(shù)據(jù)認(rèn)證）的安全問題可以導(dǎo)致重放攻擊等。

針對目前流行的智能手機(jī)APP使用二維碼支付的場景，安全問題如下：

● 越權(quán)扣款，本質(zhì)上是攻擊者使用掃碼槍盜刷付款者的一次性付款碼，也就是用戶憑據(jù)的易失性；

● 二維碼欺騙，由于二維碼不具備可讀性，付款者掃描商家付款碼時(shí)也可能掃描到攻擊者留下的惡意二維碼，從而被引導(dǎo)進(jìn)入釣魚頁面進(jìn)行扣款或產(chǎn)生其他危害。

3.2 線上支付安全風(fēng)險(xiǎn)

線上支付場景中，傳統(tǒng)信用卡支付仍可使用。但由于缺少實(shí)體卡的認(rèn)證保護(hù)，付款者必須輸入信用卡安全信息來證明自己持卡人的身份。針對身份認(rèn)證問題，Mastercard，Visa等卡組織推出了3D Secure協(xié)議，而第三方支付平臺(tái)則會(huì)使用自己的身份認(rèn)證協(xié)議。

針對以上場景，可能的攻擊面如下：

● 協(xié)議本身的安全缺陷，如3D Secure協(xié)議的iframe應(yīng)用導(dǎo)致的不可辨識(shí)性；

● 釣魚攻擊，攻擊者可能偽造商家或付款頁面并欺騙付款者進(jìn)行付款；

● 電子商務(wù)網(wǎng)站存在的安全漏洞導(dǎo)致的身份冒用或者惡意消費(fèi)等；

● 第三方支付平臺(tái)的安全漏洞導(dǎo)致的其他問題。

4、支付環(huán)節(jié)攻擊方式與漏洞類型

對已知支付環(huán)節(jié)的攻擊方式進(jìn)行分類，可以分為：物理攻擊、網(wǎng)絡(luò)攻擊和社會(huì)工程學(xué)攻擊，這三種攻擊方式的簡單介紹下表中列出。

攻擊者模型及其特點(diǎn)

4.1 卡復(fù)制

射頻識(shí)別卡內(nèi)有電磁感應(yīng)線圈，連接著ID或IC芯片。如果射頻識(shí)別卡中數(shù)據(jù)未進(jìn)行加密處理，便可通過讀寫卡設(shè)備讀取卡中數(shù)據(jù)并寫入空白卡中，實(shí)現(xiàn)卡的復(fù)制。

4.2 卡數(shù)據(jù)破解與篡改

● 默認(rèn)密碼攻擊

很多射頻IC卡沒有更改默認(rèn)密碼，攻擊者可以直接使用默認(rèn)密碼來嘗試接入IC卡，常見的默認(rèn)密碼有：

ffffffffffff、000000000000、a0a1a2a3a4a5、b0b1b2b3b4b5、aabbccddeeff、4d3a99c351dd、a982c7e459a、d3f7d3f7d3f7、14c5c886e97、87ee5f9350f、a0478cc39091、33cb6c723f6、fd0a4f256e9、fzzzzzzzzzz、a0zzzzzzzzzz

默認(rèn)密碼破解

● Nested Authentication攻擊

Nested Authentication 攻擊是在已知任意一個(gè)扇區(qū)密鑰的情況下，攻擊得到其他加密扇區(qū)密鑰的一種攻擊手法。在通過獲取已知加密隨機(jī)數(shù)的情況下，極大地縮短破解密鑰的時(shí)間，增加密鑰破解的可能性。主要破解工具為mfoc和mfcuk（主要用于全加密卡）。

4.3 網(wǎng)絡(luò)欺騙攻擊

常見的攻擊方式主要有以下幾種：

● 仿冒網(wǎng)站釣魚

攻擊者大量發(fā)送欺詐性郵件或短信，多以中獎(jiǎng)、采購、對帳等內(nèi)容引誘或是以各種緊迫的理由要求收件人在在仿冒網(wǎng)站中填入金融賬號和密碼等信息，繼而盜竊受害者資金；

● 電信詐騙

電信詐騙是指通過電話、網(wǎng)絡(luò)和短信方式，編造虛假信息設(shè)置騙局，對受害人實(shí)施遠(yuǎn)程、非接觸式詐騙，誘使受害人打款或轉(zhuǎn)賬的犯罪行為。

4.4 線下欺騙攻擊

● 商戶收付款碼偽造

近年來出現(xiàn)了替換電子支付二維碼的新型盜竊方式，通過二維碼生成器偽造收款碼或者直接使用盜竊者自身的二維碼，對商家的二維碼進(jìn)行替換，如若商家對賬不及時(shí)可能會(huì)造成一定的損失。

● 紙質(zhì)優(yōu)惠券偽造

紙質(zhì)優(yōu)惠券是由發(fā)券人印制，可在特約商戶消費(fèi)時(shí)享受指定產(chǎn)品優(yōu)惠、滿減等優(yōu)惠活動(dòng)的紙質(zhì)券。只要該優(yōu)惠券未過期，收銀員也沒有覺察出異常的話，攻擊者可以通過該方式減免一些支付金額，給商家造成財(cái)產(chǎn)損失。

4.5 支付身份偽造

● 賬戶偽造

賬戶偽造主要是通過網(wǎng)絡(luò)釣魚、滲透攻擊、欺騙等方式獲取受害者賬戶權(quán)限進(jìn)行支付。較為常見的便是銀行卡盜刷、惡意代替支付等；

● 生物識(shí)別偽造

生物識(shí)別技術(shù)主要是指通過人類生物特征進(jìn)行身份認(rèn)證的一種技術(shù)，包括了指紋識(shí)別、靜脈識(shí)別、虹膜識(shí)別、視網(wǎng)膜識(shí)別、面部識(shí)別、DNA識(shí)別等。其中指紋識(shí)別、面部識(shí)別廣泛應(yīng)用在我們的日常支付交易中，如果實(shí)現(xiàn)技術(shù)不完善就可能導(dǎo)致一定的財(cái)產(chǎn)損失。

4.6 支付邏輯繞過

在生成訂單時(shí)，應(yīng)當(dāng)判斷優(yōu)惠券數(shù)量，生成一個(gè)訂單之后要把對應(yīng)使用的優(yōu)惠券消除，不能在下次生成訂單時(shí)使用。下圖源碼中，只判斷了優(yōu)惠券是否大于0，如果大于0，直接就進(jìn)行插入數(shù)據(jù)庫的操作，并且在插入數(shù)據(jù)庫之后沒有把對應(yīng)的數(shù)量減1，造成優(yōu)惠券一直可以使用。

代碼示例

5、安全風(fēng)險(xiǎn)防范措施

5.1 卡復(fù)制以及卡數(shù)據(jù)破解與篡改防御

用戶在刷卡前后，保證卡片不離開自己的視線，當(dāng)發(fā)現(xiàn)自己的卡片被收款人員異常操作時(shí)，立即停止刷卡。刷完卡后，保證卡片會(huì)立即歸還給自己，防止卡落入攻擊者手中等。

5.2 網(wǎng)絡(luò)欺騙防御

網(wǎng)絡(luò)欺騙類的防御需要用戶提高自身的安全意識(shí)，例如：平時(shí)不要相信來歷不明的郵件短信等，不要輕易提供個(gè)人信息；瀏覽一些金融網(wǎng)站時(shí)仔細(xì)核對網(wǎng)站域名是否正確；將自己的手機(jī)號與銀行卡進(jìn)行綁定，如果收到自己銀行卡異常消費(fèi)的提示時(shí)，立即進(jìn)行核對；不同的銀行卡設(shè)置不同的密碼。

5.3 線下欺騙防御

商家需要定期檢查自己提供給顧客的收款信息，如二維碼等，防止被惡意替換。對于用戶提供的優(yōu)惠券等信息，首先確認(rèn)信息無誤再允許用戶使用，防止用戶使用假冒的優(yōu)惠券騙取優(yōu)惠金額。

5.4 支付身份偽造防御

平時(shí)不要隨意透露自己的支付信息，并時(shí)刻留意自己銀行賬戶的余額，發(fā)現(xiàn)異常及時(shí)凍結(jié)賬戶并報(bào)警。支付時(shí)使用多因素驗(yàn)證，并不要將自己的指紋等信息透露給其他人。

5.5 支付邏輯繞過防御

對于這類漏洞，需要網(wǎng)站開發(fā)人員在開發(fā)過程中仔細(xì)考慮支付過程中的每一個(gè)步驟，前后支付過程的關(guān)聯(lián)等。

5.6 支付數(shù)據(jù)不同步防御

不同的平臺(tái)，使用同一個(gè)業(yè)務(wù)接口，防止因?yàn)榻涌诘牟煌斐蓴?shù)據(jù)不同步。優(yōu)化程序算法以及數(shù)據(jù)庫查詢語句，提高處理速度。

?

天融信阿爾法實(shí)驗(yàn)室秉承"攻防一體"的理念，匯聚眾多專業(yè)技術(shù)研究人員，致力于前沿技術(shù)研究工作，重點(diǎn)開展漏洞應(yīng)急響應(yīng)、原創(chuàng)漏洞研究、物聯(lián)網(wǎng)攻防技術(shù)研究、移動(dòng)端攻防技術(shù)研究、車聯(lián)網(wǎng)技術(shù)研究、二進(jìn)制逆向研究、Web攻防技術(shù)研究。

多年來，天融信阿爾法實(shí)驗(yàn)室積極參與并承擔(dān)多項(xiàng)國家級、省部級重點(diǎn)網(wǎng)絡(luò)安全科研項(xiàng)目，累計(jì)為CNVD、CNNVD、CICSVD、CITIVD、CAPPVD等國家漏洞平臺(tái)報(bào)送有效原創(chuàng)漏洞5000+，已連續(xù)十年獲得國家信息安全漏洞庫（CNNVD）技術(shù)支撐單位（一級），連續(xù)四屆獲得國家信息安全漏洞共享平臺(tái)（CNVD）原創(chuàng)漏洞發(fā)現(xiàn)突出貢獻(xiàn)單位，首批并連續(xù)獲得信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫（CITIVD）技術(shù)支撐單位、工業(yè)和信息化部移動(dòng)互聯(lián)網(wǎng)APP安全漏洞庫技術(shù)支撐單位稱號，連續(xù)兩年獲得國家工業(yè)信息安全漏洞（CICSVD）優(yōu)秀成員單位等榮譽(yù)；此外，自2008年至今，天融信阿爾法實(shí)驗(yàn)室已協(xié)助國內(nèi)外廠商修復(fù)超過200個(gè)嚴(yán)重安全漏洞，獲得華為、微軟、Apple、Adobe、Oracle、谷歌等廠商公開致謝。

2022年，天融信安全漏洞響應(yīng)中心（簡稱TOPSRC）正式上線，依托自有的SRC平臺(tái)，集合眾多安全專家、白帽子、社會(huì)團(tuán)體和個(gè)人力量，廣泛收集天融信潛在產(chǎn)品及業(yè)務(wù)漏洞，致力于建設(shè)安全健康的互聯(lián)網(wǎng)環(huán)境，保障天融信產(chǎn)品和業(yè)務(wù)線的信息安全，促進(jìn)安全專家的合作與交流而建立的漏洞收集以及響應(yīng)平臺(tái)；2023年1月，天融信阿爾法實(shí)驗(yàn)室重磅發(fā)布《2022年網(wǎng)絡(luò)空間安全漏洞調(diào)研分析報(bào)告》，分析漏洞威脅的現(xiàn)狀及發(fā)展趨勢，為廣大企事業(yè)客戶、安全運(yùn)維人員等應(yīng)對漏洞威脅提供指導(dǎo)。

近年來，我國電子商務(wù)持續(xù)繁榮、移動(dòng)支付快速發(fā)展，支付安全問題備受關(guān)注，了解支付漏洞類型有助于用戶防患于未然。多年來，天融信積極發(fā)揮自身在監(jiān)測預(yù)警與應(yīng)急服務(wù)領(lǐng)域的優(yōu)勢，全面掌握漏洞動(dòng)態(tài)，提供快速的監(jiān)測與預(yù)警服務(wù)。未來，天融信將堅(jiān)持安全漏洞管理技術(shù)探索與實(shí)踐，持續(xù)構(gòu)建更加完善的網(wǎng)絡(luò)安全防御能力，護(hù)航數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。

（點(diǎn)擊“閱讀原文”獲取完整版）