在现代电子商务系统中,电子支付是主要的支付手段。电子支付以接受线上转账和其他电子化付方式为主要特点,已经成为我国最常见的支付手段之一。据统计截至2022年,我国移动支付用户规模约为9.04亿,77.5%的手机用户每天都会使用移动支付。电子支付影响力仍在不断扩大,安全问题也愈发受到关注。
为了更好地了解电子支付漏洞的发展趋势,并采取适当的措施应对漏洞威胁,天融信特发布《电子支付漏洞专题报告》,为广大客户和读者提供有价值的信息。
1、电子支付的现状
我国电子支付分为传统金融机构提供的支付手段(如网络银行)和第三方支付两大主流类型。传统金融机构和第三方支付手段均覆盖线上和线下两种支付场景,电子支付的应用场景大致相同。“第三方支付”指非金融机构作为商户与消费者的支付中介,通过网联对接而促成交易双方进行交易的网络支付模式。近年来,在我国电子商务持续繁荣、移动支付快速发展的推动下,我国第三方支付交易规模持续扩大。
中国第三方支付综合交易规模发展趋势
中国非银行互联网支付与移动支付市场规模对比
2、电子支付相关漏洞的统计
根据《国家信息安全漏洞共享平台》(cnvd)每年公布的电子支付相关漏洞进行统计,2019年之前电子支付相关漏洞数量保持了较快增长趋势,2019年后,相关漏洞数量逐渐减少,天融信阿尔法实验室调研发现,漏洞减少的原因主要有以下几点:
● 第三方支付业务聚拢在头部厂商,该类厂商具备完善的运营机制和风控机制;
● 相关企业对电子支付漏洞越来越重视,逐年加大漏洞治理投入力度;
● 攻击者未将掌握的相关漏洞公开。
支付漏洞趋势
3、电子支付的安全风险
3.1 线下支付安全风险
线下交易要求付款者必须持有有效支付工具,如银行卡和智能手机app。银行卡可产生的安全问题包括:
● 卡遗失导致被冒用;
● 商户终端的安全问题,如针对信用卡系统的中间人攻击;
● sda(静态数据认证)的安全问题可以导致重放攻击等。
针对目前流行的智能手机app使用二维码支付的场景,安全问题如下:
● 越权扣款,本质上是攻击者使用扫码枪盗刷付款者的一次性付款码,也就是用户凭据的易失性;
● 二维码欺骗,由于二维码不具备可读性,付款者扫描商家付款码时也可能扫描到攻击者留下的恶意二维码,从而被引导进入钓鱼页面进行扣款或产生其他危害。
3.2 线上支付安全风险
线上支付场景中,传统信用卡支付仍可使用。但由于缺少实体卡的认证保护,付款者必须输入信用卡安全信息来证明自己持卡人的身份。针对身份认证问题,mastercard,visa等卡组织推出了3d secure协议,而第三方支付平台则会使用自己的身份认证协议。
针对以上场景,可能的攻击面如下:
● 协议本身的安全缺陷,如3d secure协议的iframe应用导致的不可辨识性;
● 钓鱼攻击,攻击者可能伪造商家或付款页面并欺骗付款者进行付款;
● 电子商务网站存在的安全漏洞导致的身份冒用或者恶意消费等;
● 第三方支付平台的安全漏洞导致的其他问题。
4、支付环节攻击方式与漏洞类型
对已知支付环节的攻击方式进行分类,可以分为:物理攻击、网络攻击和社会工程学攻击,这三种攻击方式的简单介绍下表中列出。
攻击者模型及其特点
4.1 卡复制
射频识别卡内有电磁感应线圈,连接着id或ic芯片。如果射频识别卡中数据未进行加密处理,便可通过读写卡设备读取卡中数据并写入空白卡中,实现卡的复制。
4.2 卡数据破解与篡改
● 默认密码攻击
很多射频ic卡没有更改默认密码,攻击者可以直接使用默认密码来尝试接入ic卡,常见的默认密码有:
ffffffffffff、000000000000、a0a1a2a3a4a5、b0b1b2b3b4b5、aabbccddeeff、4d3a99c351dd、a982c7e459a、d3f7d3f7d3f7、14c5c886e97、87ee5f9350f、a0478cc39091、33cb6c723f6、fd0a4f256e9、fzzzzzzzzzz、a0zzzzzzzzzz
默认密码破解
● nested authentication攻击
nested authentication 攻击是在已知任意一个扇区密钥的情况下,攻击得到其他加密扇区密钥的一种攻击手法。在通过获取已知加密随机数的情况下,极大地缩短破解密钥的时间,增加密钥破解的可能性。主要破解工具为mfoc和mfcuk(主要用于全加密卡)。
4.3 网络欺骗攻击
常见的攻击方式主要有以下几种:
● 仿冒网站钓鱼
攻击者大量发送欺诈性邮件或短信,多以中奖、采购、对帐等内容引诱或是以各种紧迫的理由要求收件人在在仿冒网站中填入金融账号和密码等信息,继而盗窃受害者资金;
● 电信诈骗
电信诈骗是指通过电话、网络和短信方式,编造虚假信息设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人打款或转账的犯罪行为。
4.4 线下欺骗攻击
● 商户收付款码伪造
近年来出现了替换电子支付二维码的新型盗窃方式,通过二维码生成器伪造收款码或者直接使用盗窃者自身的二维码,对商家的二维码进行替换,如若商家对账不及时可能会造成一定的损失。
● 纸质优惠券伪造
纸质优惠券是由发券人印制,可在特约商户消费时享受指定产品优惠、满减等优惠活动的纸质券。只要该优惠券未过期,收银员也没有觉察出异常的话,攻击者可以通过该方式减免一些支付金额,给商家造成财产损失。
4.5 支付身份伪造
● 账户伪造
账户伪造主要是通过网络钓鱼、渗透攻击、欺骗等方式获取受害者账户权限进行支付。较为常见的便是银行卡盗刷、恶意代替支付等;
● 生物识别伪造
生物识别技术主要是指通过人类生物特征进行身份认证的一种技术,包括了指纹识别、静脉识别、虹膜识别、视网膜识别、面部识别、dna识别等。其中指纹识别、面部识别广泛应用在我们的日常支付交易中,如果实现技术不完善就可能导致一定的财产损失。
4.6 支付逻辑绕过
在生成订单时,应当判断优惠券数量,生成一个订单之后要把对应使用的优惠券消除,不能在下次生成订单时使用。下图源码中,只判断了优惠券是否大于0,如果大于0,直接就进行插入数据库的操作,并且在插入数据库之后没有把对应的数量减1,造成优惠券一直可以使用。
代码示例
5、安全风险防范措施
5.1 卡复制以及卡数据破解与篡改防御
用户在刷卡前后,保证卡片不离开自己的视线,当发现自己的卡片被收款人员异常操作时,立即停止刷卡。刷完卡后,保证卡片会立即归还给自己,防止卡落入攻击者手中等。
5.2 网络欺骗防御
网络欺骗类的防御需要用户提高自身的安全意识,例如:平时不要相信来历不明的邮件短信等,不要轻易提供个人信息;浏览一些金融网站时仔细核对网站域名是否正确;将自己的手机号与银行卡进行绑定,如果收到自己银行卡异常消费的提示时,立即进行核对;不同的银行卡设置不同的密码。
5.3 线下欺骗防御
商家需要定期检查自己提供给顾客的收款信息,如二维码等,防止被恶意替换。对于用户提供的优惠券等信息,首先确认信息无误再允许用户使用,防止用户使用假冒的优惠券骗取优惠金额。
5.4 支付身份伪造防御
平时不要随意透露自己的支付信息,并时刻留意自己银行账户的余额,发现异常及时冻结账户并报警。支付时使用多因素验证,并不要将自己的指纹等信息透露给其他人。
5.5 支付逻辑绕过防御
对于这类漏洞,需要网站开发人员在开发过程中仔细考虑支付过程中的每一个步骤,前后支付过程的关联等。
5.6 支付数据不同步防御
不同的平台,使用同一个业务接口,防止因为接口的不同造成数据不同步。优化程序算法以及数据库查询语句,提高处理速度。
❖
天融信阿尔法实验室秉承"攻防一体"的理念,汇聚众多专业技术研究人员,致力于前沿技术研究工作,重点开展漏洞应急响应、原创漏洞研究、物联网攻防技术研究、移动端攻防技术研究、车联网技术研究、二进制逆向研究、web攻防技术研究。
多年来,天融信阿尔法实验室积极参与并承担多项国家级、省部级重点网络安全科研项目,累计为cnvd、cnnvd、cicsvd、citivd、cappvd等国家漏洞平台报送有效原创漏洞5000 ,已连续十年获得国家信息安全漏洞库(cnnvd)技术支撑单位(一级),连续四届获得国家信息安全漏洞共享平台(cnvd)原创漏洞发现突出贡献单位,首批并连续获得信创政务产品安全漏洞专业库(citivd)技术支撑单位、工业和信息化部移动互联网app安全漏洞库技术支撑单位称号,连续两年获得国家工业信息安全漏洞(cicsvd)优秀成员单位等荣誉;此外,自2008年至今,天融信阿尔法实验室已协助国内外厂商修复超过200个严重安全漏洞,获得华为、微软、apple、adobe、oracle、谷歌等厂商公开致谢。
2022年,天融信安全漏洞响应中心(简称topsrc)正式上线,依托自有的src平台,集合众多安全专家、白帽子、社会团体和个人力量,广泛收集天融信潜在产品及业务漏洞,致力于建设安全健康的互联网环境,保障天融信产品和业务线的信息安全,促进安全专家的合作与交流而建立的漏洞收集以及响应平台;2023年1月,天融信阿尔法实验室重磅发布《2022年网络空间安全漏洞调研分析报告》,分析漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
近年来,我国电子商务持续繁荣、移动支付快速发展,支付安全问题备受关注,了解支付漏洞类型有助于用户防患于未然。多年来,天融信积极发挥自身在监测预警与应急服务领域的优势,全面掌握漏洞动态,提供快速的监测与预警服务。未来,天融信将坚持安全漏洞管理技术探索与实践,持续构建更加完善的网络安全防御能力,护航数字经济高质量发展。
(点击“阅读原文”获取完整版)
- 关键词标签:
- 天融信 电子支付漏洞报告