天融信：《电子支付漏洞报告》重磅发布

　　在现代电子商务系统中，电子支付是主要的支付手段。电子支付以接受线上转账和其他电子化付方式为主要特点，已经成为我国最常见的支付手段之一。据统计截至2022年，我国移动支付用户规模约为9.04亿，77.5%的手机用户每天都会使用移动支付。电子支付影响力仍在不断扩大，安全问题也愈发受到关注。

　　为了更好地了解电子支付漏洞的发展趋势，并采取适当的措施应对漏洞威胁，天融信（002212）特发布《电子支付漏洞专题报告》，为广大客户和读者提供有价值的信息。

　　1

　　电子支付的现状

　　我国电子支付分为传统金融机构提供的支付手段（如网络银行）和第三方支付两大主流类型。传统金融机构和第三方支付手段均覆盖线上和线下两种支付场景，电子支付的应用场景大致相同。“第三方支付”指非金融机构作为商户与消费者的支付中介，通过网联对接而促成交易双方进行交易的网络支付模式。近年来，在我国电子商务持续繁荣、移动支付快速发展的推动下，我国第三方支付交易规模持续扩大。

　　中国第三方支付综合交易规模发展趋势

　　中国非银行互联网支付与移动支付市场规模对比

　　左右滑动查看更多

　　2

　　电子支付相关漏洞的统计

　　根据《国家信息安全漏洞共享平台》（CNVD）每年公布的电子支付相关漏洞进行统计，2019年之前电子支付相关漏洞数量保持了较快增长趋势，2019年后，相关漏洞数量逐渐减少，天融信阿尔法实验室调研发现，漏洞减少的原因主要有以下几点：

　　第三方支付业务聚拢在头部厂商，该类厂商具备完善的运营机制和风控机制；

　　相关企业对电子支付漏洞越来越重视，逐年加大漏洞治理投入力度；

　　攻击者未将掌握的相关漏洞公开。

　　支付漏洞趋势

　　3

　　电子支付的安全风险

　　3.1

　　线下支付安全风险

　　线下交易要求付款者必须持有有效支付工具，如银行卡和智能手机APP。银行卡可产生的安全问题包括：

　　卡遗失导致被冒用；

　　商户终端的安全问题，如针对信用卡系统的中间人攻击；

　　SDA（静态数据认证）的安全问题可以导致重放攻击等。

　　针对目前流行的智能手机APP使用二维码支付的场景，安全问题如下：

　　越权扣款，本质上是攻击者使用扫码枪盗刷付款者的一次性付款码，也就是用户凭据的易失性；

　　二维码欺骗，由于二维码不具备可读性，付款者扫描商家付款码时也可能扫描到攻击者留下的恶意二维码，从而被引导进入钓鱼页面进行扣款或产生其他危害。

　　3.2

　　线上支付安全风险

　　线上支付场景中，传统信用卡支付仍可使用。但由于缺少实体卡的认证保护，付款者必须输入信用卡安全信息来证明自己持卡人的身份。针对身份认证问题，Mastercard，Visa等卡组织推出了3D Secure协议，而第三方支付平台则会使用自己的身份认证协议。

　　针对以上场景，可能的攻击面如下：

　　协议本身的安全缺陷，如3D Secure协议的iframe应用导致的不可辨识性；

　　钓鱼攻击，攻击者可能伪造商家或付款页面并欺骗付款者进行付款；

　　电子商务网站存在的安全漏洞导致的身份冒用或者恶意消费等；

　　第三方支付平台的安全漏洞导致的其他问题。

　　4

　　支付环节攻击方式与漏洞类型

　　对已知支付环节的攻击方式进行分类，可以分为：物理攻击、网络攻击和社会工程学攻击，这三种攻击方式的简单介绍下表中列出。

　　攻击者模型及其特点

　　4.1

　　卡复制

　　射频识别卡内有电磁感应线圈，连接着ID或IC芯片。如果射频识别卡中数据未进行加密处理，便可通过读写卡设备读取卡中数据并写入空白卡中，实现卡的复制。

　　4.2

　　卡数据破解与篡改

　　默认密码攻击

　　很多射频IC卡没有更改默认密码，攻击者可以直接使用默认密码来尝试接入IC卡，常见的默认密码有：

　　ffffffffffff、000000000000、a0a1a2a3a4a5、b0b1b2b3b4b5、aabbccddeeff、4d3a99c351dd、a982c7e459a、d3f7d3f7d3f7、14c5c886e97、87ee5f9350f、a0478cc39091、33cb6c723f6、fd0a4f256e9、fzzzzzzzzzz、a0zzzzzzzzzz

　　默认密码破解

　　Nested Authentication攻击