全国免费咨询热线:
18926406479
融信报告速递 《电子支付漏洞报告》正式发布
在现代电子商务系统中,电子支付是主要的支付手段。电子支付以接受线上转账和其他电子化付方式为主要特征,慢慢的变成了我国最常见的支付手段之一。据统计截至2022年,我国移动支付用户规模约为9.04亿,77.5%的手机用户天天都会使用移动支付。电子支付影响力仍在逐步扩大,安全问题也愈发受到关注。
为了更好地了解电子支付漏洞的发展的新趋势,并采取适当的措施应对漏洞威胁,天融信特发布《电子支付漏洞专题报告》,为广大新老客户和读者提供有价值的信息。
我国电子支付分为传统金融机构提供的支付手段(如网络银行)和第三方支付两大主流类型。传统金融机构和第三方支付手段均覆盖线上和线下两种支付场景,电子支付的应用场景大致相同。“第三方支付”指非金融机构作为商户与消费者的支付中介,通过网联对接而促成交易双方进行交易的网络支付模式。近年来,在我国电子商务持续繁荣、移动支付加快速度进行发展的推动下,我国第三方支付交易规模持续扩大。
根据《国家信息安全漏洞共享平台》(CNVD)每年公布的电子支付相关漏洞进行统计,2019年之前电子支付相关漏洞数量保持了较快增长趋势,2019年后,相关漏洞数量慢慢地减少,天融信阿尔法实验室调研发现,漏洞减少的问题大多有以下几点:
● 第三方支付业务聚拢在头部厂商,该类厂商具备完善的运营机制和风控机制;
线下交易要求付款者必须持有有效支付工具,如银行卡和智能手机APP。银行卡可产生的安全问题包括:
● 越权扣款,本质上是攻击者使用扫码枪盗刷付款者的一次性付款码,也就是用户凭据的易失性;
● 二维码欺骗,由于二维码不具备可读性,付款者扫描商家付款码时也可能扫描到攻击者留下的恶意二维码,从而被引导进入钓鱼页面进行扣款或产生其他危害。
线上支付场景中,传统信用卡支付仍可使用。但由于缺少实体卡的认证保护,付款者必须输入信用卡安全信息来验证自己持卡人的身份。针对身份认证问题,Mastercard,Visa等卡组织推出了3D Secure协议,而第三方支付平台则会使用自己的身份认证协议。
● 协议本身的安全缺陷,如3D Secure协议的iframe应用导致的不可辨识性;
对已知支付环节的攻击方式来进行分类,可大致分为:物理攻击、网络攻击和社会工程学攻击,这三种攻击方式的简单介绍下表中列出。
射频识别卡内有电磁感应线圈,连接着ID或IC芯片。如果射频识别卡中数据未进行加密处理,便可通过读写卡设备读取卡中数据并写入空白卡中,实现卡的复制。
很多射频IC卡没有更改默认密码,攻击者可以直接用默认密码来尝试接入IC卡,常见的默认密码有:
Nested Authentication 攻击是在已知任意一个扇区密钥的情况下,攻击得到其他加密扇区密钥的一种攻击手法。在通过获取已知加密随机数的情况下,极大地缩短破解密钥的时间,增加密钥破解的可能性。主要破解工具为mfoc和mfcuk(大多数都用在全加密卡)。
攻击者大量发送欺诈性邮件或短信,多以中奖、采购、对帐等内容引诱或是以各种紧迫的理由要求收件人在在仿冒网站中填入金融账号和密码等信息,继而盗窃受害者资金;
电信诈骗是指通过电话、网络和短信方式,编造虚假信息设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人打款或转账的犯罪行为。
近年来出现了替换电子支付二维码的新型盗窃方式,通过二维码生成器伪造收款码或者直接用盗窃者自身的二维码,对商家的二维码进行替换,如若商家对账不及时可能会造成一定的损失。
纸质优惠券是由发券人印制,可在特约商户消费时享受指定产品优惠、满减等优惠活动的纸质券。只要该优惠券未过期,收银员也没有觉察出异常的话,攻击者能够最终靠该方式减免一些支付金额,给商家造成财产损失。
账户伪造主要是利用互联网钓鱼、渗透攻击、欺骗等方式获取受害者账户权限进行支付。较为常见的便是银行卡盗刷、恶意代替支付等;
生物识别技术主要是指通过人类生物特征进行身份认证的一种技术,包括了指纹识别、静脉识别、虹膜识别、视网膜识别、面部识别、DNA识别等。其中指纹识别、面部识别大范围的应用在我们的日常支付交易中,如果实现技术不完善就可能会引起一定的财产损失。
在生成订单时,应当判断优惠券数量,生成一个订单之后要把对应使用的优惠券消除,不能在下次生成订单时使用。下图源码中,只判断了优惠券是否大于0,如果大于0,直接就进行插入数据库的操作,并且在插入数据库之后没有把对应的数量减1,造成优惠券一直可以使用。
用户在刷卡前后,保证卡片不离开自己的视线,当发现了自己的卡片被收款人员异常操作时,立马停止刷卡。刷完卡后,保证卡片会立即归还给自己,防止卡落入攻击者手中等。
网络欺骗类的防御需要用户提高自身的安全意识,例如:平时莫轻信来历不明的邮件短信等,莫轻易提供个人隐私信息;浏览一些金融网站时仔细核对网站域名是不是正确;将自己的手机号与银行卡进行绑定,如果收到自己银行卡异常消费的提示时,立即进行核对;不同的银行卡设置不一样的密码。
商家需要按时进行检查自己提供给顾客的收款信息,如二维码等,防止被恶意替换。对于用户更好的提供的优惠券等信息,首先确认信息无误再允许用户使用,防止用户使用假冒的优惠券骗取优惠金额。
平时不要随意透露自己的支付信息,并时刻留意自己银行账户的余额,发现异常及时冻结账户并报警。支付时使用多因素验证,并不要将自己的指纹等信息透露给其他人。
对于这类漏洞,需要网站研发人员在开发过程中仔细考虑支付过程中的每一个步骤,前后支付过程的关联等。
不同的平台,使用同一个业务接口,防止因为接口的不同造成数据不同步。优化程序算法以及数据库查询语句,提高处理速度。
天融信阿尔法实验室秉承攻防一体的理念,汇聚众多专业方面技术研究人员,致力于前沿技术探讨研究工作,重点开展漏洞应急响应、原创漏洞研究、物联网攻防技术探讨研究、移动端攻防技术探讨研究、车联网技术探讨研究、二进制逆向研究、Web攻防技术探讨研究。
多年来,天融信阿尔法实验室热情参加并承担多项国家级、省部级重点网络安全科研项目,累计为CNVD、CNNVD、CICSVD、CITIVD、CAPPVD等国家漏洞平台报送有效原创漏洞5000+,已连续十年获得国家信息安全漏洞库(CNNVD)技术支撑单位(一级),连续四届获得国家信息安全漏洞共享平台(CNVD)原创漏洞发现突出贡献单位,首批并连续获得信创政务产品安全漏洞专业库(CITIVD)技术支撑单位、工业与信息化部移动网络APP安全漏洞库技术支撑单位称号,连续两年获得国家工业信息安全漏洞(CICSVD)优秀成员单位等荣誉;此外,自2008年至今,天融信阿尔法实验室已协助国内外厂商修复超过200个严重安全漏洞,获得华为、微软、Apple、Adobe、Oracle、谷歌等厂商公开致谢。
2022年,天融信安全漏洞响应中心(简称TOPSRC)正式上线,依托自有的SRC平台,集合众多安全专家、白帽子、社会团体和个人力量,广泛收集天融信潜在产品及业务漏洞,致力于建设安全健康的互联网环境,保障天融信产品和业务线的信息安全,促进安全专家的合作与交流而建立的漏洞收集以及响应平台;2023年1月,天融信阿尔法实验室重磅发布《2022年互联网空间安全漏洞调研分析报告》,分析漏洞威胁的现状及发展的新趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
近年来,我国电子商务持续繁荣、移动支付加快速度进行发展,支付安全问题非常关注,了解支付漏洞类型有助于用户防患于未然。多年来,天融信积极发挥自身在监测预警与应急服务领域的优势,全面掌握漏洞动态,提供快速的监测与预警服务。未来,天融信将坚持安全漏洞管理技术探索与实践,持续构建更完善的网络安全防御能力,护航数字化的经济高水平质量的发展。返回搜狐,查看更加多
上一篇:face id
