在现代电子商务系统中,电子支付是主要的支付手段。电子支付以接受线上转账和其他电子化支付方式为主要特点,已经成为我国最常见的支付手段之一。据统计截至2022年,我国移动支付用户规模约为9.04亿,77.5%的手机用户每天都会使用移动支付。电子支付影响力仍在不断扩大,安全问题也愈发受到关注。
第三方支付业务聚拢在头部厂商,该类厂商具备完善的运营机制和风控机制;
相关企业对电子支付漏洞越来越重视,逐年加大漏洞治理投入力度;
攻击者未将掌握的相关漏洞公开。
3.1
线下支付安全风险
卡遗失导致被冒用;
商户终端的安全问题,如针对信用卡系统的中间人攻击;
SDA(静态数据认证)的安全问题可以导致重放攻击等。
越权扣款,本质上是攻击者使用扫码枪盗刷付款者的一次性付款码,也就是用户凭据的易失性;
二维码欺骗,由于二维码不具备可读性,付款者扫描商家付款码时也可能扫描到攻击者留下的恶意二维码,从而被引导进入钓鱼页面进行扣款或产生其他危害。
3.2
线上支付安全风险
协议本身的安全缺陷,如3D Secure协议的iframe应用导致的不可辨识性;
钓鱼攻击,攻击者可能伪造商家或付款页面并欺骗付款者进行付款;
电子商务网站存在的安全漏洞导致的身份冒用或者恶意消费等;
第三方支付平台的安全漏洞导致的其他问题。
4.1
卡复制
4.2
卡数据破解与篡改
默认密码攻击
很多射频IC卡没有更改默认密码,攻击者可以直接使用默认密码来尝试接入IC卡,常见的默认密码有:
ffffffffffff、000000000000、a0a1a2a3a4a5、b0b1b2b3b4b5、aabbccddeeff、4d3a99c351dd、a982c7e459a、d3f7d3f7d3f7、14c5c886e97、87ee5f9350f、a0478cc39091、33cb6c723f6、fd0a4f256e9、fzzzzzzzzzz、a0zzzzzzzzzz
默认密码破解
Nested Authentication攻击
Nested Authentication 攻击是在已知任意一个扇区密钥的情况下,攻击得到其他加密扇区密钥的一种攻击手法。在通过获取已知加密随机数的情况下,极大地缩短破解密钥的时间,增加密钥破解的可能性。主要破解工具为mfoc和mfcuk(主要用于全加密卡)。
4.3
网络欺骗攻击
仿冒网站钓鱼
攻击者大量发送欺诈性邮件或短信,多以中奖、采购、对帐等内容引诱或是以各种紧迫的理由要求收件人在在仿冒网站中填入金融账号和密码等信息,继而盗窃受害者资金;
电信诈骗
电信诈骗是指通过电话、网络和短信方式,编造虚假信息设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人打款或转账的犯罪行为。
4.4
线下欺骗攻击
商户收付款码伪造
近年来出现了替换电子支付二维码的新型盗窃方式,通过二维码生成器伪造收款码或者直接使用盗窃者自身的二维码,对商家的二维码进行替换,如若商家对账不及时可能会造成一定的损失。
纸质优惠券伪造
纸质优惠券是由发券人印制,可在特约商户消费时享受指定产品优惠、满减等优惠活动的纸质券。只要该优惠券未过期,收银员也没有觉察出异常的话,攻击者可以通过该方式减免一些支付金额,给商家造成财产损失。
4.5
支付身份伪造
账户伪造
账户伪造主要是通过网络钓鱼、渗透攻击、欺骗等方式获取受害者账户权限进行支付。较为常见的便是银行卡盗刷、恶意代替支付等;
生物识别伪造
生物识别技术主要是指通过人类生物特征进行身份认证的一种技术,包括了指纹识别、静脉识别、虹膜识别、视网膜识别、面部识别、DNA识别等。其中指纹识别、面部识别广泛应用在我们的日常支付交易中,如果实现技术不完善就可能导致一定的财产损失。
4.6
支付逻辑绕过
5.1
卡复制以及卡数据破解与篡改防御
5.2
网络欺骗防御
5.3
线下欺骗防御
5.4
支付身份伪造防御
5.5
支付逻辑绕过防御
5.6
支付数据不同步防御
原文始发于微信公众号(信息安全研究):透视镜 | 你不知道的电子支付漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论