銀行卡檢測中心渠韶光：典型支付安全風(fēng)險與防控措施

　　近年來，大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用層出不窮，為社會大眾帶來高效、便捷金融服務(wù)體驗的同時，也對信息保護和支付安全提出了更高的要求。銀行卡檢測中心(以下簡稱中心)多年來一直致力于支付安全技術(shù)的研究和檢測工作，在支付安全風(fēng)險防控方面積累了一定的經(jīng)驗。下面，對典型支付安全風(fēng)險與防控做簡要解讀。

　　支付安全風(fēng)險概要

　　本文提到的支付安全風(fēng)險主要是指人為地利用支付業(yè)務(wù)處理系統(tǒng)中存在的脆弱性，導(dǎo)致發(fā)生用戶信息泄露、資金損失等安全事件，對支付各方參與主體造成影響。經(jīng)梳理支付業(yè)務(wù)處理流程及關(guān)鍵節(jié)點，可將支付環(huán)節(jié)大體分為三部分。(見圖1所示)一是支付用戶端，包括用戶在交易中使用的銀行卡、移動客戶端、電腦客戶端等，涵蓋線上、線下交易方式的用戶側(cè)支付工具，是支付敏感信息的載體;二是支付受理端，覆蓋POS、ATM、自助機具等線下受理終端，以及網(wǎng)終支付等線上交易接口，在支付環(huán)節(jié)中起到收集并轉(zhuǎn)發(fā)支付敏感信息的作用;三是支付系統(tǒng)端，指商業(yè)銀行、支付機構(gòu)等部署的交易處理系統(tǒng)，具體處理支付交易數(shù)據(jù)，并存儲用戶信息和交易記錄。針對以上環(huán)節(jié)，中心總結(jié)出3類6種具有代表性的支付安全風(fēng)險。

　　圖1 支付業(yè)務(wù)關(guān)鍵環(huán)節(jié)

　　1.支付用戶端風(fēng)險

　　網(wǎng)絡(luò)釣魚。攻擊者通常通過郵件、短信、搜索引擎等渠道冒充正規(guī)機構(gòu)，引誘用戶訪問偽造的網(wǎng)站，迷惑用戶并引導(dǎo)其輸入支付敏感信息進行欺詐交易。其主要成因，一方面在于用戶的風(fēng)險意識不足，輕易相信偽造網(wǎng)址的真實性，不做判斷地直接進入網(wǎng)站，掉入攻擊者設(shè)計的陷阱中;另一方面在于部分機構(gòu)系統(tǒng)防釣魚機制不完善，未提供預(yù)留信息、可信標識等供用戶判斷真實性。

　　客戶端惡意代碼。攻擊者通過逆向分析等手段對官方客戶端軟件實施篡改并上傳網(wǎng)絡(luò)，再以網(wǎng)絡(luò)釣魚等方式引導(dǎo)用戶下載安裝植入惡意程序代碼的軟件，非法獲取支付敏感信息或破壞支付指令真實性。其主要成因，一方面在于客戶端軟件的安全防護能力不足，缺少對自身真實性和完整性的校驗機制，在被惡意篡改后仍可正常安裝運行;另一方面在于部分機構(gòu)支付安全防護宣傳力度不到位，造成部分用戶在非官方渠道下載被植入惡意程序代碼的客戶端軟件。

　　2.支付受理端風(fēng)險

　　磁條卡復(fù)制和PIN竊取。攻擊者在POS機中加入側(cè)錄磁頭和PIN竊聽電路，記錄卡片磁道信息和PIN，再通過寫卡設(shè)備將獲取到的卡片磁道信息寫入空白卡，完成偽卡復(fù)制。其主要成因，一方面在于部分受理終端設(shè)備防護不到位，經(jīng)改裝后依然能夠正常使用;另一方面在于部分商戶責(zé)任意識較差，有意使用改裝終端非法獲取用戶支付敏感信息。

　　交易指令偽造。攻擊者對用戶實施中間人攻擊，攔截并篡改用戶端發(fā)送和系統(tǒng)端返回的交易處理指令，使用戶在難以察覺的情況下實施欺詐交易。其主要成因，一方面在于部分機構(gòu)的客戶端程序與服務(wù)端之間未進行有效的身份驗證，通過中間人攻擊等手段可獲得并篡改交易指令;另一方面在于部分機構(gòu)的支付業(yè)務(wù)處理相關(guān)系統(tǒng)對交易報文要素的校驗不到位，導(dǎo)致偽造的交易指令可以成功突破系統(tǒng)安全防護體系。

　　3.支付系統(tǒng)端風(fēng)險

　　“拖庫”。攻擊者利用系統(tǒng)漏洞，實施入侵攻擊，獲取系統(tǒng)權(quán)限并“拖走”數(shù)據(jù)庫中存儲的大量數(shù)據(jù)。其主要成因，一方面在于系統(tǒng)存在安全防護漏洞且被攻擊者利用;另一方面在于數(shù)據(jù)庫中存儲的部分敏感數(shù)據(jù)未經(jīng)加密處理，攻擊者在竊取后可直接獲利。

　　“撞庫”。攻擊者通過收集互聯(lián)網(wǎng)已泄露的用戶名和密碼，生成信息字典表，嘗試使用字典表信息批量登錄其他網(wǎng)站“碰撞”信息的準確性，得到大量真實的用戶支付敏感信息。其主要成因，一方面在于部分機構(gòu)的支付業(yè)務(wù)處理相關(guān)系統(tǒng)異常登錄請求驗證機制不完善，導(dǎo)致攻擊者可嘗試批量登錄操作;另一方面在于用戶風(fēng)險意識較弱，在不同網(wǎng)站使用相同的用戶名和密碼。

　　支付安全風(fēng)險特征

　　經(jīng)分析上述風(fēng)險，可以總結(jié)出支付安全風(fēng)險的4個基本特征。一是隱蔽性，支付安全風(fēng)險的隱蔽性較強，惡意攻擊手法通常偽裝性較高，受騙者往往難以在短時間內(nèi)察覺;二是針對性，支付安全風(fēng)險的針對性較高，攻擊者通常結(jié)合社會工程學(xué)方法鎖定欺詐成功率較高的受騙人群實施定向攻擊;三是專業(yè)性，支付安全風(fēng)險的攻擊手段專業(yè)性較強，攻擊者通常掌握一定的計算機技術(shù)知識，能夠采取專業(yè)化手段利用技術(shù)漏洞;四是廣泛性，支付安全風(fēng)險的影響面廣，大數(shù)據(jù)時代下的支付業(yè)務(wù)處理相關(guān)系統(tǒng)中存儲了大量的用戶信息，支付安全風(fēng)險一旦導(dǎo)致信息泄露，將產(chǎn)生較大范圍的影響。

　　支付安全風(fēng)險防控在支付安全新形勢下，風(fēng)險防控將從靜態(tài)化的單點防控轉(zhuǎn)變?yōu)閯討B(tài)化的綜合防控，成為一項高復(fù)雜度的系統(tǒng)性工程。這就需要支付產(chǎn)業(yè)各參與方共同努力，協(xié)同構(gòu)建支付安全風(fēng)險防控體系。

　　1.支付安全風(fēng)險防控體系

　　支付安全風(fēng)險防控具有“金字塔”式的三層體系。在“金字塔”的底層，人民銀行、公安部、工信部等監(jiān)管部門針對支付安全風(fēng)險提出監(jiān)管政策要求;在“金字塔”的中層，各行業(yè)主管部門組織、指導(dǎo)構(gòu)建支付安全標準體系;在“金字塔”的上層，支付產(chǎn)業(yè)各參與機構(gòu)建立并完善支付安全風(fēng)險防控機制(見圖2所示)。

　　圖2支付安全風(fēng)險防控機制體系

　　2.支付安全風(fēng)險防控措施

　　根據(jù)支付產(chǎn)業(yè)鏈各參與方的角色、參與方式、所處位置，以及上下游關(guān)系，可將參與主體劃分為服務(wù)對象層(用戶、商戶)、服務(wù)運營層(受理機構(gòu)、轉(zhuǎn)接清算機構(gòu)、賬戶管理機構(gòu)、渠道運營商)、技術(shù)支撐層(移動終端廠商、受理終端廠商、卡商、芯片商)和安全保障層(檢測機構(gòu)、認證機構(gòu)、CA認證中心)4個層次。根據(jù)產(chǎn)業(yè)鏈各方特點，提出以下幾點風(fēng)險防控措施建議，供產(chǎn)業(yè)各方參考。

　　(1)針對服務(wù)對象層

　　用戶要提高風(fēng)險防范意識，養(yǎng)成“大額交易注重安全、小額交易講求便捷”的良好支付習(xí)慣，主動識別偽WiFi、釣魚網(wǎng)站、客戶端木馬軟件等影響支付安全的因素。商戶要加強風(fēng)險防范責(zé)任意識，不使用經(jīng)改裝的受理終端、采用安全性較高的支付方式，必要時提示用戶潛在的支付風(fēng)險。

　　(2)針對服務(wù)運營層

　　一是嚴格把控產(chǎn)品的選型、驗收、抽查等環(huán)節(jié)，選擇符合國家和金融行業(yè)相關(guān)標準的支付產(chǎn)品并定期對受理終端改造等行為進行抽檢，為商戶和用戶提供安全、放心的支付渠道;二是不斷加強系統(tǒng)安全防護能力，依據(jù)系統(tǒng)的安全等級定期開展風(fēng)險評估，使系統(tǒng)能夠防范常見的入侵攻擊手段，嚴防商戶、用戶信息泄露;三是提升系統(tǒng)開發(fā)人員的安全技術(shù)水平，提高代碼質(zhì)量;四是嚴格規(guī)范技術(shù)人員外包管理，建立完善的信息保護機制，確保信息泄露風(fēng)險可控;五是定期對商戶、用戶進行風(fēng)險提示，引導(dǎo)商戶和用戶采用安全的支付方式，從官方渠道獲取支付應(yīng)用，掌握風(fēng)險應(yīng)對方法。

　　(3)針對技術(shù)支撐層

　　一方面，嚴格按照國家和金融行業(yè)相關(guān)標準生產(chǎn)、制造受理終端、卡片、芯片等支付產(chǎn)品，不斷提升產(chǎn)品的安全防護能力;另一方面，加強與產(chǎn)業(yè)下游企業(yè)的互動協(xié)同，以安全需求為導(dǎo)向設(shè)計生產(chǎn)支付產(chǎn)品，提高產(chǎn)品的安全防護水平。

　　(4)針對安全保障層

　　嚴格按照國家和金融行業(yè)相關(guān)標準對支付產(chǎn)品的標準符合性與安全性進行檢測認證，為支付產(chǎn)業(yè)把好質(zhì)量關(guān)。同時積極與產(chǎn)業(yè)上下游企業(yè)開展合作，幫助更早實施有效的安全防護方案。

　　3.支付安全檢測服務(wù)方案

　　中心根據(jù)支付安全風(fēng)險特點和分布，構(gòu)建了多套圍繞支付用戶端、受理端和系統(tǒng)端的檢測服務(wù)方案，為客戶提供培訓(xùn)咨詢、檢測工具研發(fā)與銷售、標準制修訂等服務(wù)項目，保障支付安全(見圖3所示)。

　　圖3支付安全檢測服務(wù)方案

　　一是在支付用戶端，提供針對芯片、卡片、嵌入式軟件、移動支付產(chǎn)品、密碼保護控件等功能和安全性的檢測服務(wù)。開展EMVCo、GP、MasterCard、VISA、中國銀聯(lián)等認證相關(guān)檢測業(yè)務(wù)。

　　二是在支付受理端，提供針對POS、ATM、電話終端、自助終端、mPOS等受理終端機具的功能和安全性檢測服務(wù)。開展EMVCo、GP、MasterCard、VISA、PCI(正在申請PCI PTS檢測服務(wù)資質(zhì))、中國銀聯(lián)等認證相關(guān)檢測業(yè)務(wù)。

　　三是在支付系統(tǒng)端，提供針對電子銀行、移動支付TSM、非銀行支付機構(gòu)業(yè)務(wù)設(shè)施、商業(yè)銀行發(fā)卡等系統(tǒng)的安全檢測服務(wù)。開展PCI DSS測評、PCI ASV掃描、信息系統(tǒng)安全等級保護、銀聯(lián)卡賬戶信息安全合規(guī)評估、銀聯(lián)卡第三方機構(gòu)入網(wǎng)、滲透測試、信息安全風(fēng)險評估(一級資質(zhì))等檢測業(yè)務(wù)。