银行卡检测中心渠韶光:典型支付安全风险与防控解读
近年来,大数据、云计算、移动互联网等新技术、新应用层出不穷,为社会大众带来高效、便捷金融服务体验的同时,也对信息保护和支付安全提出了更高的要求。银行卡检测中心(以下简称中心)多年来一直致力于支付安全技术的研究和检测工作,在支付安全风险防控方面积累了一定的经验。下面,对典型支付安全风险与防控做简要解读。
本文提到的支付安全风险主要是指人为地利用支付业务处理系统中存在的脆弱性,导致发生用户信息泄露、资金损失等安全事件,对支付各方参与主体造成影响。经梳理支付业务处理流程及关键节点,可将支付环节大体分为三部分。(见图1 所示)一是支付用户端,包括用户在交易中使用的银行卡、移动客户端、电脑客户端等,涵盖线上、线下交易方式的用户侧支付工具,是支付敏感信息的载体;二是支付受理端,覆盖POS、ATM、自助机具等线下受理终端,以及网络支付等线上交易接口,在支付环节中起到收集并转发支付敏感信息的作用;三是支付系统端,指商业银行、支付机构等部署的交易处理系统,具体处理支付交易数据,并存储用户信息和交易记录。针对以上环节,中心总结出3 类6 种具有代表性的支付安全风险。
1. 支付用户端风险
网络钓鱼。攻击者通常通过邮件、短信、搜索引擎等渠道冒充正规机构,引诱用户访问伪造的网站,迷惑用户并引导其输入支付敏感信息进行欺诈交易。其主要成因,一方面在于用户的风险意识不足,轻易相信伪造网址的真实性,不做判断地直接进入网站,掉入攻击者设计的陷阱中;另一方面在于部分机构系统防钓鱼机制不完善,未提供预留信息、可信标识等供用户判断真实性。
客户端恶意代码。攻击者通过逆向分析等手段对官方客户端软件实施篡改并上传网络,再以网络钓鱼等方式引导用户下载安装植入恶意程序代码的软件,非法获取支付敏感信息或破坏支付指令真实性。其主要成因,一方面在于客户端软件的安全防护能力不足,缺少对自身真实性和完整性的校验机制,在被恶意篡改后仍可正常安装运行;另一方面在于部分机构支付安全防护宣传力度不到位,造成部分用户在非官方渠道下载被植入恶意程序代码的客户端软件。
2. 支付受理端风险
磁条卡复制和PIN 窃取。攻击者在POS 机中加入侧录磁头和PIN 窃听电路,记录卡片磁道信息和PIN,再通过写卡设备将获取到的卡片磁道信息写入空白卡,完成伪卡复制。其主要成因,一方面在于部分受理终端设备防护不到位,经改装后依然能够正常使用;另一方面在于部分商户责任意识较差,有意使用改装终端非法获取用户支付敏感信息。
交易指令伪造。攻击者对用户实施中间人攻击,拦截并篡改用户端发送和系统端返回的交易处理指令,使用户在难以察觉的情况下实施欺诈交易。其主要成55因,一方面在于部分机构的客户端程序与服务端之间未进行有效的身份验证,通过中间人攻击等手段可获得并篡改交易指令;另一方面在于部分机构的支付业务处理相关系统对交易报文要素的校验不到位,导致伪造的交易指令可以成功突破系统安全防护体系。
3. 支付系统端风险
“拖库”。攻击者利用系统漏洞,实施入侵攻击,获取系统权限并“拖走”数据库中存储的大量数据。其主要成因,一方面在于系统存在安全防护漏洞且被攻击者利用;另一方面在于数据库中存储的部分敏感数据未经加密处理,攻击者在窃取后可直接获利。
“撞库”。攻击者通过收集互联网已泄露的用户名和密码,生成信息字典表,尝试使用字典表信息批量登录其他网站“碰撞”信息的准确性,得到大量真实的用户支付敏感信息。其主要成因,一方面在于部分机构的支付业务处理相关系统异常登录请求验证机制不完善,导致攻击者可尝试批量登录操作;另一方面在于用户风险意识较弱,在不同网站使用相同的用户名和密码。
支付安全风险特征
经分析上述风险,可以总结出支付安全风险的4个基本特征。一是隐蔽性,支付安全风险的隐蔽性较强,恶意攻击手法通常伪装性较高,受骗者往往难以在短时间内察觉;二是针对性,支付安全风险的针对性较高,攻击者通常结合社会工程学方法锁定欺诈成功率较高的受骗人群实施定向攻击;三是专业性,支付安全风险的攻击手段专业性较强,攻击者通常掌握一定的计算机技术知识,能够采取专业化手段利用技术漏洞;四是广泛性,支付安全风险的影响面广,大数据时代下的支付业务处理相关系统中存储了大量的用户信息,支付安全风险一旦导致信息泄露,将产生较大范围的影响。
支付安全风险防控
在支付安全新形势下,风险防控将从静态化的单点防控转变为动态化的综合防控,成为一项高复杂度的系统性工程。这就需要支付产业各参与方共同努力,协同构建支付安全风险防控体系。
1. 支付安全风险防控体系
支付安全风险防控具有“金字塔”式的三层体系。在“金字塔”的底层,人民银行、公安部、工信部等监管部门针对支付安全风险提出监管政策要求;在“金字塔”的中层,各行业主管部门组织、指导构建支付安全标准体系;在“金字塔”的上层,支付产业各参与机构建立并完善支付安全风险防控机制(见图2 所示)。
2. 支付安全风险防控措施
根据支付产业链各参与方的角色、参与方式、所处位置,以及上下游关系,可将参与主体划分为服务对象层(用户、商户)、服务运营层(受理机构、转接清算机构、账户管理机构、渠道运营商)、技术支撑层(移动终端厂商、受理终端厂商、卡商、芯片商)和安全保障层(检测机构、认证机构、CA 认证中心)4 个层次。根据产业链各方特点,提出以下几点风险防控措施建议,供产业各方参考。
(1)针对服务对象层
用户要提高风险防范意识,养成“大额交易注重安全、小额交易讲求便捷”的良好支付习惯,主动识别伪WiFi、钓鱼网站、客户端木马软件等影响支付安全的因素。商户要加强风险防范责任意识,不使用经改装的受理终端、采用安全性较高的支付方式,必要时提示用户潜在的支付风险。
(2)针对服务运营层
一是严格把控产品的选型、验收、抽查等环节,选择符合国家和金融行业相关标准的支付产品并定期对受理终端改造等行为进行抽检,为商户和用户提供安全、放心的支付渠道;二是不断加强系统安全防护能力,依据系统的安全等级定期开展风险评估,使系统能够防范常见的入侵攻击手段,严防商户、用户信息泄露;三是提升系统开发人员的安全技术水平,提高代码质量;四是严格规范技术人员外包管理,建立完善的信息保护机制,确保信息泄露风险可控;五是定期对商户、用户进行风险提示,引导商户和用户采用安全的支付方式,从官方渠道获取支付应用,掌握风险应对方法。
(3)针对技术支撑层
一方面,严格按照国家和金融行业相关标准生产、制造受理终端、卡片、芯片等支付产品,不断提升产品的安全防护能力;另一方面,加强与产业下游企业的互动协同,以安全需求为导向设计生产支付产品,提高产品的安全防护水平。
(4)针对安全保障层
严格按照国家和金融行业相关标准对支付产品的标准符合性与安全性进行检测认证,为支付产业把好质量关。同时积极与产业上下游企业开展合作,帮助更早实施有效的安全防护方案。
3. 支付安全检测服务方案
图3 支付安全检测服务方案
中心根据支付安全风险特点和分布,构建了多套围绕支付用户端、受理端和系统端的检测服务方案,为客户提供培训咨询、检测工具研发与销售、标准制修订等服务项目,保障支付安全(见图3 所示)。
一是在支付用户端,提供针对芯片、卡片、嵌入式软件、移动支付产品、密码保护控件等功能和安全性的检测服务。开展EMVCo、GP、MasterCard、VISA、中国银联等认证相关检测业务。
二是在支付受理端,提供针对POS、ATM、电话终端、自助终端、mPOS 等受理终端机具的功能和安全性检测服务。开展EMVCo、GP、MasterCard、VISA、PCI(正在申请PCI PTS 检测服务资质)、中国银联等认证相关检测业务。
三是在支付系统端,提供针对电子银行、移动支付TSM、非银行支付机构业务设施、商业银行发卡等系统的安全检测服务。开展PCI DSS 测评、PCI ASV扫描、信息系统安全等级保护、银联卡账户信息安全合规评估、银联卡第三方机构入网、渗透测试、信息安全风险评估(一级资质)等检测业务。