近年來，大數(shù)據(jù)、云計(jì)算、移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用層出不窮，為社會大眾帶來高效、便捷金融服務(wù)體驗(yàn)的同時，也對信息保護(hù)和支付安全提出了更高的要求。銀行卡檢測中心(以下簡稱中心)多年來一直致力于支付安全技術(shù)的研究和檢測工作，在支付安全風(fēng)險(xiǎn)防控方面積累了一定的經(jīng)驗(yàn)。下面，對典型支付安全風(fēng)險(xiǎn)與防控做簡要解讀。

　　本文提到的支付安全風(fēng)險(xiǎn)主要是指人為地利用支付業(yè)務(wù)處理系統(tǒng)中存在的脆弱性，導(dǎo)致發(fā)生用戶信息泄露、資金損失等安全事件，對支付各方參與主體造成影響。經(jīng)梳理支付業(yè)務(wù)處理流程及關(guān)鍵節(jié)點(diǎn)，可將支付環(huán)節(jié)大體分為三部分。(見圖1 所示)一是支付用戶端，包括用戶在交易中使用的銀行卡、移動客戶端、電腦客戶端等，涵蓋線上、線下交易方式的用戶側(cè)支付工具，是支付敏感信息的載體;二是支付受理端，覆蓋POS、ATM、自助機(jī)具等線下受理終端，以及網(wǎng)絡(luò)支付等線上交易接口，在支付環(huán)節(jié)中起到收集并轉(zhuǎn)發(fā)支付敏感信息的作用;三是支付系統(tǒng)端，指商業(yè)銀行、支付機(jī)構(gòu)等部署的交易處理系統(tǒng)，具體處理支付交易數(shù)據(jù)，并存儲用戶信息和交易記錄。針對以上環(huán)節(jié)，中心總結(jié)出3 類6 種具有代表性的支付安全風(fēng)險(xiǎn)。

　　1. 支付用戶端風(fēng)險(xiǎn)

　　網(wǎng)絡(luò)釣魚。攻擊者通常通過郵件、短信、搜索引擎等渠道冒充正規(guī)機(jī)構(gòu)，引誘用戶訪問偽造的網(wǎng)站，迷惑用戶并引導(dǎo)其輸入支付敏感信息進(jìn)行欺詐交易。其主要成因，一方面在于用戶的風(fēng)險(xiǎn)意識不足，輕易相信偽造網(wǎng)址的真實(shí)性，不做判斷地直接進(jìn)入網(wǎng)站，掉入攻擊者設(shè)計(jì)的陷阱中;另一方面在于部分機(jī)構(gòu)系統(tǒng)防釣魚機(jī)制不完善，未提供預(yù)留信息、可信標(biāo)識等供用戶判斷真實(shí)性。

　　客戶端惡意代碼。攻擊者通過逆向分析等手段對官方客戶端軟件實(shí)施篡改并上傳網(wǎng)絡(luò)，再以網(wǎng)絡(luò)釣魚等方式引導(dǎo)用戶下載安裝植入惡意程序代碼的軟件，非法獲取支付敏感信息或破壞支付指令真實(shí)性。其主要成因，一方面在于客戶端軟件的安全防護(hù)能力不足，缺少對自身真實(shí)性和完整性的校驗(yàn)機(jī)制，在被惡意篡改后仍可正常安裝運(yùn)行;另一方面在于部分機(jī)構(gòu)支付安全防護(hù)宣傳力度不到位，造成部分用戶在非官方渠道下載被植入惡意程序代碼的客戶端軟件。

　　2. 支付受理端風(fēng)險(xiǎn)

　　磁條卡復(fù)制和PIN 竊取。攻擊者在POS 機(jī)中加入側(cè)錄磁頭和PIN 竊聽電路，記錄卡片磁道信息和PIN，再通過寫卡設(shè)備將獲取到的卡片磁道信息寫入空白卡，完成偽卡復(fù)制。其主要成因，一方面在于部分受理終端設(shè)備防護(hù)不到位，經(jīng)改裝后依然能夠正常使用;另一方面在于部分商戶責(zé)任意識較差，有意使用改裝終端非法獲取用戶支付敏感信息。

　　交易指令偽造。攻擊者對用戶實(shí)施中間人攻擊，攔截并篡改用戶端發(fā)送和系統(tǒng)端返回的交易處理指令，使用戶在難以察覺的情況下實(shí)施欺詐交易。其主要成55因，一方面在于部分機(jī)構(gòu)的客戶端程序與服務(wù)端之間未進(jìn)行有效的身份驗(yàn)證，通過中間人攻擊等手段可獲得并篡改交易指令;另一方面在于部分機(jī)構(gòu)的支付業(yè)務(wù)處理相關(guān)系統(tǒng)對交易報(bào)文要素的校驗(yàn)不到位，導(dǎo)致偽造的交易指令可以成功突破系統(tǒng)安全防護(hù)體系。

　　3. 支付系統(tǒng)端風(fēng)險(xiǎn)

　　“拖庫”。攻擊者利用系統(tǒng)漏洞，實(shí)施入侵攻擊，獲取系統(tǒng)權(quán)限并“拖走”數(shù)據(jù)庫中存儲的大量數(shù)據(jù)。其主要成因，一方面在于系統(tǒng)存在安全防護(hù)漏洞且被攻擊者利用;另一方面在于數(shù)據(jù)庫中存儲的部分敏感數(shù)據(jù)未經(jīng)加密處理，攻擊者在竊取后可直接獲利。

　　“撞庫”。攻擊者通過收集互聯(lián)網(wǎng)已泄露的用戶名和密碼，生成信息字典表，嘗試使用字典表信息批量登錄其他網(wǎng)站“碰撞”信息的準(zhǔn)確性，得到大量真實(shí)的用戶支付敏感信息。其主要成因，一方面在于部分機(jī)構(gòu)的支付業(yè)務(wù)處理相關(guān)系統(tǒng)異常登錄請求驗(yàn)證機(jī)制不完善，導(dǎo)致攻擊者可嘗試批量登錄操作;另一方面在于用戶風(fēng)險(xiǎn)意識較弱，在不同網(wǎng)站使用相同的用戶名和密碼。

　　支付安全風(fēng)險(xiǎn)特征

　　經(jīng)分析上述風(fēng)險(xiǎn)，可以總結(jié)出支付安全風(fēng)險(xiǎn)的4個基本特征。一是隱蔽性，支付安全風(fēng)險(xiǎn)的隱蔽性較強(qiáng)，惡意攻擊手法通常偽裝性較高，受騙者往往難以在短時間內(nèi)察覺;二是針對性，支付安全風(fēng)險(xiǎn)的針對性較高，攻擊者通常結(jié)合社會工程學(xué)方法鎖定欺詐成功率較高的受騙人群實(shí)施定向攻擊;三是專業(yè)性，支付安全風(fēng)險(xiǎn)的攻擊手段專業(yè)性較強(qiáng)，攻擊者通常掌握一定的計(jì)算機(jī)技術(shù)知識，能夠采取專業(yè)化手段利用技術(shù)漏洞;四是廣泛性，支付安全風(fēng)險(xiǎn)的影響面廣，大數(shù)據(jù)時代下的支付業(yè)務(wù)處理相關(guān)系統(tǒng)中存儲了大量的用戶信息，支付安全風(fēng)險(xiǎn)一旦導(dǎo)致信息泄露，將產(chǎn)生較大范圍的影響。

　　支付安全風(fēng)險(xiǎn)防控

　　在支付安全新形勢下，風(fēng)險(xiǎn)防控將從靜態(tài)化的單點(diǎn)防控轉(zhuǎn)變?yōu)閯討B(tài)化的綜合防控，成為一項(xiàng)高復(fù)雜度的系統(tǒng)性工程。這就需要支付產(chǎn)業(yè)各參與方共同努力，協(xié)同構(gòu)建支付安全風(fēng)險(xiǎn)防控體系。

　　1. 支付安全風(fēng)險(xiǎn)防控體系

　　支付安全風(fēng)險(xiǎn)防控具有“金字塔”式的三層體系。在“金字塔”的底層，人民銀行、公安部、工信部等監(jiān)管部門針對支付安全風(fēng)險(xiǎn)提出監(jiān)管政策要求;在“金字塔”的中層，各行業(yè)主管部門組織、指導(dǎo)構(gòu)建支付安全標(biāo)準(zhǔn)體系;在“金字塔”的上層，支付產(chǎn)業(yè)各參與機(jī)構(gòu)建立并完善支付安全風(fēng)險(xiǎn)防控機(jī)制(見圖2 所示)。

　　2. 支付安全風(fēng)險(xiǎn)防控措施

　　根據(jù)支付產(chǎn)業(yè)鏈各參與方的角色、參與方式、所處位置，以及上下游關(guān)系，可將參與主體劃分為服務(wù)對象層(用戶、商戶)、服務(wù)運(yùn)營層(受理機(jī)構(gòu)、轉(zhuǎn)接清算機(jī)構(gòu)、賬戶管理機(jī)構(gòu)、渠道運(yùn)營商)、技術(shù)支撐層(移動終端廠商、受理終端廠商、卡商、芯片商)和安全保障層(檢測機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)、CA 認(rèn)證中心)4 個層次。根據(jù)產(chǎn)業(yè)鏈各方特點(diǎn)，提出以下幾點(diǎn)風(fēng)險(xiǎn)防控措施建議，供產(chǎn)業(yè)各方參考。

　　(1)針對服務(wù)對象層

　　用戶要提高風(fēng)險(xiǎn)防范意識，養(yǎng)成“大額交易注重安全、小額交易講求便捷”的良好支付習(xí)慣，主動識別偽WiFi、釣魚網(wǎng)站、客戶端木馬軟件等影響支付安全的因素。商戶要加強(qiáng)風(fēng)險(xiǎn)防范責(zé)任意識，不使用經(jīng)改裝的受理終端、采用安全性較高的支付方式，必要時提示用戶潛在的支付風(fēng)險(xiǎn)。

　　(2)針對服務(wù)運(yùn)營層

　　一是嚴(yán)格把控產(chǎn)品的選型、驗(yàn)收、抽查等環(huán)節(jié)，選擇符合國家和金融行業(yè)相關(guān)標(biāo)準(zhǔn)的支付產(chǎn)品并定期對受理終端改造等行為進(jìn)行抽檢，為商戶和用戶提供安全、放心的支付渠道;二是不斷加強(qiáng)系統(tǒng)安全防護(hù)能力，依據(jù)系統(tǒng)的安全等級定期開展風(fēng)險(xiǎn)評估，使系統(tǒng)能夠防范常見的入侵攻擊手段，嚴(yán)防商戶、用戶信息泄露;三是提升系統(tǒng)開發(fā)人員的安全技術(shù)水平，提高代碼質(zhì)量;四是嚴(yán)格規(guī)范技術(shù)人員外包管理，建立完善的信息保護(hù)機(jī)制，確保信息泄露風(fēng)險(xiǎn)可控;五是定期對商戶、用戶進(jìn)行風(fēng)險(xiǎn)提示，引導(dǎo)商戶和用戶采用安全的支付方式，從官方渠道獲取支付應(yīng)用，掌握風(fēng)險(xiǎn)應(yīng)對方法。

　　(3)針對技術(shù)支撐層

　　一方面，嚴(yán)格按照國家和金融行業(yè)相關(guān)標(biāo)準(zhǔn)生產(chǎn)、制造受理終端、卡片、芯片等支付產(chǎn)品，不斷提升產(chǎn)品的安全防護(hù)能力;另一方面，加強(qiáng)與產(chǎn)業(yè)下游企業(yè)的互動協(xié)同，以安全需求為導(dǎo)向設(shè)計(jì)生產(chǎn)支付產(chǎn)品，提高產(chǎn)品的安全防護(hù)水平。

　　(4)針對安全保障層

　　嚴(yán)格按照國家和金融行業(yè)相關(guān)標(biāo)準(zhǔn)對支付產(chǎn)品的標(biāo)準(zhǔn)符合性與安全性進(jìn)行檢測認(rèn)證，為支付產(chǎn)業(yè)把好質(zhì)量關(guān)。同時積極與產(chǎn)業(yè)上下游企業(yè)開展合作，幫助更早實(shí)施有效的安全防護(hù)方案。

　　3. 支付安全檢測服務(wù)方案

圖3 支付安全檢測服務(wù)方案

　　中心根據(jù)支付安全風(fēng)險(xiǎn)特點(diǎn)和分布，構(gòu)建了多套圍繞支付用戶端、受理端和系統(tǒng)端的檢測服務(wù)方案，為客戶提供培訓(xùn)咨詢、檢測工具研發(fā)與銷售、標(biāo)準(zhǔn)制修訂等服務(wù)項(xiàng)目，保障支付安全(見圖3 所示)。

　　一是在支付用戶端，提供針對芯片、卡片、嵌入式軟件、移動支付產(chǎn)品、密碼保護(hù)控件等功能和安全性的檢測服務(wù)。開展EMVCo、GP、MasterCard、VISA、中國銀聯(lián)等認(rèn)證相關(guān)檢測業(yè)務(wù)。

　　二是在支付受理端，提供針對POS、ATM、電話終端、自助終端、mPOS 等受理終端機(jī)具的功能和安全性檢測服務(wù)。開展EMVCo、GP、MasterCard、VISA、PCI(正在申請PCI PTS 檢測服務(wù)資質(zhì))、中國銀聯(lián)等認(rèn)證相關(guān)檢測業(yè)務(wù)。

　　三是在支付系統(tǒng)端，提供針對電子銀行、移動支付TSM、非銀行支付機(jī)構(gòu)業(yè)務(wù)設(shè)施、商業(yè)銀行發(fā)卡等系統(tǒng)的安全檢測服務(wù)。開展PCI DSS 測評、PCI ASV掃描、信息系統(tǒng)安全等級保護(hù)、銀聯(lián)卡賬戶信息安全合規(guī)評估、銀聯(lián)卡第三方機(jī)構(gòu)入網(wǎng)、滲透測試、信息安全風(fēng)險(xiǎn)評估(一級資質(zhì))等檢測業(yè)務(wù)。