近年來，大數(shù)據(jù)、云計算、移動互聯(lián)網等新技術、新應用層出不窮，為社會大眾帶來高效、便捷金融服務體驗的同時，也對信息保護和支付安全提出了更高的要求。銀行卡檢測中心(以下簡稱中心)多年來一直致力于支付安全技術的研究和檢測工作，在支付安全風險防控方面積累了一定的經驗。下面，對典型支付安全風險與防控做簡要解讀。

　　支付安全風險概要

　　本文提到的支付安全風險主要是指人為地利用支付業(yè)務處理系統(tǒng)中存在的脆弱性，導致發(fā)生用戶信息泄露、資金損失等安全事件，對支付各方參與主體造成影響。經梳理支付業(yè)務處理流程及關鍵節(jié)點，可將支付環(huán)節(jié)大體分為三部分。(見圖1所示)一是支付用戶端，包括用戶在交易中使用的銀行卡、移動客戶端、電腦客戶端等，涵蓋線上、線下交易方式的用戶側支付工具，是支付敏感信息的載體;二是支付受理端，覆蓋POS、ATM、自助機具等線下受理終端，以及網終支付等線上交易接口，在支付環(huán)節(jié)中起到收集并轉發(fā)支付敏感信息的作用;三是支付系統(tǒng)端，指商業(yè)銀行、支付機構等部署的交易處理系統(tǒng)，具體處理支付交易數(shù)據(jù)，并存儲用戶信息和交易記錄。針對以上環(huán)節(jié)，中心總結出3類6種具有代表性的支付安全風險。

　　圖1 支付業(yè)務關鍵環(huán)節(jié)

　　1.支付用戶端風險

　　網絡釣魚。攻擊者通常通過郵件、短信、搜索引擎等渠道冒充正規(guī)機構，引誘用戶訪問偽造的網站，迷惑用戶并引導其輸入支付敏感信息進行欺詐交易。其主要成因，一方面在于用戶的風險意識不足，輕易相信偽造網址的真實性，不做判斷地直接進入網站，掉入攻擊者設計的陷阱中;另一方面在于部分機構系統(tǒng)防釣魚機制不完善，未提供預留信息、可信標識等供用戶判斷真實性。

　　客戶端惡意代碼。攻擊者通過逆向分析等手段對官方客戶端軟件實施篡改并上傳網絡，再以網絡釣魚等方式引導用戶下載安裝植入惡意程序代碼的軟件，非法獲取支付敏感信息或破壞支付指令真實性。其主要成因，一方面在于客戶端軟件的安全防護能力不足，缺少對自身真實性和完整性的校驗機制，在被惡意篡改后仍可正常安裝運行;另一方面在于部分機構支付安全防護宣傳力度不到位，造成部分用戶在非官方渠道下載被植入惡意程序代碼的客戶端軟件。

　　2.支付受理端風險

　　磁條卡復制和PIN竊取。攻擊者在POS機中加入側錄磁頭和PIN竊聽電路，記錄卡片磁道信息和PIN，再通過寫卡設備將獲取到的卡片磁道信息寫入空白卡，完成偽卡復制。其主要成因，一方面在于部分受理終端設備防護不到位，經改裝后依然能夠正常使用;另一方面在于部分商戶責任意識較差，有意使用改裝終端非法獲取用戶支付敏感信息。

　　交易指令偽造。攻擊者對用戶實施中間人攻擊，攔截并篡改用戶端發(fā)送和系統(tǒng)端返回的交易處理指令，使用戶在難以察覺的情況下實施欺詐交易。其主要成因，一方面在于部分機構的客戶端程序與服務端之間未進行有效的身份驗證，通過中間人攻擊等手段可獲得并篡改交易指令;另一方面在于部分機構的支付業(yè)務處理相關系統(tǒng)對交易報文要素的校驗不到位，導致偽造的交易指令可以成功突破系統(tǒng)安全防護體系。

　　3.支付系統(tǒng)端風險

　　“拖庫”。攻擊者利用系統(tǒng)漏洞，實施入侵攻擊，獲取系統(tǒng)權限并“拖走”數(shù)據(jù)庫中存儲的大量數(shù)據(jù)。其主要成因，一方面在于系統(tǒng)存在安全防護漏洞且被攻擊者利用;另一方面在于數(shù)據(jù)庫中存儲的部分敏感數(shù)據(jù)未經加密處理，攻擊者在竊取后可直接獲利。

　　“撞庫”。攻擊者通過收集互聯(lián)網已泄露的用戶名和密碼，生成信息字典表，嘗試使用字典表信息批量登錄其他網站“碰撞”信息的準確性，得到大量真實的用戶支付敏感信息。其主要成因，一方面在于部分機構的支付業(yè)務處理相關系統(tǒng)異常登錄請求驗證機制不完善，導致攻擊者可嘗試批量登錄操作;另一方面在于用戶風險意識較弱，在不同網站使用相同的用戶名和密碼。

　　支付安全風險特征

　　經分析上述風險，可以總結出支付安全風險的4個基本特征。一是隱蔽性，支付安全風險的隱蔽性較強，惡意攻擊手法通常偽裝性較高，受騙者往往難以在短時間內察覺;二是針對性，支付安全風險的針對性較高，攻擊者通常結合社會工程學方法鎖定欺詐成功率較高的受騙人群實施定向攻擊;三是專業(yè)性，支付安全風險的攻擊手段專業(yè)性較強，攻擊者通常掌握一定的計算機技術知識，能夠采取專業(yè)化手段利用技術漏洞;四是廣泛性，支付安全風險的影響面廣，大數(shù)據(jù)時代下的支付業(yè)務處理相關系統(tǒng)中存儲了大量的用戶信息，支付安全風險一旦導致信息泄露，將產生較大范圍的影響。

　　支付安全風險防控在支付安全新形勢下，風險防控將從靜態(tài)化的單點防控轉變?yōu)閯討B(tài)化的綜合防控，成為一項高復雜度的系統(tǒng)性工程。這就需要支付產業(yè)各參與方共同努力，協(xié)同構建支付安全風險防控體系。

　　1.支付安全風險防控體系

　　支付安全風險防控具有“金字塔”式的三層體系。在“金字塔”的底層，人民銀行、公安部、工信部等監(jiān)管部門針對支付安全風險提出監(jiān)管政策要求;在“金字塔”的中層，各行業(yè)主管部門組織、指導構建支付安全標準體系;在“金字塔”的上層，支付產業(yè)各參與機構建立并完善支付安全風險防控機制(見圖2所示)。

　　圖2支付安全風險防控機制體系

　　2.支付安全風險防控措施

　　根據(jù)支付產業(yè)鏈各參與方的角色、參與方式、所處位置，以及上下游關系，可將參與主體劃分為服務對象層(用戶、商戶)、服務運營層(受理機構、轉接清算機構、賬戶管理機構、渠道運營商)、技術支撐層(移動終端廠商、受理終端廠商、卡商、芯片商)和安全保障層(檢測機構、認證機構、CA認證中心)4個層次。根據(jù)產業(yè)鏈各方特點，提出以下幾點風險防控措施建議，供產業(yè)各方參考。

　　(1)針對服務對象層

　　用戶要提高風險防范意識，養(yǎng)成“大額交易注重安全、小額交易講求便捷”的良好支付習慣，主動識別偽WiFi、釣魚網站、客戶端木馬軟件等影響支付安全的因素。商戶要加強風險防范責任意識，不使用經改裝的受理終端、采用安全性較高的支付方式，必要時提示用戶潛在的支付風險。

　　(2)針對服務運營層

　　一是嚴格把控產品的選型、驗收、抽查等環(huán)節(jié)，選擇符合國家和金融行業(yè)相關標準的支付產品并定期對受理終端改造等行為進行抽檢，為商戶和用戶提供安全、放心的支付渠道;二是不斷加強系統(tǒng)安全防護能力，依據(jù)系統(tǒng)的安全等級定期開展風險評估，使系統(tǒng)能夠防范常見的入侵攻擊手段，嚴防商戶、用戶信息泄露;三是提升系統(tǒng)開發(fā)人員的安全技術水平，提高代碼質量;四是嚴格規(guī)范技術人員外包管理，建立完善的信息保護機制，確保信息泄露風險可控;五是定期對商戶、用戶進行風險提示，引導商戶和用戶采用安全的支付方式，從官方渠道獲取支付應用，掌握風險應對方法。

　　(3)針對技術支撐層

　　一方面，嚴格按照國家和金融行業(yè)相關標準生產、制造受理終端、卡片、芯片等支付產品，不斷提升產品的安全防護能力;另一方面，加強與產業(yè)下游企業(yè)的互動協(xié)同，以安全需求為導向設計生產支付產品，提高產品的安全防護水平。

　　(4)針對安全保障層

　　嚴格按照國家和金融行業(yè)相關標準對支付產品的標準符合性與安全性進行檢測認證，為支付產業(yè)把好質量關。同時積極與產業(yè)上下游企業(yè)開展合作，幫助更早實施有效的安全防護方案。

　　3.支付安全檢測服務方案

　　中心根據(jù)支付安全風險特點和分布，構建了多套圍繞支付用戶端、受理端和系統(tǒng)端的檢測服務方案，為客戶提供培訓咨詢、檢測工具研發(fā)與銷售、標準制修訂等服務項目，保障支付安全(見圖3所示)。

　　圖3支付安全檢測服務方案

　　一是在支付用戶端，提供針對芯片、卡片、嵌入式軟件、移動支付產品、密碼保護控件等功能和安全性的檢測服務。開展EMVCo、GP、MasterCard、VISA、中國銀聯(lián)等認證相關檢測業(yè)務。

　　二是在支付受理端，提供針對POS、ATM、電話終端、自助終端、mPOS等受理終端機具的功能和安全性檢測服務。開展EMVCo、GP、MasterCard、VISA、PCI(正在申請PCI PTS檢測服務資質)、中國銀聯(lián)等認證相關檢測業(yè)務。

　　三是在支付系統(tǒng)端，提供針對電子銀行、移動支付TSM、非銀行支付機構業(yè)務設施、商業(yè)銀行發(fā)卡等系統(tǒng)的安全檢測服務。開展PCI DSS測評、PCI ASV掃描、信息系統(tǒng)安全等級保護、銀聯(lián)卡賬戶信息安全合規(guī)評估、銀聯(lián)卡第三方機構入網、滲透測試、信息安全風險評估(一級資質)等檢測業(yè)務。