引言
快捷支付从出现到如今和日常息息相关,无论线下线上都已深深的融入我们的生活,小到零食饮料,大到理财都可以使用快捷支付完成,快捷支付方便快捷的特点让其应用越来越广泛。但是,站在一个互联网金融安全工作者的角度来看,快捷支付已经成为盗刷、薅羊毛等恶意攻击的重要手段之一,那么今天我们用3000多字一起来简单讨论下快捷支付的鉴权及其潜在的风险。
快捷支付
首先我们来看下快捷支付是什么,百度百科上的定义为:
“快捷支付指用户购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机号上,用户输入正确的手机动态口令,即可完成支付。”
提到快捷支付我们再看看和它很相似的另一种支付方式,那就是代扣,银行代扣接口是银行开放给第三方机构的接口,用户只要一次性签约,第三方机构就可以将资金从用户的签约银行账户里划走,对于接银行代扣接口的第三方机构的资质要求是非常高的,必须具备非常高的信用。一般这种接口会开放给水电公司,用于用户缴纳每个月的水费,电费,家庭网费等。
快捷支付和代扣实际上并不存在特别大的差异,要说差异就是对接的商户类型有差异,实际上都是客户、商户、银行三方的签约,签约成功之后商户可以从客户签约的银行中将钱划走。代扣是一次授权+免授权支付,快捷支付是一次授权+次次授权,这里的次次授权怎么理解呢?举个例子,用户在第三方支付平台绑定了某张银行卡,这是一次鉴权。进行支付时用户还是需要输入银行预留手机号(注意这里的手机号并非在第三方支付平台的注册手机号)收到的短信验证码,但是不需要输入个人以及银行卡信息,因为第三方支付平台后台已有用户相关信息,待第三方支付平台短信验证码验证通过之后,会将四要素上送到发卡行进行鉴权,鉴权通过之后进行支付,这是次次鉴权,用户无感知。
绑卡鉴权
好了,科普到此结束,回归我们今天的重点,至于上述科普是否正确,我们不要在意这些细节,我们只需要关注怎样才能发起快捷支付,完成快捷支付的鉴权方式具体风险有哪些就OK,从上述一段文字我们可以发现发起快捷支付只需提供银行卡卡号、姓名、身份证号、手机号、手机短信验证码即可。那么站在用户侧,我们用户体验的快捷支付是怎样的呢,我们拿一个常用的第三方支付产品来体验,看下发起快捷支付对于用户来说需要做什么。
如下图:
图解:
1)在商户平台注册成为会员;
2)提供个人和银行卡信息进行绑卡(姓名、身份证号、银行卡卡号、银行预留手机号);
3)输入手机号收到的动态码然后绑卡成功;
4)设置交易密码;
5)付款页面输入交易密码进行支付。
通过上述5步之后即可在第三方支付平台进行快捷支付,整个流程中最重要的是第二步即绑定银行卡,需要提供的信息为常说的鉴权四要素,提供了四要素即可进行绑卡,然后完成支付,站在用户的角度看确实方便快捷。
我们先不讨论银行卡四要素鉴权的风险如何,毕竟被应用这么广泛,说明其在用户体验与安全性之间已经做到了一个较好的平衡,我们这里只讨论是否还有其他可行并且更安全的鉴权方式。目前从市场上来看,不同的平台封装出了不同的快捷支付鉴权方式,这些鉴权方式各有优劣,我们收集了部分常见的鉴权方式,一起来看看各自有什么特点,并且大胆的对这些鉴权方式的相对安全性做了个排名,数字越大安全性越高。
排名如下图:
我们依次来大致了解下各种鉴权方式的验证要素,共六种。
第一种是我们较常见且较方便的鉴权方式为全渠道鉴权,即银行卡四要素鉴权,提供姓名、身份证号、银行卡号、手机号四要素绑卡成功之后,后续只需要在商户输入交易密码(短信验证码)即可进行支付。
如下图:
第二种是人行小额鉴权和全渠道鉴权相比多了一个银行卡类型的判断(注:银行账户分为Ⅰ类户、Ⅱ类户、Ⅲ类户),这个参数在一些场景还是比较有用的,例如绑卡的时候用来识别卡为一类户还是二类户,对防范薅羊毛等相关行为有一定作用,其他的和全渠道没什么区别。
第三种为第三方支付平台鉴权,即开户时需要对接第三方支付进行鉴权,例如易宝支付、快钱等,有些对用户无感知的,有些是用户可感知的,无感知的即不会跳转到第三方支付平台,后台帮用户隐形开户,有感知的是跳转到第三方平台页面,让用户自己提供信息进行开户,鉴权绑卡成功之后同样是只需要输入交易密码(短信验证码)即可进行支付。
第四种为银联消费鉴权,银联是个比较特殊的第三方支付平台,可进行类似全渠道银行卡四要素鉴权,也可进行四要素+取款密码的方式,这由发卡行决定。与全渠道鉴权和第三方支付平台鉴权相比,不同的点在于银联鉴权允许用户在其网关页面输入银行卡的交易密码进行验证,如下两图所示,两个不同的发卡行需要的鉴权要素不一致,这由发行卡决定。
如下图:
第五种为银联网关鉴权,在提供了绑卡四要素以外还需要跳转到发卡行(或者银联)的网关页面输入银行卡的取款密码进行校验,校验通过后才能绑卡成功。
如下图:
第六种为来账验证鉴权,商户会进行姓名、身份证号、银行卡号三要素鉴权,三要素通过之后商户还会要求用户使用将要绑定的银行卡向商户的对公户转入指定金额,用户需要登录网银向商户的对公账号转入对应金额,商户会校验金额是否正确,核对账户名称、银行账号是否一致,验证成功后绑定银行卡。
如下图:
以上为比较常见的几种快捷支付封装之后的鉴权方式,当然还存在其他的封装模式,由于篇幅有限我们不一一列举,那么上面的几种方式安全性以及用户体验孰优孰劣相信大家已经有个大概了。
虽然说这些鉴权方式都是比较安全的,但是盗开、盗刷、薅羊毛等因为鉴权导致的安全事件还是频繁出现,说明鉴权的风险还是存在的,主要因为上述中前几类鉴权都是提供银行卡四要素,这对于现在“大数据”时代(或者说黑灰产)来说,唯一相对保密的就是手机动态验证码,然而这并不能难倒黑灰产人员,黑灰产人员可以对普通用户发送钓鱼短信,短信中包含恶意链接,点击则会安装恶意APP,从而导致手机短信验证码被盗取,造成盗开盗刷等安全事件。我们对曾经捕获的恶意APP样本进行分析,进入木马收件箱可看见大量被盗取的手机验证码。
如下图所示:
具体的流程我列了两种方式,分别如下:
方式一:
方式二:
除了针对个人用户的攻击,还有针对企业的攻击,例如羊毛党的行为已屡见不鲜,我们这里看一个由于鉴权不当导致的薅羊毛流程。
流程图如下:
现在很多银行都开通了直销银行,一些直销银行为了获客会降低开户门槛,例如只验证手机号和身份证号即可开户成功,但是身份证数据市场上早已售卖泛滥,另外加上一些手机验证码平台即可进行全自动注册。有了这些低门槛银行Ⅱ类户,可以做的事情很多,例如可以到一些互联网平台注册账户绑定该Ⅱ类户赚取新手福利,到网贷平台绑定该Ⅱ类户提高信用额度等。通过此方法能薅羊毛是因为这些互联网平台的鉴权方式无法鉴别绑定的银行卡是Ⅱ类户还是Ⅰ类户,如果能鉴别银行账户类型并且限制只能绑Ⅰ类户可大大减小相关的风险,如使用人行小额鉴权可识别卡类型,或者自己收集卡bin进行校验。
小建议
快捷支付的鉴权方式风险还是存在的,但是其在兼顾用户体验的情况下已经相当不错,不过我们这里还是给些小建议。
1)针对普通用户,如果担心自己的快捷支付出问题,那么可以到网银、手机银行中关闭快捷支付,一般在支付管理或者安全中心里有相关开关,并且可以在里面查看自己银行卡已经签约过的商户有哪些,如不想继续使用可进行针对性的关闭。
2)另外不要随意点击陌生连接,特别是点击连接之后立马提示某app需要更新进行安装的,千万不能点击确定,如需安装app,请到正规的应用商店下载安装。
3)针对企业,这需要根据企业实际情况来考虑,对于企业来说安全性肯定不会仅仅只有银行卡鉴权,还会有风控等一系列安全体系,但是并不是每一家企业的安全体系都做得那么优秀,并且由于获客等等因素,从而不得不降低安全措施用来提高用户体验,那么对于安全体系没有达到一定高度的企业建议可以考虑选择安全性相对较好的鉴权方式,等到安全体系建设达到足够高度时再换为更方便快捷的方式。
END
如果您有任何关于互联网金融安全的任何问题,欢迎留言,我们将知无不言,言无不尽~
关注白泽安全团队 互金安全尽你掌握
本文由白泽团队原创,转载请注明来自白泽安全团队,欢迎各位分享~