支付环节攻击方式与漏洞类型

1.概述
2.卡复制
3.卡数据破解与篡改
4.网络欺骗攻击
5.线下欺骗攻击
6.支付身份伪造
7.支付逻辑绕过
8.数据不同步
9.支付数据篡改
10.条件竞争漏洞（并发）
11.拒绝服务

参考自：https://www.topsec.com.cn/uploads/2023-10-08/49dab9d0-004b-4955-808a-d1c83998b8191696745486491.pdf

1.概述

对已知支付环节的攻击方式进行分类，可以分为：物理攻击、网络攻击和社会工程学攻击

物理攻击是指通过物理接触方式对感知设备本身进行攻击（例如 IC 卡、射频卡等），包括但不限于卡号篡改、卡号覆盖、卡号复制、扇区密码破解、扇区数据未加密等。对于日常生活中常见的交易支付卡片主要有两种，低频 ID 卡和高频IC 卡，它们按照各自特性分别应用在我们日常生活中的方方面面。例如我们日常使用的水卡、电卡、饭卡、银行卡、燃气卡等等。对 ID 卡主要攻击方式为卡复制，对 IC 卡的攻击方式主要有卡数据嗅探、卡数据重放、卡复制、卡数据破解与篡改。攻击者在支付环节较多采用卡复制、卡数据破解与篡改两种方式进行攻击，对支付环节构成危害
网络攻击方式是指对支付环节的客户端、服务端、支付相关数据（支付金额、产品数量等）通过一系列手段包括但不限于对身份进行伪造、绕过逻辑判断、篡改数据等对支付环节进行攻击，获取相应的收益
社会工程学攻击是指利用人性的弱点，通过欺骗被害人的手段包括构造钓鱼邮件、通过社交软件欺骗、电信诈骗、网址仿冒、木马病毒等方式进行钓鱼攻击或者通过伪造替换收付款码、伪造纸质优惠券等方式对交易规则进行破坏，造成支付攻击

2.卡复制

部分可交易卡片，经常使用存储器里面的身份凭证（ID 值），查询数据库认证用户身份，与刷卡机交互进行交易。如果攻击者直接将它的数据写入一张空白卡中，就可复制出一张身份信息相同的卡片，攻击者可以利用复制的卡片进行盗刷。

射频识别卡内有电磁感应线圈，连接着 ID 或 IC 芯片。当这个组合体靠近读卡器时，会在读卡器电磁场中产生感应电流，从而驱动芯片读取卡内信息，再通过自身的感应线圈将信息以电磁波的形式发送出来，被读卡器接收到，之后由读卡器系统进行数据交互。

如果射频识别卡中数据未进行加密处理，便可通过读写卡设备读取卡中数据并写入空白卡中，实现卡的复制。

卡复制等物理设备破解学习：https://xdaforums.com/

最简单的方法：https://hackaday.com/2014/06/15/simple-hack-puts-an-rfid-tag-inside-your-mobile-phone/

3.卡数据破解与篡改

射频 IC 卡种类繁多，标准也比较多，以目前广泛使用的 M1 卡为例。读卡器使用分为两种情况，一种是需要先判断 UID 是否正确，再对卡密码进行验证；另一种是读卡器不判断UID，只对扇区进行验证。这两种方式均存在一个问题，即对卡密码验证成功则允许篡改卡内数据。

1、默认密码攻击

很多射频 IC 卡没有更改默认密码，攻击者可以直接使用默认密码来尝试接入IC 卡，常见的默认密码有：

ffffffffffff
000000000000
a0a1a2a3a4a5
b0b1b2b3b4b5
aabbccddeeff
4d3a99c351dd
a982c7e459a
d3f7d3f7d3f7
14c5c886e97
87ee5f9350f
a0478cc39091
33cb6c723f6
fd0a4f256e9
fzzzzzzzzzz
a0zzzzzzzzzz

2、Nested Authentication 攻击

Nested Authentication 攻击是在已知任意一个扇区密钥的情况下，攻击得到其他加密扇区密钥的一种攻击手法。从原理上来说，这种攻击并不是直接破解出密钥，而是通过获取已知加密随机数的情况下，极大地缩短破解密钥的时间，增加密钥破解的可能性。主要破解工具为mfoc和 mfcuk（主要用于全加密卡）

3、案例

把 IC 卡的数据破解出来，破解的方法，比较普遍的是用ACR122U

ACR122U NFC 读写器是一款基于 13.56 MHz 非接触 (RFID)技术开发出来的连机非接触式智能卡读写器

解析完一张卡。获得PM3（PM3 可以在水卡、公交卡、门禁卡等一系列RFIDNFC 卡片和与其相对应的机器读取、数据交换的时候进行嗅探攻击，并利用嗅探到的数据通过XOR 校验工具把扇区的密钥计算出来，当然 PM3 也能用于破解门禁实施物理入侵）反馈数据

最后得出各个扇区的密码以后 Dump 出来。进行分析

4.网络欺骗攻击

攻击者通常通过社会工程学进行攻击，利用人的本能反应、好奇心、信任、贪婪、侥幸等心理欺骗用户进行支付，常见的攻击方式主要有以下几种：

1、仿冒网站钓鱼

攻击者大量发送欺诈性邮件或短信，多以中奖、采购、对帐等内容引诱收件人在在仿冒网站中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录攻击者构造的恶意网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃受害者资金

2、电信诈骗

电信诈骗是指通过电话、网络和短信方式，编造虚假信息设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人打款或转账的犯罪行为。攻击者通过冒充他人，仿冒、伪造各种合法外衣等手段获取受害者信任，如冒充公检法、商家公司厂家、国家机关工作人员、银行工作人员等各类机构工作人员。利用冒充招工、刷单、贷款等事由对受害者进行诈骗，迫使受害人转账

5.线下欺骗攻击

线下欺骗攻击主要是以物理手段使正常群众或经营者钱财受损，近年来频发线下欺骗攻击，具有代表性的两种攻击方式：商户收付款码伪造、纸质优惠券伪造。

1、商户收付款码伪造

通过二维码生成器伪造收款码或者直接使用盗窃者自身的二维码，对商家的二维码进行替换，如若商家对账不及时可能会造成一定的损失

2、纸质优惠券伪造

纸质优惠券是由发券人印制，可在特约商户消费时享受指定产品优惠、满减等优惠活动的纸质券。通常情况下伪造的难度相对较低，但是可以带来较大收益，只要该优惠券未过期，收银员也没有觉察出异常的话，攻击者可以通过该方式减免一些支付金额，给商家造成财产损失

6.支付身份伪造

交易身份伪造主要是指通过系统设计缺陷，对支付账户、收货（款）的用户身份进行伪造以达到欺骗交易的目的，主要有账户伪造和生物识别伪造。

1、账户伪造

账户伪造主要是通过网络钓鱼、渗透攻击、欺骗等方式获取受害者账户权限进行支付。较为常见的便是银行卡盗刷、恶意代替支付等

2、生物识别伪造

生物识别技术主要是指通过人类生物特征进行身份认证的一种技术，这里的生物特征通常具有独一的（与他人不同）、可以测量或可自动识别和验证、遗传性或终身不变等特点，包括了指纹识别、静脉识别、虹膜识别、视网膜识别、面部识别、DNA 识别等。其中指纹识别、面部识别广泛应用在我们的日常支付交易中，如果实现技术不完善就可能导致一定的财产损失