原标题:
网络支付进入全面普及阶段, 支付风险成为手机用户的最大安全隐患
移动钱包, 创新更要让人放心
二维码暗藏支付陷阱
制作成本低, 骗子可随时更改账号, 往往打掉一批又出现一批, 很难从根本上杜绝
家住北京海淀区的李浩有一辆私家车, 平时开得少, 也从未吃过罚单. 一个周末, 李浩开车去大兴区的朋友家做客, 看到小区周边道路停满私家车, 他也就把车停在了路边. 从朋友家出来, 李浩却发现自己车的挡风玻璃上多了一张印有二维码的 '违章停车通知单' .
'一开始以为是谁放的小广告, 细看发现有交警支队的公章, 还抄了我的车牌号. ' 李浩看附近车辆都有这样的 '通知单' , 便信以为真, 开始按 '通知单' 提示 准备扫描二维码缴款. 正在这时, 另一位车主走来, 将自家车上的 '通知单' 揭下, 李浩上前询问才知, 原来这是一种支付欺诈手段, 一旦支付成功, 钱款就转入了 骗子的微信账号.
拿到李浩提供的 '通知单' , 记者打开手机微信扫描了二维码, 手机立刻转入支付界面, 金额为200元, 还有 '北京市大兴 区交通支队' 的字样, 暗示用户在缴纳罚款. 然而, 记者仔细查看支付页面, 在用户头像下方, 却有一排 '向个人用户转账' 的提示, 表明这是个人账号. 记者点击 下方 '转账' 按钮, 弹出 '收款方微信支付账号已被冻结' 的字样, 显示这一账号已被举报查封.
'现在吃饭, 购物都是习惯性地扫描二维码, 没想到二维码还可以这样骗钱. ' 李浩告诉记者, 经过这件事, 他对二维码支付的安全性产生了怀疑.
武汉大学生郑凯就曾吃过二维码的亏. 今年3月, 他在学校附近准备使用共享单车, 根据提示扫描二维码后, 就跳转到微信支付页面, 用户头像是该单车品牌的 LOGO, 金额为99元, 郑凯误以为是要求支付押金, 点击付款后, 微信钱包里的钱就被转走了, 单车却并没有开锁, 小郑这才发现, 原来自己扫描的二维码是贴 在车身上的, 揭下这张, 才露出原来的单车二维码.
'就这么在光天化日下公开进行诈骗, 难道就没有办法管管? ' 郑凯抱怨. 他找到当地派出 所, 警方表示, 类似的二维码骗局已经发生多起, 目前只能要求支付机构查封相关账号, 尽力帮助被害者追回损失, 但因为二维码制作成本太低, 骗子又可以随意生 成新账号, 往往是打掉一批又出现一批, 很难从根本上杜绝.
如今, 出门不带钱, 一部手机走天下成为不少人的习惯, 而在诸多移动支付方式中, 二维码因为方便快捷成本低等优势, 成为小额支付最主要的形式. 中国金融认证中心的调查显示, 在当面支付100元以下金额时, 用户首选使用手机二维码, 条形码支付的比例为28%, 位居首位.
中国互联网协会披露的数据显示, 中国手机用户常遇手机安全软件问题中, 支付陷阱占比88.3%, 排第一.
'相比其他支付方式, 二维码支付对硬件设备的要求最低, 但这种低成本优势是双刃剑, 一方面推动其快速布局, 另一方面也极大降低了不法分子实施支付欺诈的 成本. ' 中国银联支付安全专家王宇告诉记者, 从技术角度看, 二维码诞生之初是为物联网设计的, 与金融行业要求的绝对安全有一定差距.
'正是考虑到二维码在安全性上存在不足, 二维码并没有被商业银行认可和大规模使用. ' 华夏银行战略发展部战略室负责人杨驰对记者说, 目前二维码造成的支付 风险主要表现为钓鱼风险, 即通过二维码链接将用户带到伪造的网站或支付页面, 普通用户很难辨别真伪, 同时二维码支付是在开放的网络环境中完成, 可能造成网 络传输和网络泄密风险. 此外, 由于用户自身手机丢失等造成的设备风险也是重要因素.
信息泄露成为支付风险源
一些第三方支付机构违规操作, 挪用客户资金的行为, 可能引发连锁金融风险
今年 '十一' 期间, 广州居民李文生一家到美国自由行, 回国不久就收到短信, 称可申请退税简易流程, 他按提示拨打400开头的电话后, 对方以银行客服身份 要求李文生登录其提供的银行英文网页进行操作, 在输入了卡号, 密码, 验证码等信息后, 李文生发现账户资金减少, 随即找到真实的银行客服电话询问才知, 他的 账户资金已经通过第三方支付机构在网上消费掉了.
'平时我也听说过有这种钓鱼网站, 但对方掌握我去美国的详细行程, 甚至连一些消费地点都知道, 我才相信了. ' 李文生说.
'移动支付的快速发展, 让支付验证开始脱离硬件设备, 进入到单纯靠信息验证的阶段, 这就对用户敏感信息保管提出了更高要求, 一旦信息泄露, 意味着可能的 资金损失. ' 王宇说, 近年来很多新出现的第三方支付机构, 出于扩大市场的考虑, 往往降低安全管控, 对交易管理的识别, 反欺诈能力相对较弱, 不能很好地担负 起资金把关人的职能, 而技术投入上的不足, 很容易造成用户支付信息外泄.
中国支付清算协会发布的报告显示, 2016年有近200家网上商城或支付平台被曝出存在安全漏洞导致数据库信息被窃取, 其中多家网站泄露的用户信息达数百万条, 最多甚至达到上千万条.
中国人民银行副行长范一飞表示, 由于互联网的虚拟化, 支付服务的移动化, 参与主体的多样化, 支付风险呈现蔓延速度快, 隐蔽性强, 潜伏期长, 外溢效应明显的特点, 支付行业在敏感信息保护, 客户资金安全, 业务连续性等方面压力较大, 信息泄露已成为支付安全问题的风险源头.
不仅如此, 一些第三方支付机构违规操作, 挪用客户资金的行为, 存在引发金融风险的可能性. '一旦支付机构违规挪用资金, 客户支付就会出现问题, 如果众多支付风险在短时间内同时爆发, 可能引发连锁金融风险. ' 杨驰说.
据不完全统计, 近3年来, 共有48家第三方支付机构被监管部门处罚71次, 累计被罚近1亿元. 因注销, 主动申请注销, 不予续展和续展合并等因素, 270家非银行支付机构在2016年缩减为255家.
今年3月, 非银行支付机构网络支付清算平台 (简称 '网联' ) 启动试运行, 根据央行要求, 自2018年6月30日起, 支付机构受理的涉及银行账户的网络支付业务全部通过网联平台处理, 旨在管住资金通道, 防范系统性风险.
平衡效率与安全的跷跷板
支付机构看重体验, 商业银行看重安全, 两者需要互学, 互融
虽然移动支付面临种种安全风险, 但并未阻挡其快速发展的步伐, 中国支付清算协会的统计显示, 今年第二季度, 我国移动支付业务持续保持较快增长, 移动支付 业务笔数和金额同比分别增长40.51%和33.84%, 非银行支付机构处理网络支付业务笔数和金额同比分别增长67.85%和34.87%.
'移动支付虽然有风险, 但让我退回到全靠银行U盾支付的环境也不太可能了, 谁会出门消费带着U盾和电脑呢? ' 上海浦东的年轻白领刘婧告诉记者, 自己身边很多人, 哪怕是被骗过钱的人, 都并没有放弃对新兴移动支付方式的使用.
中国银联发布的调查报告显示, 我国移动支付已进入全面普及阶段, 2016年有96%的受访者使用过手机等移动设备支付, 较上年增长14%, 而使用网银支 付的比例仅20%, 较上年下降15%. 在支付验证方式上, 2016年46%的被调查者使用过指纹识别方式, 同比增长2.5倍, 其中 '95后' 受访者中, 这 一比例高达7成, U盾, 数字证书等传统验证方式使用比例呈明显下降趋势.
'以U盾为代表的支付验证措施, 依然是目前最安全的验证手段, 在大额支付领域短期内不可替代, 但也确实存在使用繁琐, 流程复杂等问题. ' 杨驰告诉记者, 基于各自不同的发展目标, 第三方支付机构往往把支付体验放在第一 位, 而风险偏好较低的商业银行则把支付安全放在第一位, 两者需要相互学习, 相互融合, 共同打造便捷安全的支付环境.
'金融科技带来的支付创新都面临一分为二的挑战. ' 中国社科院金融研究所所长助理杨涛表示, 新兴支付手段的创新, 提升了经济交易效率, 促进消费和投资, 但同时, 支付创新也要避免过犹不及, 平衡好效率与安全的跷跷板.
专家和业内人士普遍认为, 保护支付安全, 绝不意味着不要支付创新, 而是要在满足支付便利性的同时, 从攻守两方面加强安全防范.
——在攻的方面, 应加快支付技术的更新换代, 在保障安全的基础上, 最大限度给用户支付创造便利.
在指纹支付快速普及的同时, 一些支付机构开始将刷脸支付, 声波支付等作为创新方向, 并通过多种生物特征交叉认证, 进一步降低支付风险.
传统银行也不甘落后. 工商银行网络金融场景合作处处长谢翔告诉记者, 目前, 工行已为客户提供短信, 静态密码, 指纹等多样化的支付认证方式, 有效兼顾了支付安全与便捷的需要.
——在守的方面, 应加强对现有支付方式的风险防控, 用技术和保险手段保障支付安全.
'支付宝目前用一整套智能实时风控系统, 对平台上每天发生的上亿笔交易进行实时扫描, 从用户行为, 交易环境, 关联关系等多维度去分析, 对风险进行稽查及 处置. ' 蚂蚁金服高级安全专家朱通向记者介绍, 这套安全系统还会通过数据分析, 挖掘, 自动更新完善风险监控策略, 不断提升风控能力.
工行在业内率先研发投产 '外部欺诈风险信息系统' , 运用大数据对公安部门侦查出的电信诈骗账户进行有效布控和业务办理实时预警, 从源头上实现对电信诈骗的防控. 系统投产3年多来, 已识别并拦截电信诈骗10.8万笔, 为客户避免经济损失16亿余元.
除了技术上的措施, 保险功能也在近年被引入支付风险防范, 多家保险公司联合支付机构推出了 '盗刷险' , 发生支付损失时由保险公司进行赔偿.