原標題:
網路支付進入全面普及階段, 支付風險成為手機用戶的最大安全隱患
移動錢包, 創新更要讓人放心
二維碼暗藏支付陷阱
製作成本低, 騙子可隨時更改賬號, 往往打掉一批又出現一批, 很難從根本上杜絕
家住北京海澱區的李浩有一輛私家車, 平時開得少, 也從未吃過罰單. 一個周末, 李浩開車去大興區的朋友家做客, 看到小區周邊道路停滿私家車, 他也就把車停在了路邊. 從朋友家出來, 李浩卻發現自己車的擋風玻璃上多了一張印有二維碼的 '違章停車通知單' .
'一開始以為是誰放的小廣告, 細看發現有交警支隊的公章, 還抄了我的車牌號. ' 李浩看附近車輛都有這樣的 '通知單' , 便信以為真, 開始按 '通知單' 提示 準備掃描二維碼繳款. 正在這時, 另一位車主走來, 將自家車上的 '通知單' 揭下, 李浩上前詢問才知, 原來這是一種支付欺詐手段, 一旦支付成功, 錢款就轉入了 騙子的微信賬號.
拿到李浩提供的 '通知單' , 記者開啟手機微信掃描了二維碼, 手機立刻轉入支付界面, 金額為200元, 還有 '北京市大興 區交通支隊' 的字樣, 暗示用戶在繳納罰款. 然而, 記者仔細查看支付頁面, 在用戶頭像下方, 卻有一排 '向個人用戶轉賬' 的提示, 表明這是個人賬號. 記者點擊 下方 '轉賬' 按鈕, 彈出 '收款方微信支付賬號已被凍結' 的字樣, 顯示這一賬號已被舉報查封.
'現在吃飯, 購物都是習慣性地掃描二維碼, 沒想到二維碼還可以這樣騙錢. ' 李浩告訴記者, 經過這件事, 他對二維碼支付的安全性產生了懷疑.
武漢大學生鄭凱就曾吃過二維碼的虧. 今年3月, 他在學校附近準備使用共用單車, 根據提示掃描二維碼後, 就跳轉到微信支付頁面, 用戶頭像是該單車品牌的 LOGO, 金額為99元, 鄭凱誤以為是要求支付押金, 點擊付款後, 微信錢包裡的錢就被轉走了, 單車卻並沒有開鎖, 小鄭這才發現, 原來自己掃描的二維碼是貼 在車身上的, 揭下這張, 才露出原來的單車二維碼.
'就這麼在光天化日下公開進行詐騙, 難道就沒有辦法管管? ' 鄭凱抱怨. 他找到當地派出 所, 警方表示, 類似的二維碼騙局已經發生多起, 目前只能要求支付機構查封相關賬號, 儘力幫助被害者追回損失, 但因為二維碼製作成本太低, 騙子又可以隨意生 成新賬號, 往往是打掉一批又出現一批, 很難從根本上杜絕.
如今, 出門不帶錢, 一部手機走天下成為不少人的習慣, 而在諸多移動支付方式中, 二維碼因為方便快捷成本低等優勢, 成為小額支付最主要的形式. 中國金融認證中心的調查顯示, 在當面支付100元以下金額時, 用戶首選使用手機二維碼, 條形碼支付的比例為28%, 位居首位.
中國互聯網協會披露的數據顯示, 中國手機用戶常遇手機安全軟體問題中, 支付陷阱佔比88.3%, 排第一.
'相比其他支付方式, 二維碼支付對硬體設備的要求最低, 但這種低成本優勢是雙刃劍, 一方面推動其快速布局, 另一方面也極大降低了不法分子實施支付欺詐的 成本. ' 中國銀聯支付安全專家王宇告訴記者, 從技術角度看, 二維碼誕生之初是為物聯網設計的, 與金融行業要求的絕對安全有一定差距.
'正是考慮到二維碼在安全性上存在不足, 二維碼並沒有被商業銀行認可和大規模使用. ' 華夏銀行戰略發展部戰略室負責人楊馳對記者說, 目前二維碼造成的支付 風險主要表現為釣魚風險, 即通過二維碼連結將用戶帶到偽造的網站或支付頁面, 普通用戶很難辨別真偽, 同時二維碼支付是在開放的網路環境中完成, 可能造成網 絡傳輸和網路泄密風險. 此外, 由於用戶自身手機丟失等造成的設備風險也是重要因素.
資訊泄露成為支付風險源
一些第三方支付機構違規操作, 挪用客戶資金的行為, 可能引發連鎖金融風險
今年 '十一' 期間, 廣州居民李文生一家到美國自由行, 回國不久就收到簡訊, 稱可申請退稅簡易流程, 他按提示撥打400開頭的電話後, 對方以銀行客服身份 要求李文生登錄其提供的銀行英文網頁進行操作, 在輸入了卡號, 密碼, 驗證碼等資訊後, 李文生髮現賬戶資金減少, 隨即找到真實的銀行客服電話詢問才知, 他的 賬戶資金已經通過第三方支付機構在網上消費掉了.
'平時我也聽說過有這種釣魚網站, 但對方掌握我去美國的詳細行程, 甚至連一些消費地點都知道, 我才相信了. ' 李文生說.
'移動支付的快速發展, 讓支付驗證開始脫離硬體設備, 進入到單純靠資訊驗證的階段, 這就對用戶敏感資訊保管提出了更高要求, 一旦資訊泄露, 意味著可能的 資金損失. ' 王宇說, 近年來很多新出現的第三方支付機構, 出於擴大市場的考慮, 往往降低安全管控, 對交易管理的識別, 反欺詐能力相對較弱, 不能很好地擔負 起資金把關人的職能, 而技術投入上的不足, 很容易造成用戶支付資訊外泄.
中國支付清算協會發布的報告顯示, 2016年有近200家網上商城或支付平台被曝出存在安全漏洞導致資料庫資訊被竊取, 其中多家網站泄露的用戶資訊達數百萬條, 最多甚至達到上千萬條.
中國人民銀行副行長範一飛表示, 由於互聯網的虛擬化, 支付服務的移動化, 參與主體的多樣化, 支付風險呈現蔓延速度快, 隱蔽性強, 潛伏期長, 外溢效應明顯的特點, 支付行業在敏感資訊保護, 客戶資金安全, 業務連續性等方面壓力較大, 資訊泄露已成為支付安全問題的風險源頭.
不僅如此, 一些第三方支付機構違規操作, 挪用客戶資金的行為, 存在引發金融風險的可能性. '一旦支付機構違規挪用資金, 客戶支付就會出現問題, 如果眾多支付風險在短時間內同時爆發, 可能引發連鎖金融風險. ' 楊馳說.
據不完全統計, 近3年來, 共有48家第三方支付機構被監管部門處罰71次, 累計被罰近1億元. 因註銷, 主動申請註銷, 不予續展和續展合并等因素, 270家非銀行支付機構在2016年縮減為255家.
今年3月, 非銀行支付機構網路支付清算平台 (簡稱 '網聯' ) 啟動試運行, 根據央行要求, 自2018年6月30日起, 支付機構受理的涉及銀行賬戶的網路支付業務全部通過網聯平台處理, 旨在管住資金通道, 防範系統性風險.
平衡效率與安全的蹺蹺板
支付機構看重體驗, 商業銀行看重安全, 兩者需要互學, 互融
雖然移動支付面臨種種安全風險, 但並未阻擋其快速發展的步伐, 中國支付清算協會的統計顯示, 今年第二季度, 我國移動支付業務持續保持較快增長, 移動支付 業務筆數和金額同比分別增長40.51%和33.84%, 非銀行支付機構處理網路支付業務筆數和金額同比分別增長67.85%和34.87%.
'移動支付雖然有風險, 但讓我退回到全靠銀行U盾支付的環境也不太可能了, 誰會出門消費帶著U盾和電腦呢? ' 上海浦東的年輕白領劉婧告訴記者, 自己身邊很多人, 哪怕是被騙過錢的人, 都並沒有放棄對新興移動支付方式的使用.
中國銀聯發布的調查報告顯示, 我國移動支付已進入全面普及階段, 2016年有96%的受訪者使用過手機等移動設備支付, 較上年增長14%, 而使用網銀支 付的比例僅20%, 較上年下降15%. 在支付驗證方式上, 2016年46%的被調查者使用過指紋識別方式, 同比增長2.5倍, 其中 '95後' 受訪者中, 這 一比例高達7成, U盾, 數字證書等傳統驗證方式使用比例呈明顯下降趨勢.
'以U盾為代表的支付驗證措施, 依然是目前最安全的驗證手段, 在大額支付領域短期內不可替代, 但也確實存在使用繁瑣, 流程複雜等問題. ' 楊馳告訴記者, 基於各自不同的發展目標, 第三方支付機構往往把支付體驗放在第一 位, 而風險偏好較低的商業銀行則把支付安全放在第一位, 兩者需要相互學習, 相互融合, 共同打造便捷安全的支付環境.
'金融科技帶來的支付創新都面臨一分為二的挑戰. ' 中國社科院金融研究所所長助理楊濤表示, 新興支付手段的創新, 提升了經濟交易效率, 促進消費和投資, 但同時, 支付創新也要避免過猶不及, 平衡好效率與安全的蹺蹺板.
專家和業內人士普遍認為, 保護支付安全, 絕不意味著不要支付創新, 而是要在滿足支付便利性的同時, 從攻守兩方面加強安全防範.
——在攻的方面, 應加快支付技術的更新換代, 在保障安全的基礎上, 最大限度給用戶支付創造便利.
在指紋支付快速普及的同時, 一些支付機構開始將刷臉支付, 聲波支付等作為創新方向, 並通過多種生物特徵交叉認證, 進一步降低支付風險.
傳統銀行也不甘落後. 工商銀行網路金融場景合作處處長謝翔告訴記者, 目前, 工行已為客戶提供簡訊, 靜態密碼, 指紋等多樣化的支付認證方式, 有效兼顧了支付安全與便捷的需要.
——在守的方面, 應加強對現有支付方式的風險防控, 用技術和保險手段保障支付安全.
'支付寶目前用一整套智能即時風控系統, 對平台上每天發生的上億筆交易進行即時掃描, 從用戶行為, 交易環境, 關聯關係等多維度去分析, 對風險進行稽查及 處置. ' 螞蟻金服高級安全專家朱通向記者介紹, 這套安全系統還會通過數據分析, 挖掘, 自動更新完善風險監控策略, 不斷提升風控能力.
工行在業內率先研發投產 '外部欺詐風險資訊系統' , 運用大數據對公安部門偵查出的電信詐騙賬戶進行有效布控和業務辦理即時預警, 從源頭上實現對電信詐騙的防控. 系統投產3年多來, 已識別並攔截電信詐騙10.8萬筆, 為客戶避免經濟損失16億餘元.
除了技術上的措施, 保險功能也在近年被引入支付風險防範, 多家保險公司聯合支付機構推出了 '盜刷險' , 發生支付損失時由保險公司進行賠償.