网络黑客频现移动支付领域,拿什么拯救你我的移动支付钱包?

|科技前沿 2019-03-25 1585 来源: 法制日报
摘要:计算机高级网络安全研究员,蒋兴鹏发现,随着移动支付市场的不断扩大,一些不法分子逐渐将黑手伸向移动支付用户。其作案手段专业化、团伙化,通过网络联系,一些素未谋面的不法分子也可以分工协

北京市丰台区嘉园路一家面包店内,正准备结算的一名顾客用右手摸了下口袋,突然喊了一声:“呀!没带手机,您等会儿,我去车上取。”他忘了自己随身携带的钱包里还有不少现金。


对于这种现象,这家面包店的工作人员刘畅早已司空见惯。


据刘畅回忆,面包店营业额的历史低位是发生在电子支付系统出现故障的那一天。“如今,很多年轻人出门只带手机,兜里不装现金。”刘畅说。


事实上,移动支付的普及正在改变公众的生活。从吃饭、购物、看电影、菜市场买菜到坐飞机、住酒店,很多消费场景最常用的现金支付方式已经变成了扫码支付。


不过,《法制日报》记者采访发现,在条码生成机制和传输过程中仍然存在不少隐患。


移动支付快速发展覆盖生活各个方面


“90后”北京市民张峰在过去的两年多时间里,仅使用过两次现金。


一次是在一个路边停车场,张峰需要支付16元停车费。当看到看车的老大爷使用老式手机后,没带零钱的张峰只好给老大爷支付了100元。


还有一次是在一家公立医院的自费药房,没有POS机或移动支付选项,只收现金。张峰为了购买一支25元的眼药膏,与收银员沟通是否能添加其为微信好友再支付红包,最后被拒,理由是“提现要收手续费”。


而如今,那位在路边收停车费的老大爷携带着“掌上智能收费机”,可直接扫描二维码结算。那家医院也已经开通了支付宝付款功能。


据张峰介绍,老大爷使用移动支付的原因,一方面是避免高峰期来不及收费的尴尬;另一方面是避免接触现金,可避免乱收费、截扣停车费等现象;而且,老大爷也不需要再准备零钱了。


在北京从事金融工作的郭涛却是一名坚定的现金使用者。让他感受到自己成为异类,是在一年前的一次聚会上。


“聚会结束,大家争着结账。可当我从钱包里抽出一沓钱做奋勇状时,却没有得到应有的尊重。同行者已经安静地扫码、付款、确认,一切都无比流畅而安静。最后,同行者看着我说,‘现在谁还用现金啊’。”回忆当时的场景,郭涛说,“那一刻,我感受到了《三体》中所描述的,高维对低维的降维打击。”


这次打击,让郭涛开始关注身边的无现金生活,上下班乘坐地铁、公交可以刷卡,吃饭、买东西全部可以用微信、支付宝以及刷银行卡完成。


郭涛还发现,如今几乎所有的小商贩都可以用移动支付完成交易,不管是卖鸡蛋灌饼的还是卖煎饼果子的,不管是手机贴膜还是卖西瓜的,都会把微信和支付宝两个二维码印得清晰而醒目。他唯一遇到的一次限制是孩子所在的幼儿园组织家长捐款,只能用现金,不可以用移动支付。


从具体数据来看,根据中国人民银行3月18日发布的2018年支付体系运行情况,移动支付业务量快速增长,2018年,移动支付业务605.31亿笔,金额277.39万亿元,同比分别增长61.19%和36.69%。


便利背后暗藏风险危害资产信息安全


不过,对于一些拒绝使用移动支付的人来说,安全隐患是主要原因。


“现在,越来越多的手机App推出付费会员服务。有的人只是为了体验一下会员服务,结果在下一个会员周期‘自动’被续了费。有的App在开通会员时,在不起眼的地方默认勾选了‘自动续费’,当用户发现这一问题后,想要退订自动续费时,发现退订比开通的流程更复杂。还有一些App的免密支付安全保障并不到位,容易导致个人财产损失。”郭涛阐述了自己不信任移动支付的理由。


近年来,随着移动支付的快速发展,在改进用户体验、便利群众的同时,风险也随之发生新的变化和转移。


作为一名计算机高级网络安全研究员,蒋兴鹏发现,随着移动支付市场的不断扩大,一些不法分子逐渐将黑手伸向移动支付用户。其作案手段专业化、团伙化,通过网络联系,一些素未谋面的不法分子也可以分工协作,逐渐形成黑色产业链。


拖库、洗库、撞库的“黑客”,这是蒋兴鹏对移动支付中存在的“互联网幽灵”的表述。“近年来,国内关于用户隐私信息被窃取的事件时有发生。网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势,越来越多的网络黑产分子通过拖库、撞库盗取用户个人信息,给网民造成了金融资产和个人信息安全等多方面的危害。”蒋兴鹏说。


此前,中国消费者协会也曾提出,移动支付安全存在的严重隐患,需要引起监管部门的重视。各大支付平台也必须明确自身法律责任,切实保障消费者的支付安全。


对于中消协提出的“严重”二字,北京市法学会电子商务法治研究会会长邱宝昌给出的解读是,支付涉及财产安全、信息安全,已经严重影响了金融消费者对金融经营者的信心。


“呼吁监管者依据商业银行法的相关规定,督促、监督银行业以及与银行业有关的支付企业,切实保障金融消费者的财产安全和其他权益。”邱宝昌说,其中涉及信息安全、异地盗刷、密码设置等问题,“移动支付在密码设计、多重认证等方面应该多下功夫。但这也是双刃剑,设置太多不利于使用,不设置就存在安全隐患”。


值得注意的是,在2018年6月6日由中国支付清算协会举办的“2018年移动支付安全便民宣传周启动仪式暨移动支付安全与创新研讨会”上,中国支付清算协会副秘书长马国光说:“在开放环境下,移动支付风险正逐渐成为主要风险类型,并呈现出隐蔽性、复杂性、交叉性等新趋势,移动手机端发生的账户盗用和欺诈呈现高发态势,给用户资金造成严重损失”。


加强技术制度建设保障支付业务安全


3月10日,中国人民银行副行长范一飞就移动支付便民工程相关问题答记者问时称,人民银行将围绕服务民生改善,持续优化支付服务供给结构、提高支付服务供给水平,更好地满足人民群众对安全、便捷支付的需求。


范一飞强调,要在积极推进移动支付服务创新的同时,加强交易监测和风险识别,保障支付业务安全,保护用户的合法权益。在延伸推广的时候,要做好现金支付以及移动支付相关产品的宣传和安全教育,培养正确的支付习惯,有效地防范风险。


《法制日报》记者注意到,根据央行新规,自2019年1月1日起,利用移动支付App转账超过5万元人民币的,必须上交细节给央行监管部门审核,保护用户资金安全。


蒋兴鹏认为,这样做可以在一定程度上保障个人财产安全,“个人的支付信息安全同样应该得到足够重视。从数据储存到数据使用,都需要保护,通过加强立法、改进政策监管、提升个人安全意识、强化保护手段等举措”。


中国电子商务研究中心研究员赵占领则认为,移动支付所出现的诸如侵犯消费者权益、金融秩序等问题,监管部门一直在关注,也有相关立法,但有些地方可能规定得不够细致。例如,开启小额免密支付功能、闪付功能,应当遵循什么条件、达到怎样的安全标准、在开通业务过程中应当遵循怎样的流程、是否需要主动经过用户选择等。


一位网络安全从业人员称,近年来,涉及二维码的案件很多,其中包括非法获取公民信息、诈骗、盗刷等。对于类似二维码这样的新兴技术在多领域的应用,相关监督管理部门还未出台较为有效的规章和监管机制。


“监管部门已经重视到移动支付的安全问题,有关部门必须要制定相关的政策来确保移动支付经营者履行保障金融消费者的安全。很多商业银行经营者在追求利益最大化过程当中,需要有统一规定,确保在资金的投入、人力的匹配上保障支付安全。”邱宝昌说,监管部门应该督促商业单位依法履职,对消费者的投诉情况进行梳理研究,查出问题的症结,制定相关的规定或建立相关的制度。


邱宝昌还建议,平台和支付经营者应该通过技术和制度建设,确保金融消费者的支付安全。“诚信和安全是移动支付发展的两大基石。”邱宝昌说。


默认开启免密支付

法律焦点问题解读


对话人


北京市律师协会消费者权益法律事务专业委员会主任

邱宝昌


中国电子商务研究中心研究员

赵占领


《法制日报》记者

赵 丽


记者

现实生活中的很多场景都会用到免密支付。免密支付在给用户带来便利的同时,也被吐槽缺乏安全感。例如无主动授权、无醒目提示;跳过输入密码、确认金额等环节。更让人担心的是,很多手机应用都青睐免密支付,系统甚至会默认开启。


邱宝昌:

是否免密要经过消费者同意,经营者不能擅作主张,要充分尊重消费者的知情权、选择权,这是消法赋予消费者的权利、经营者的义务。所以经营者在经营过程中一定要遵守法律规定。


事实上,随着消费者使用新型支付方式的频率越来越高,出现免密支付的情况远远不止上述支付平台。现实生活中,很多人都在有意或无意地使用小额免密支付功能,但当用户被询问是否记得何时开通此类服务时,回答大多是“不太清楚”,或者不是自己主动开通的。


记者

就“3·15”晚会曝光的“闪付”存在的问题,中国银联于3月16日下午发布声明称,小额免密免签是一项行业规则。以某热门旅行软件为例,在支付界面下方有一行字体非常小、默认为自动勾选的规则:“您认可和同意:输入个人信息进行交易即视为您确认交易和交易金额并已不可撤销地向系统发出指令,银行或第三方支付等金融机构将根据您的指令从您绑定的银行卡中将您确认的交易金额划扣给收款人。”这类软件或小程序一般在首次扣款时验证支付密码,并授权客户选择相应的支付应用后从交易中直接扣款。


邱宝昌:

小额免密的目的是方便交易,有其合理性,但是可能涉及安全问题。免密在国际上确实是通行做法,但要告知用户,如果免密不经过消费者的同意就是侵犯了其知情权、选择权。根据相关公告,银行卡小额免密免签已在官网公告等多方渠道对用户进行告知,但现实情况是,对于动辄成千上万字的格式条款,用户未必有时间逐字查看。因此对于小额免密免签这样的重要内容,建议突出强调、重点告知,以便用户更加高效地理解。


赵占领:

关键在于让消费者自主选择小额免密、闪付功能是否开启,不能采用默认开启的方式。


在移动互联网时代,小额免密支付有一定的市场空间,但最大的问题就是安全隐患,如果用户的手机或者是某一个账户被盗,有可能导致免密支付功能被滥用,用于盗窃用户账户中的资产。


记者

“3·15”之后,中国银联联合各商业银行建立了“风险全额赔付”保障机制。但也有人认为,赔偿是事后救济的问题,本来是不该发生的问题,就像小概率事件,一旦发生在某个人身上就是100%,所以这种做法仍然存在安全风险和缺陷。


邱宝昌:

这样的说法没有问题,原来很多商业银行的银行卡存在一个问题:设置了密码,银行卡被盗刷却不进行赔偿,理由是银行认为是用户密码保管不慎造成的,反之没设置密码的却得到了赔偿。后来,基本上达成一个共识:只要是被盗刷,一般都是支持消费者合理的主张,除非有证据证明消费者有故意行为或其他行为。


经营者要履行安全保障义务,提供的服务、销售的商品要保障消费者的人身安全、财产安全。


赵占领:

在移动支付行业,对于提出损失要求赔偿的消费者,应该有一定的条件和门槛,而且在赔付金额上也要规定一个上限。例如,关于赔付条件,要求在被盗刷之后多少小时之内进行报警。因为要防止有的人恶意申请赔付。另外应考虑在赔付时,赔付程序是否便捷,是否会出现理赔难等情况。


记者

不可否认的是,便利与安全就像阴阳两极,“隔空盗刷”也并非突然出现,类似的案件在以前就发生过。去年12月,在广东省,某犯罪团伙利用闪付功能盗刷银行卡资金110多笔,累计涉案金额10多万元。在移动支付盛行的今天,消费者如何减少被盗刷的风险?


邱宝昌:

消费者对自己的个人信息,特别是密码要妥善保管,不要轻易泄露,密码可以设置得复杂一些,不要用自己的生日、身份证号、特定纪念日等。但是免密就没有密码了,所以如果是免密的,消费者防不胜防。


不要贪图一时方便,给自己的资金造成隐患,尽量不使用购物、外卖、打车、购票等第三方支付平台的免密支付许可,在签订相关会员服务的格式条款时,一定要留意条款当中那些不明显的提示信息,在购买各种套餐前一定要仔细看清各种提示。


赵占领:

如果用户选择使用免密支付功能,那就应当意识到小额免密支付会存在一定的安全风险,要采取各种措施防范这种风险。例如,如果带的是银行卡,那就要把银行卡放好,一旦听到身边有异常刷卡声,就要注意;如果是在互联网上采用小额免密支付,那就要将手机或者其他终端设备保存好,开机和锁屏都要设置密码;如果是在某一个网络支付账号里使用小额免密支付功能,那就要将这个支付账户的密码保存好。


审核人:

标签: 网络安全

觉得不错,给小编个打赏吧

评论
0
0

登录后才可以评论

查看全部(0)

相关阅读

科技前沿

评论(0

最新快评更多>

推荐阅读 更多>

“隐私币”出路何在?

“隐私币”出路何在?

2019-04-20 08:56:07

关注微博

关注荣格财经微信公众号

荣格财经读者11群

加入荣格财经技术交流群