田晓剑 刘燕
“快捷支付”是指用户不需开通网银,直接通过输入卡面信息,即可便捷、快速完成网络订购商品、账号充值的支付。近年以来,随着电商发展迅猛,网络支付迅猛发展,2011年,支付宝在国内首家推出“快捷支付”功能以来,腾讯、百度公司也相继推出“微信支付”、“百度钱包SDK”等业务,极大简化了网购支付流程,方便了消费者。
不可否认,“快捷支付”是全新的支付理念,已成为国内网上支付体系的重要手段,必将成为未来消费的发展趋势。但在方便用户的同时,支付的安全性也遭受质疑,如何实现安全和便捷的平衡是亟待解决的问题。
资料显示,“快捷支付”的安全隐患主要表现在:用户安全意识不足,信息泄露事件经常发生。据中国互联网络信息中心(CNNIC)调查显示,有47.2%的用户对网上支付安全问题表示非常不关注或较不关注,有57.6%的用户表示不知道保障网上支付安全的办法,对即时通信链接防范意识不强。当接到电话称退款,需要告知自己的姓名、账户或手机验证码信息时,大部分用户愿意透露信息,对于即时通信工具遇到对方发来的不明链接时,有15%的用户会直接点击。“快捷支付”中欺诈者只需要掌握用户的身份信息和银行卡号,并且能获取手机验证码,就可以成功盗取银行卡中的钱款。
操作流程过于简单,不法分子虎视眈眈。首先,“快捷支付”减少了支付页面与网银页面跳转次数,网络、手机支付等支付工具的终端已经成为黑客新的攻击目标,手机本身的开放性使得手机病毒制造者对移动支付趋之若鹜,一旦被“中马”,其损失难以预计。其次,“快捷支付”较传统支付方式,对电脑操作系统的要求降低了门槛,Mac等小份额操作系统和非基于IE内核等也支持网上“快捷支付”,无形中增加了支付的风险性。此外,“快捷支付”功能实现以来,不少不法分子针对其特点寻找“破解”方法。据中国互联网络信息中心(CNNIC)发布的《中国网络支付安全状况报告》调查表明,有3.2%的网上支付用户表示自己曾经遇到过支付不安全事件。
支付平台多方绑定,增加被盗刷风险。“快捷支付”只需绑定银行卡和手机,用户无需银行卡密码就可以通过银行卡号和手机验证码从银行卡里取钱。此时,如果手机验证码泄漏或个人信息泄露,则会大大增加支付宝被盗刷的风险。“快捷支付”的安全是建立在第三方支付平台的安全之上,如果第三方支付平台出现安全漏洞,那么“快捷支付”也无安全可言。有不少网购达人将“快捷支付”设置为“记住用户名”、“十天内自动登录”等,这种情况下,在手机丢失或者电脑中毒的情况下,不法分子就很容易越过门槛直接冒名支付。同时,较以往网银交易被设定交易额度的情况,“快捷支付”是将第三方支付账户关联储蓄卡或者信用卡,支付时并没有额度限制(支付上限等同储蓄金额或信用额度),如果被骗损失一般都较大。
“快捷支付”安全性问题事关消费者合法权益,亟待进一步强化安全措施。
强化宣传,提升用户防范能力。据分析,“快捷支付”案件中犯罪分子采用的作案手法较为相近,如果预警及时、宣传到位,增加群众知晓率,可避免受害。首先,通过本地主流媒体、“网上宣传”(警方微博、网警在线)等方式,及时发布预警信息,宣传使用“快捷支付”功能过程中可能被不法分子所利用的漏洞。其次,“网下”则强化控制,提倡上门宣传,及时总结并通报新型犯罪作案方法、揭露不法分子的种种伎俩,讲授防范策略,增加公众对网络犯罪的识别能力,提高敏感性和防范意识。此外,提醒用户平时养成良好的上网习惯,尽量在不同网站设不同的账号和密码。在遗失手机时,最好第一时间拨打客服电话冻结账号或者到电信部门办理手机卡挂失手续。
技术创新,完善安全性保护措施。“快捷支付”是一个创新之举,但是如果没有足够的风险制能力,把省略程序当作创新,这会对社会公众造成伤害。今年9月份,惠民县市民李女士到公安机关报案称,其在使用手机登录支付宝后,扫描一购物网站二维码致使手机中毒,并于当日被人冒用支付宝申请3000元贷款在网上消费。此案也暴露出“快捷支付”中的共性问题,如果用户在第三方支付平台的账号、密码遭泄漏、窃取,被他人冒名登入后就可以像本人使用一样直接获取注册及绑定的身份证、银行卡、手机号码等信息。从技术角度而言,若要兼顾便捷与安全,则需要进一步加强技术性保护措施,强化对用户在支付流程中的安全控制。建议第三方支付平台加强对客户信息安全的保护,对用户身份证、银行卡、手机号码等信息采取加密处理,即使是用户本人登入使用也对号码信息采取部分隐文显示,可以有效避免非本人使用的情况。其次,建议快捷支付时增设图形化加密验证和手机验证码验证等双重保护技术,可以有效避免手机验证码单重验证的不安全性。此外,目前暴露出来的安全问题并非全是坏事,这也必将推动新的技术革新,例如声控识别、虹膜识别等技术未来可能引用到解决支付问题。
主动介入,畅通损失赔偿渠道。现在诈骗钱财相关的木马病毒遍及网络,黑客得手后迅速消失。银行方面对于“快捷支付”功能表示,客户在使用时不用通过银行网银,所以交易过程不受银行保护,这也从另一层面弱化了其安全性。因此,对于第三方支付行业,要提高行业准入门槛,既需要明确安全责任主体,也需要监督相关赔偿责任的落实。目前,多家网络公司开通了赔偿保险:360开通了网购先赔通道、支付宝建立了72小时赔付机制、微信日前推出有效赔付渠道等措施。这是网络公司想以此消除用户对于资金安全隐患的担忧,建立用户信心采取的自发和补救措施。但是上述补救措施实际操作极为不便,能挽回损失的很少,因此建议相关职能部门应该主动作为、主动介入,畅通相关赔偿渠道,以挽回用户损失、维护群众利益。
动态监测,完善支付平台管理。随着越来越多的个人信息被转移到网上,信息泄露的风险还在不断扩大,“快捷支付”多方绑定的特点恰恰容易被犯罪分子利用。首先相关职能部门要与第三方支付平台建立互通机制,对支付安全性实行实时、动态监控,遇有异常应该及时提醒或警示,必要时采取中断交易等保护性措施。对于被识别的木马病毒,及时通报并采取应对措施,避免扩大损失。其次,强化网络阵地控制,可实行“网络社区”属地管控,对所辖网站实行定期检查、评定制度,对强制绑定的插件、“流氓”软件等易被黑客利用上传木马程序的尤其重点关注,对于因不按规定落实相关责任造成严重后果的要从严处理,必要时关闭网站并依法追究相关人员的法律责任。