移动支付致盗用频发 安全隐患让消费者爱恨交织!
“呀,没带手机,您等会儿,我去车上取。”
正准备走出面包店的客人又转头回来,手里拿着钱包,笑着自嘲道:“看见钱包居然没反应过来,可以现金支付。”
上面的一幕,对于在北京市丰台区嘉园路一家面包店工作的刘畅来说,早已是见怪不怪,“有一次我们店里的电子支付系统发生故障,营业额创下了历史新低,因为很多年轻人平常只带手机出门,兜里不装现金”。
如今,二维码支付在餐饮门店、超市、便利店等线下小额支付场景得到广泛应用。然而,在条码生成机制和传输过程中仍存在风险隐患。“在开放环境下,移动支付风险正逐渐成为主要风险类型,并呈现出隐蔽性、复杂性、交叉性等新趋势,移动手机端发生的账户盗用和欺诈呈现高发态势,给用户资金造成严重损失。”在6月6日由中国支付清算协会举办的“2018年移动支付安全便民宣传周启动仪式暨移动支付安全与创新研讨会”上,中国支付清算协会副秘书长马国光说。
支持者:生活更便利
作为90后,在过去两年多的时间里,北京市民张峰仅有两次机会使用现金。
一次是在一个路边停车场,张峰需要支付16元给看车的老大爷。当看到老大爷使用的还是老式手机的那一刻,张峰放弃了和他商量,而是乖乖给了100元,并向老大爷道歉说自己没带零钱。
另一次是在一家公立医院的自费药房,没有POS机或移动支付选项,只收现金。“我尝试和收银员沟通,让她接受我加她好友,然后我给她发个红包,这样我就可以买到一支25元的眼药膏。那姑娘鄙夷地看了我一眼,说‘如果每个人都像你这样,我一天要加多少好友啊?钱包提现还要手续费的’。”张峰回忆说,不过,时至今日,那家医院早已开通了支付宝付款功能,而路边收停车费的老大爷也拿上了“掌上智能收费机”。
前一阵子路过那个停车场,老大爷对张峰说,老板给他用这个,一是为了避免高峰期间来不及收费等尴尬,二是避免他接触现金,解决乱收费、截扣停车费的问题。而对他本人的好处,就是再也不需要准备一大把零钱了。
的确,无现金社会越来越多地被提及,甚至已经开始有人进行倒计时。
不过,在这样的大环境下,也有一批人在“逆势而行”,拒绝甚至厌恶移动支付。
拒绝者:安全在裸奔
无现金社会,在去年成为一个热词。支付宝和微信支付甚至分别推出了“无现金城市周”和“无现金日”,让这一概念变得如日中天。
所谓无现金社会,概言之,就是移动支付社会。这个概念的兴起,代表了中国移动支付市场开始向纵深推进,从商业交易到公共事务,从线上场景到线下场景。
纵使如此,对于一些拒绝移动支付的人来说,他们的理由也比较充分。比如郭涛,安全问题是他拒绝移动支付的主要原因。
近年来,移动支付在快速发展、改进用户体验、便利群众的同时,其风险也随之发生新的变化和转移。
“有人的地方就有江湖,有钱的地方就有诈骗。”这是作为计算机高级网络安全研究员蒋兴鹏的体会。
随着移动支付市场的不断扩大,一些不法分子逐渐将黑手伸向移动支付用户。其作案手段专业化、团伙化,通过网络的联系,甚至一些素未谋面的不法分子也可以分工协作,逐渐形成黑色产业链。
拖库、洗库、撞库的“黑客”——这是蒋兴鹏对于移动支付中存在的“互联网幽灵”的表述。
“近年来,国内关于用户隐私信息被窃取的事件时有发生。网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势,越来越多的网络黑产分子通过拖库、撞库盗取用户个人信息,给网民造成了金融资产和个人信息安全等多方面的危害。”蒋兴鹏说,在这些泄露的信息中,最容易被网络黑产集团利用牟利的就是个人姓名、手机号码、身份证号码和银行卡号,这是直接关系账户安全的四个要素。这些信息大多会被出售给黑市中的诈骗团伙和营销团伙,用来进行诈骗和恶意营销,“黑客通过入侵有价值的网络站点,盗走用户数据库,这个过程在地下产业术语里被称为拖库。
蒋兴鹏说,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客获得用户在多个平台的账号密码。最后,黑产人员还会把多个不同类型的数据库整合成“社工库”。随着“社工库”的日益完善,大量网络用户的隐私信息、上网行为以及与个人金融财产安全相关的数据被重新整合,多维度的海量信息让有强针对性的精准式诈骗场景频现。
核心问题:技术之痛
除此之外,还有移动支付安全的技术安全问题。
今年以来,通过社交网络平台、欺诈App软件、恶意二维码等进行诈骗的案件频发,移动支付安全已经成为用户最担心的问题之一。去年,银联累计协助公安机关查办案件3.18万件,其中涉及银行卡约92.36万张,金额4582亿元。
“技术问题是存在安全隐患的重要原因。”清华大学数据科学研究院二维码安全中心副主任沈维说,“扫码支付的二维码码制有国家标准,目前我们使用的QR码是国际标准,也是我国的国家标准。技术上虽然已经有了国家标准,但二维码在应用上还没有相应的规范。公开的二维码无人监管,且支付前的二维码管理缺失,而监管缺位的原因在于缺少技术手段。
“手机木马病毒是移动支付环境中最大的毒瘤,其中支付类病毒行为中占比比较多的为执行反射,也就是黑客为了逃避反编译,通过某种隐藏方式来调用某些API接口的行为模式。其次是隐私数据也就是手机信息上传占比比较多。同时,许多支付类病毒还会静默联网、静默删除和发送短信,主要是将用户的验证码信息转发到另一终端,从而实现银行卡的盗刷。”蒋兴鹏说,另外,钓鱼网站也是网络黑产窃取用户信息的一个惯用手段。所谓钓鱼网站即域名和页面都和正常网站非常相似的假网站,通常会模仿银行或者电信运营商的官方网站,诱导用户在钓鱼网站上输入个人信息。
近日,某私营企业负责人陈安在不法分子迷惑下泄露了自己的某支付机构付款码,对方指示将付款条码上的数字发过去,之后陈安的支付账户立刻被划走499元。陈安说,找客服投诉后,支付机构只说后台审核,如果对方账户存在风险,会采取冻结账户的手段。“但现在几个月过去了,不仅对方账户没有冻结,被骗的欠款也没能要回来”。
“二维码犯罪隐蔽性强、传染性快,但电子证据获存困难,相关规定不健全,维权成本高。制作和发布的实施主体和责任承担主体难以明确锁定,增加了诉讼的不确定因素。”北京律师左胜高认为。
一位网络安全从业人员称,近年来涉及二维码的案件很多,其中包括非法获取公民信息、诈骗、盗刷等。对于像二维码这样的新兴技术在多领域的应用,相关监督管理部门还未出台较为有效的规章和监管机制。
对此,银联近日发布一则安全提示称,随着经济领域犯罪活动日益复杂,金融支付违法犯罪活动层出不穷,并呈现出技术含量高、传播速度快、跨境跨网络实施等新特点。为防范各类新型欺诈手法,消费者需要做好安全防范,养成谨慎上网、磁条卡要换“芯”以及认真看签购单等好习惯。
