網(wǎng)絡(luò)支付中的風(fēng)險(xiǎn)隱患

假冒用戶身份信息

傳統(tǒng)交易支付中，買賣雙方可以在面對(duì)面觀察的過程中確認(rèn)對(duì)方身份的真實(shí)性。但在線交易時(shí)，買賣雙方均相距甚遠(yuǎn)。支付方對(duì)于商家的身份并不知曉，而商家對(duì)于何人支付、資金如何入賬以及網(wǎng)上支付工具是否真實(shí)等亦不確定。這就給某些違法分子利用非面對(duì)面的網(wǎng)絡(luò)交易進(jìn)行欺詐提供了可趁之機(jī)。通常，違法分子會(huì)利用非法手段來攻擊、盜用合法用戶的身份信息，并冒用合法用戶的身份與他人交易，從而獲取非法利益。在此過程中，不法分子對(duì)數(shù)據(jù)信息的竊取、使用，對(duì)于重要資料的修改、刪除，也極大程度地干擾了合法用戶對(duì)于網(wǎng)絡(luò)支付的正常使用。

遭遇“網(wǎng)絡(luò)釣魚”

某些違法分子會(huì)利用用戶安全意識(shí)較為薄弱的漏洞，采用虛假網(wǎng)站、虛假網(wǎng)絡(luò)支付界面等“釣魚”手段，來竊取用戶的銀行資金信息。一般而言，違法分子會(huì)事先建立一個(gè)虛假的電子商務(wù)網(wǎng)站，并在網(wǎng)站上發(fā)布各類虛假的商品信息。當(dāng)用戶點(diǎn)擊這一網(wǎng)站購(gòu)買商品時(shí)，即會(huì)被鏈接到虛假的銀行支付界面。一旦用戶在該虛假支付界面上輸入銀行卡號(hào)、密碼等信息，這些信息就會(huì)立即被違法分子所竊取。

植入“木馬程序”

除了“網(wǎng)絡(luò)釣魚”之外，“木馬程序”也是網(wǎng)絡(luò)支付中的一項(xiàng)常見風(fēng)險(xiǎn)隱患。違法分子會(huì)利用“木馬程序”等網(wǎng)絡(luò)技術(shù)，來盜取用戶的銀行賬號(hào)、密碼，或者客觀的文件證書。

通常情況下，違法分子會(huì)將“木馬程序”捆綁在一些軟件與程序文件中，并發(fā)布至網(wǎng)站供人下載。用戶一旦下載并安裝了這些帶有“木馬程序”的軟件后，計(jì)算機(jī)即中了木馬病毒。用戶一旦在該臺(tái)計(jì)算機(jī)上登錄自己的網(wǎng)銀，并通過鍵盤輸入銀行賬號(hào)與密碼后，“木馬程序”即會(huì)獲取鍵盤輸入信息，并自動(dòng)通過郵件形式發(fā)送至違法分子郵箱，從而導(dǎo)致客戶的網(wǎng)上銀行賬號(hào)與密碼被竊取。

支付密碼泄露或支付數(shù)據(jù)被篡改

部分用戶安全防范意識(shí)較弱，在設(shè)置銀行卡密碼時(shí)，往往將密碼設(shè)置得過于簡(jiǎn)單或特征過于明顯。譬如，有些網(wǎng)銀用戶習(xí)慣將自己的密碼設(shè)置為出生日期、身份證號(hào)后幾位，或類似于“123456”、“888888”等簡(jiǎn)單數(shù)字。這些設(shè)置過于簡(jiǎn)單的密碼，非但不能起到有效保護(hù)之作用，反而容易被違法分子所竊取。一旦違法分子獲取了用戶的銀行卡號(hào)，其就可以有意識(shí)地破解用戶設(shè)置的密碼，進(jìn)而輕而易舉地進(jìn)入資金賬戶，盜取用戶資金。

此外，在缺乏必要的安全防護(hù)措施的情形下，違法分子可以極為輕松地對(duì)互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)予以篡改。通常，違法分子會(huì)利用各種黑客技術(shù)來篡改銀行卡號(hào)、收款方賬號(hào)以及支付金額等，從而達(dá)到獲取不法利益之目的。

為賬戶資金增添安全屏障的網(wǎng)絡(luò)支付工具

各類網(wǎng)絡(luò)支付安全工具的普及，無疑可以為用戶資金賬戶的安全性增添一道堅(jiān)實(shí)的屏障。用戶利用安全工具來實(shí)現(xiàn)在線交易，不僅可以降低網(wǎng)絡(luò)支付的風(fēng)險(xiǎn)，亦可令支付活動(dòng)更具保障性。當(dāng)前，市場(chǎng)上較為主流的網(wǎng)絡(luò)支付安全工具有以下幾種：

短信驗(yàn)證碼

短信驗(yàn)證碼服務(wù)，是網(wǎng)上銀行為了強(qiáng)化安全技術(shù)手段，保障用戶賬戶安全而推出的一項(xiàng)安全支付工具。所謂短信驗(yàn)證碼，即是銀行等企業(yè)給予用戶某一具有唯一性的憑證，并通過短信內(nèi)容來驗(yàn)證用戶身份。作為一項(xiàng)安全驗(yàn)證活動(dòng)，短信驗(yàn)證碼整合了網(wǎng)上銀行、電話銀行以及手機(jī)短信等相互協(xié)調(diào)互動(dòng)的優(yōu)勢(shì)，從而為網(wǎng)銀用戶的網(wǎng)絡(luò)支付提供安全屏障。

網(wǎng)絡(luò)支付中所使用的短信驗(yàn)證碼服務(wù)大多涉及活期轉(zhuǎn)賬匯款、跨行轉(zhuǎn)賬、批量轉(zhuǎn)賬、向企業(yè)轉(zhuǎn)賬等多種交易類型。網(wǎng)銀用戶開通短信驗(yàn)證碼服務(wù)后，其在使用網(wǎng)絡(luò)支付時(shí)，系統(tǒng)即會(huì)向用戶此前綁定的手機(jī)號(hào)碼發(fā)送短信驗(yàn)證碼，用戶需要在規(guī)定的時(shí)間，如五分鐘以內(nèi)準(zhǔn)確輸入接收到的驗(yàn)證碼，并啟用校驗(yàn)認(rèn)證。當(dāng)前，網(wǎng)絡(luò)支付中還可對(duì)短信驗(yàn)證碼的最低交易限額予以設(shè)定。如果某次在線交易的資金額度大于用戶設(shè)定的短信驗(yàn)證碼限額，系統(tǒng)就會(huì)要求用戶進(jìn)行短信驗(yàn)證。反之，如在線交易的金額小于用戶設(shè)定的短信驗(yàn)證碼限額，系統(tǒng)則不會(huì)要求用戶予以短信驗(yàn)證。

數(shù)字證書

數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證件，但其并非嚴(yán)格意義上的紙質(zhì)證照，而是一個(gè)經(jīng)過證書授權(quán)中心數(shù)字簽名，且包含公開密鑰與公開密鑰擁有者信息的電子文件。除了前述內(nèi)容外，數(shù)字證據(jù)的另一大特點(diǎn)，是其僅在特定時(shí)間段內(nèi)有效。數(shù)字證書可應(yīng)用于網(wǎng)上銀行、網(wǎng)上證券交易、安全站點(diǎn)訪問、網(wǎng)上簽約、網(wǎng)上采購(gòu)等電子商務(wù)、電子交易安全處理活動(dòng)。其得以在電子商務(wù)中的廣泛運(yùn)用，關(guān)鍵在于作為數(shù)字證書核心內(nèi)容的加密技術(shù)，可以對(duì)通過網(wǎng)絡(luò)傳輸?shù)男畔⒂枰詳?shù)字簽名、數(shù)字驗(yàn)證與加密、解密，從而保證網(wǎng)絡(luò)傳輸信息的完整性、秘密性與不可抵賴性。

數(shù)字證書內(nèi)存儲(chǔ)有大量字母與數(shù)字，當(dāng)需要應(yīng)用其進(jìn)行身份認(rèn)證時(shí)，數(shù)字證書即會(huì)隨機(jī)生成128位各不相同的身份碼。這如同密碼般極為復(fù)雜，且各不相同的身份碼，可以有效保障網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩浴Ｓ脩羧绻褂昧藬?shù)字證書這一網(wǎng)絡(luò)支付安全工具，即使其發(fā)送的信息在網(wǎng)絡(luò)上被違法分子所截獲，甚至造成個(gè)人銀行賬戶、密碼等信息丟失，數(shù)字證書仍可以保證用戶的個(gè)人賬戶與資金安全。簡(jiǎn)單來說，用戶在其電腦或手機(jī)上安裝數(shù)字證書后，即使其網(wǎng)絡(luò)支付密碼被盜，違法分子也只能在用戶先前安裝有數(shù)字證書的設(shè)備上才能支付，從而有效保障用戶的賬戶資金安全。

動(dòng)態(tài)口令

動(dòng)態(tài)口令是根據(jù)特定算法而生成的隨機(jī)數(shù)字組合，該口令僅可使用一次，且具有不可預(yù)測(cè)性。根據(jù)這一特點(diǎn)，動(dòng)態(tài)口令也已成為網(wǎng)絡(luò)支付中的一項(xiàng)重要身份認(rèn)證技術(shù)。當(dāng)前，網(wǎng)絡(luò)支付中使用較多的動(dòng)態(tài)口令，主要有動(dòng)態(tài)口令卡與動(dòng)態(tài)口令牌。

動(dòng)態(tài)口令卡是類似于銀行卡片大小的網(wǎng)銀安全工具。卡片背面有橫向、縱向坐標(biāo)，以矩陣形式印有80個(gè)字符串。用戶申領(lǐng)的新卡，在動(dòng)態(tài)口令卡背面均有保護(hù)覆膜覆蓋。當(dāng)用戶使用動(dòng)態(tài)口令卡進(jìn)行網(wǎng)上交易支付時(shí)，網(wǎng)上銀行系統(tǒng)會(huì)隨機(jī)跳出一組坐標(biāo)，用戶必須從卡片中找到對(duì)應(yīng)坐標(biāo)，并準(zhǔn)確輸入坐標(biāo)內(nèi)的字符組合，才可完成網(wǎng)絡(luò)支付。這一動(dòng)態(tài)密碼組合只能使用一次，一旦交易結(jié)束后即失效，能夠防止交易密碼被違法分子所盜取。

動(dòng)態(tài)口令牌從技術(shù)角度劃分存在多種形式，而當(dāng)前最為主流的則是基于時(shí)間同步的動(dòng)態(tài)口令硬件令牌。該安全工具與服務(wù)器的時(shí)間同步，通過特定算法來生成相互一致的六位或八位數(shù)字的動(dòng)態(tài)口令。其一般每60秒鐘更換一次新口令，且口令僅為一次有效。該同步技術(shù)的關(guān)鍵在于國(guó)際標(biāo)準(zhǔn)時(shí)間，這要求服務(wù)器與令牌必須保持嚴(yán)格同步，以確保動(dòng)態(tài)口令牌的正常使用。因而，在實(shí)際使用過程中，用戶對(duì)于基于時(shí)間同步的動(dòng)態(tài)口令牌的保護(hù)也就顯得尤為重要。一方面，用戶在使用時(shí)，應(yīng)當(dāng)避免在高溫、高壓、震動(dòng)、磁場(chǎng)、水浸等環(huán)境下使用動(dòng)態(tài)口令牌，以防其時(shí)鐘脈沖受損。另一方面，用戶應(yīng)保護(hù)好動(dòng)態(tài)口令牌的系統(tǒng)時(shí)鐘，不隨意更改，以防止時(shí)間同步出現(xiàn)問題。

優(yōu)盾

優(yōu)盾，又稱U盾、USB Key、USB Token，適用于安全級(jí)別較高的用戶在網(wǎng)上交易支付時(shí)使用。優(yōu)盾外形接近于普通優(yōu)盤，其安全性能則如同盾牌一般防護(hù)，因而得名。在網(wǎng)絡(luò)支付中，優(yōu)盾可以保護(hù)用戶網(wǎng)銀資金的安全，并避免虛假網(wǎng)站、黑客以及木馬病毒所帶來的各類風(fēng)險(xiǎn)。

從優(yōu)盾的原理而言，其是一種帶有USB接口的硬件設(shè)備。優(yōu)盾內(nèi)部置有智能芯片或者單片機(jī)，且有一定的儲(chǔ)存空間，可以存放用戶的數(shù)字證書以及私鑰，并可利用優(yōu)盾內(nèi)置的公鑰算法來對(duì)用戶的身份進(jìn)行安全認(rèn)證。從設(shè)計(jì)原理而言，用戶的私鑰并存放于密碼鎖之中。這使得該私鑰無法被其他方式所讀取，進(jìn)而有效保證了用戶身份認(rèn)證的安全系數(shù)。

在使用優(yōu)盾時(shí)，用戶首先需要到相應(yīng)銀行網(wǎng)點(diǎn)申請(qǐng)并辦理優(yōu)盾業(yè)務(wù)。當(dāng)優(yōu)盾第一次在電腦上使用時(shí)，用戶需要下載相應(yīng)網(wǎng)銀控件，并安裝優(yōu)盾驅(qū)動(dòng)程序。隨后，用戶需根據(jù)計(jì)算機(jī)系統(tǒng)的安全提示，下載個(gè)人客戶證書至優(yōu)盾內(nèi)。完成這些操作步驟后，用戶即可利用這一安全工具來保障轉(zhuǎn)賬、繳費(fèi)、匯款等網(wǎng)絡(luò)支付的安全性。

網(wǎng)絡(luò)支付中的安全防范措施

網(wǎng)站信息甄別與核對(duì)

用戶在登錄網(wǎng)站進(jìn)行網(wǎng)上購(gòu)物時(shí)，應(yīng)當(dāng)選擇運(yùn)營(yíng)時(shí)間長(zhǎng)久，且信譽(yù)良好的大型電商網(wǎng)站進(jìn)行購(gòu)物。切勿在某些不明網(wǎng)站或虛假網(wǎng)站上進(jìn)行購(gòu)物，在訪問這些網(wǎng)站時(shí)，應(yīng)當(dāng)仔細(xì)核對(duì)網(wǎng)站的網(wǎng)址，以防進(jìn)入釣魚網(wǎng)站后造成自身的賬號(hào)、密碼以及其他重要信息被違法分子所盜取。

當(dāng)用戶選擇購(gòu)買購(gòu)物網(wǎng)站上的商品后，電商網(wǎng)站會(huì)轉(zhuǎn)入網(wǎng)銀支付界面。用戶在輸入用戶名與密碼，進(jìn)入網(wǎng)上銀行支付頁(yè)面后，應(yīng)當(dāng)仔細(xì)核對(duì)先前由用戶自行設(shè)置的“預(yù)留信息”是否準(zhǔn)確。

謹(jǐn)慎設(shè)置網(wǎng)絡(luò)支付交易密碼

支付密碼，是網(wǎng)絡(luò)支付的一項(xiàng)重要憑證。違法分子在實(shí)施其不法行為時(shí)，往往會(huì)采用各種黑客攻擊手段來獲取這一密碼?，F(xiàn)實(shí)生活中，不少用戶設(shè)置的網(wǎng)絡(luò)支付交易密碼過于簡(jiǎn)單或特征性過于明顯，也給違法分子提供了可趁之機(jī)。因此，為了保障網(wǎng)絡(luò)支付的安全性，應(yīng)當(dāng)謹(jǐn)慎設(shè)置網(wǎng)絡(luò)支付密碼。較為有效且安全的方法則是將密碼設(shè)置為數(shù)字、符號(hào)與字母相互混合的組合，且避免使用手機(jī)號(hào)碼、證件號(hào)碼、出生日期等容易被破解的數(shù)字作為自己的網(wǎng)絡(luò)支付密碼。此外，當(dāng)前不少網(wǎng)絡(luò)支付工具，均設(shè)置有登錄密碼與支付密碼兩項(xiàng)密碼。這一設(shè)計(jì)的初衷即是為了給網(wǎng)絡(luò)支付提供“雙重保險(xiǎn)”。因而，用戶在設(shè)置這些密碼時(shí)，不應(yīng)為了貪圖方便而將登錄密碼與支付密碼設(shè)置為相同的密碼組合，而應(yīng)當(dāng)分別設(shè)置兩個(gè)獨(dú)立的密碼，以增強(qiáng)網(wǎng)絡(luò)支付的安全性。

保證計(jì)算機(jī)與手機(jī)安全

用戶對(duì)經(jīng)常用于網(wǎng)絡(luò)支付的計(jì)算機(jī)或手機(jī)，應(yīng)當(dāng)及時(shí)安裝、更新防病毒軟件和防火墻，并下載安裝最新的瀏覽器、操作系統(tǒng)安全程序和補(bǔ)丁，定期對(duì)計(jì)算機(jī)和手機(jī)進(jìn)行殺毒，以保證網(wǎng)絡(luò)支付環(huán)境的安全性。當(dāng)前，手機(jī)的便捷性，令越來越多人傾向于使用手機(jī)進(jìn)行網(wǎng)絡(luò)支付。但在享受這一便捷的同時(shí)，違法分子也利用偽基站來冒充正規(guī)的電信運(yùn)營(yíng)商，向用戶發(fā)送各類短信鏈接并要求用戶予以下載。但實(shí)際上這些鏈接的背后均是“釣魚網(wǎng)站”，用戶一旦上當(dāng)，即會(huì)造成財(cái)產(chǎn)損失。因而，對(duì)于當(dāng)前計(jì)算機(jī)與手機(jī)安全的保障與維護(hù)，也是網(wǎng)絡(luò)支付中的一項(xiàng)重要安全防范措施。

切勿在公共上網(wǎng)場(chǎng)所、公用WiFi環(huán)境下進(jìn)行網(wǎng)絡(luò)支付

完全開放的公共上網(wǎng)場(chǎng)所以及公用WiFi，極有可能成為違法分子的犯罪工具。用戶在公用網(wǎng)絡(luò)環(huán)境下進(jìn)行網(wǎng)絡(luò)支付所輸入的賬戶、密碼等信息，易被違法分子利用黑客技術(shù)所盜取。此外，公共網(wǎng)絡(luò)如被違法分子利用后，即使用戶輸入的是正確網(wǎng)址，也會(huì)跳轉(zhuǎn)至違法分子事先設(shè)定好的高仿真虛假網(wǎng)站。用戶如在這一“釣魚網(wǎng)站”上輸入賬號(hào)和密碼，即會(huì)導(dǎo)致自身信息的泄露。因此，用戶在使用網(wǎng)絡(luò)支付之前，應(yīng)當(dāng)確保網(wǎng)絡(luò)環(huán)境的安全性。無論是使用公用電腦，抑或家用電腦，均應(yīng)在網(wǎng)絡(luò)支付之前，開啟防火墻功能，以保障自身的交易安全。

妥善保存自己的網(wǎng)絡(luò)支付安全工具

當(dāng)前，諸如動(dòng)態(tài)口令卡、動(dòng)態(tài)口令牌、優(yōu)盾、電子密碼器等網(wǎng)絡(luò)支付安全工具的引入，無疑有效提升了用戶網(wǎng)絡(luò)支付的安全系數(shù)。因而，用戶在使用這些網(wǎng)絡(luò)支付安全工具時(shí)，應(yīng)當(dāng)妥善保存，切勿將各類網(wǎng)絡(luò)支付安全工具交給其他人員。如果用戶不慎遺失了網(wǎng)絡(luò)支付安全工具，應(yīng)當(dāng)盡快至銀行網(wǎng)點(diǎn)辦理掛失與補(bǔ)辦，以防網(wǎng)絡(luò)支付安全工具被他人所利用，對(duì)用戶自身的賬戶資金安全帶來危害。

欄目主持人：黃靈 yeshzhwu@foxmail.com