溫文清
摘 要:移動(dòng)支付作為互聯(lián)網(wǎng)金融發(fā)展的基石,在歷經(jīng)一系列監(jiān)管措施后,最近兩年迎來了快速的規(guī)模擴(kuò)張。在疫情暴發(fā)后,無接觸式的支付方式也被大多數(shù)支付場景所采納,更是擴(kuò)大了移動(dòng)支付的覆蓋面,提高了使用頻率。但不法分子利用技術(shù)漏洞實(shí)施犯罪也給使用者帶來了很多新的支付安全問題。因此,在不斷推動(dòng)移動(dòng)支付發(fā)展的同時(shí),也應(yīng)當(dāng)更加重視支付安全問題。對(duì)場景化移動(dòng)支付行為進(jìn)行分析,以期更好地認(rèn)識(shí)移動(dòng)支付存在的安全問題,從而采取有效對(duì)策進(jìn)行多方面的支付安全審核。
關(guān)鍵詞:移動(dòng)支付;支付安全;對(duì)策
中圖分類號(hào):F832? ? ? ? 文獻(xiàn)標(biāo)志碼:A? ? ? 文章編號(hào):1673-291X(2021)16-0143-03
引言
自2013年互聯(lián)網(wǎng)金融元年,2014年互聯(lián)網(wǎng)金融被李克強(qiáng)總理寫進(jìn)政府報(bào)告開始,移動(dòng)支付作為互聯(lián)網(wǎng)金融發(fā)展的最基礎(chǔ)內(nèi)容,也是得到了各大科技公司、互聯(lián)網(wǎng)金融公司、傳統(tǒng)金融機(jī)構(gòu)的高度重視。各大資本及科技公司也是在不斷布局移動(dòng)支付市場,比如螞蟻金服、財(cái)付通、銀聯(lián)、云閃付等等。移動(dòng)支付的不斷普及,以及使用頻率的提高,讓不法分子看到了違法的可能性,而各種支付方式的推出,也使不法分子有機(jī)可乘。時(shí)至今日,移動(dòng)支付的安全問題也未被徹底解決,隨著電信詐騙的日漸猖獗,網(wǎng)絡(luò)詐騙加上移動(dòng)支付的簡單操作使得越來越多不法分子開始利用移動(dòng)支付實(shí)施詐騙。所以,移動(dòng)支付的安全問題也引發(fā)了各部門的高度重視,在國家的嚴(yán)格監(jiān)管下,第三方支付平臺(tái)積極改善支付環(huán)境,使得支付安全問題得到了極大的改善。通過對(duì)移動(dòng)支付發(fā)生的安全案例,我們認(rèn)真分析出了其中存在的問題,對(duì)支付環(huán)節(jié)做出了嚴(yán)謹(jǐn)?shù)膭澐郑玫搅爽F(xiàn)在移動(dòng)支付存在的支付安全問題,并以此提出相應(yīng)對(duì)策。
一、移動(dòng)支付發(fā)展現(xiàn)狀
自2011年發(fā)放第三方支付牌照開始,至今已發(fā)放272張,最近三年,基本沒有發(fā)放新的第三方支付牌照。根據(jù)公開資料查詢可以發(fā)現(xiàn),現(xiàn)在第三方支付牌照處于暫停發(fā)放階段,并對(duì)之前發(fā)放的牌照進(jìn)行資質(zhì)審核,清理回收,目前存在有效的牌照為237張。第三方支付牌照類型覆蓋廣泛,基本上覆蓋了全部可能應(yīng)用的場景,支付寶、微信支付、銀聯(lián)支付等也是得到了較全面的支付牌照類型,為其龐大的業(yè)務(wù)面及運(yùn)營奠定了法律基礎(chǔ)。
移動(dòng)支付在業(yè)務(wù)量上也在呈現(xiàn)幾何倍數(shù)的爬升,現(xiàn)階段已基本取代了現(xiàn)金支付,支付場景的不斷擴(kuò)大,支付方式的不斷創(chuàng)新也在不斷激發(fā)新的移動(dòng)支付潛能。2019年第三方支付規(guī)模已突破300萬億元,移動(dòng)支付用戶規(guī)模突破7億人,普及程度已處于世界領(lǐng)先水平。2020年初的疫情,也使無接觸式的移動(dòng)支付普及度再度提高,對(duì)日常生活場景及下沉市場的不斷覆蓋,使得移動(dòng)支付的普及率,使用頻率、交易規(guī)模都在增長。從6月9日中國人民銀行發(fā)布的《2020年第一季度支付業(yè)務(wù)統(tǒng)計(jì)數(shù)據(jù)》中可以看到,受疫情影響,銀行賬戶數(shù)量增長緩慢,非現(xiàn)金支付業(yè)務(wù)量小幅下降,而移動(dòng)支付業(yè)務(wù)量繼續(xù)保持增長,雖然在整體的支付規(guī)模上同比下降不少,但在頻率及普及度上有所提升。移動(dòng)支付的便捷性與無接觸式交易,使得在疫情中的場景探索獲得極速發(fā)展。疫情前,政府服務(wù)部門、醫(yī)院以及部分私營場所可能還沒有全部普及網(wǎng)絡(luò)支付功能,但如今幾乎所有需要進(jìn)行支付的場所,都已開通了網(wǎng)絡(luò)支付通道。
在移動(dòng)支付領(lǐng)域中,現(xiàn)在做得最好的三家平臺(tái)分別是支付寶、微信支付、銀聯(lián)商務(wù)。三家平臺(tái)占據(jù)了98%以上的市場規(guī)模,各平臺(tái)的實(shí)力差距明顯,對(duì)市場份額的競爭,也在不斷推動(dòng)著平臺(tái)與行業(yè)的發(fā)展。作為第三方平臺(tái),龐大的資金流量,也給平臺(tái)在技術(shù)、管理、模式上造成了很大壓力。經(jīng)過很多年的行業(yè)摸索,政策監(jiān)管,第三方平臺(tái)管理趨于完善,在各項(xiàng)風(fēng)險(xiǎn)上也控制得很好。支付寶、財(cái)富通在接入銀聯(lián)和網(wǎng)聯(lián)后,也意味著第三方支付平臺(tái)龐大的體量已經(jīng)存在危險(xiǎn),在一定程度上需要進(jìn)行政府干預(yù)。
二、移動(dòng)支付方式解讀
1.掃碼支付。掃碼支付是現(xiàn)在普及度最廣、最受商家歡迎的支付方式之一。二維碼支付業(yè)務(wù)大火的今天,很難想象它曾經(jīng)歷過被叫停,但在監(jiān)管部門的積極應(yīng)對(duì)處理下,二維碼支付業(yè)務(wù)重新上線,并迅速強(qiáng)占線下支付領(lǐng)域。無論是收款還是付款都只需打開掃碼軟件掃描首付款碼,即可完成收付,還同時(shí)支持多人在線支付,快捷高效的方式,吸引了大批商家。掃碼支付較大的問題就是二維碼調(diào)換,身份信息無法準(zhǔn)確識(shí)別。
2.指紋支付。隨著智能手機(jī)的普及,指紋支付作為比較具有獨(dú)特性的身份密碼之一,將指紋與支付融為一體,似乎是很好地解決了支付中盜刷的風(fēng)險(xiǎn)。每次支付都需要驗(yàn)證用戶的指紋,在一定程度上增加了支付風(fēng)險(xiǎn),但手機(jī)硬件的參差不齊,也給指紋支付帶來了不小的風(fēng)險(xiǎn),硬件支持是指紋支付中需要克服的最大問題。
3.密碼支付。密碼支付往往需要驗(yàn)證碼進(jìn)行二次驗(yàn)證,在移動(dòng)終端垃圾軟件不斷增加的今天,密碼也不再變得私密,所以對(duì)于大額支付來說,都需要即時(shí)驗(yàn)證碼進(jìn)行雙重驗(yàn)證才可以完成。在此,當(dāng)不法分子利用移動(dòng)基站攔截了用戶的信息后,盜取賬號(hào)并盜刷賬戶余額也成為可行之道。
4.刷臉支付。刷臉支付是最近兩年第三方支付平臺(tái)在著力布局的市場,借此希望打造一個(gè)不利用終端設(shè)備就可以完成支付的生態(tài)圈,刷臉支付后往往需要賬號(hào)驗(yàn)證,其安全性較高,但刷臉支付的場景布局仍有限,且成本高,需要時(shí)間等待。普及度使用率較低,暫時(shí)未暴露明顯缺陷。
5.其他支付方式。除以上四種普及度、使用率較高的支付方式外,還有語音支付、虹膜支付、NFC接觸式支付等方式,但因?yàn)橛布O(shè)備要求較高,且對(duì)支付環(huán)境、場景有一定要求,暫時(shí)普及度比較低,存在的問題也在被積極解決。
三、移動(dòng)支付存在的安全問題
移動(dòng)支付場景化程度高,支付手段多樣,針對(duì)每一種支付都存在其特定的驗(yàn)證方式,為了提高支付高效性,各大支付平臺(tái)都在簡化支付流程中的不必要手續(xù),例如免密支付、小額免通知等等,在無形中也為不法分子提供了許多犯罪的機(jī)會(huì)。分析移動(dòng)支付與電信詐騙的眾多案例可以發(fā)現(xiàn),許許多多的犯罪手法其特點(diǎn)和漏洞都是相同的,主要的問題有以下幾個(gè)方面。
1.身份識(shí)別問題。傳統(tǒng)的支付交易模式,大多是以“一手交錢、一手交貨”為主。交易過程中,交易雙方可以直面,對(duì)于身份的確認(rèn)來說相對(duì)簡單。而移動(dòng)支付,我們在通過網(wǎng)絡(luò)進(jìn)行交易時(shí)身份確認(rèn)就變得困難許多。很多時(shí)候?qū)τ诰€上的交易來說,交易雙方在交易約談的整個(gè)過程都未曾見面,僅靠簽章或身份證明獲取信任,但對(duì)于不法分子偽造憑證是很簡單的過程。而在線下的掃碼或移動(dòng)支付同樣面臨身份識(shí)別問題,商家與消費(fèi)者都無法在完成支付的幾秒鐘內(nèi)去清晰獲知對(duì)方的身份。在沒有權(quán)威的身份識(shí)別情況下,很容易產(chǎn)生身份冒充、身份抵賴行為,這也就產(chǎn)生了網(wǎng)絡(luò)詐騙,給參與者造成了嚴(yán)重?fù)p失。
2.支付信息造假,被攔截和篡改。移動(dòng)支付主要以移動(dòng)終端設(shè)備為工具進(jìn)行支付,在支付會(huì)產(chǎn)生一系列的授權(quán)信息,不法分子利用計(jì)算機(jī)系統(tǒng)漏洞、木馬病毒、移動(dòng)端虛假授權(quán)對(duì)支付信息進(jìn)行破壞和獲取,從而可以將真實(shí)的信息進(jìn)行偽造,注入虛假信息,篡改交易金額返回給用戶,用戶在不知情的情況下為虛假的授權(quán)信息誤導(dǎo),產(chǎn)生了錯(cuò)誤交易。非法分子利用技術(shù)對(duì)軟硬進(jìn)行攻擊,破壞支付信息的真實(shí)信和完整性,從而誘導(dǎo)使用者進(jìn)行錯(cuò)誤支付。
3.支付信息被抵賴。在傳統(tǒng)的易物支付交易中,交易雙方在支付過程中,通過簽章公證,合同等途徑來訂立支付信息,證明支付信息的合法性和不可抵賴性。在產(chǎn)生交易糾紛時(shí)可以使用自己手中的實(shí)體材料進(jìn)行訴訟,依據(jù)實(shí)體材料的真實(shí)性,可以為自己證明,使抵賴者沒有反駁的證據(jù)。而對(duì)于網(wǎng)絡(luò)支付的信息來說,交易雙方本身的個(gè)人信息真實(shí)性就有待考察,支付的憑證信息更難以鑒定其真實(shí)性。雙方都沒有辦法準(zhǔn)確有效地提供可供法律參考的證據(jù),所以在產(chǎn)生支付糾紛時(shí),極易產(chǎn)生支付信息抵賴行為。
4.支付信息泄露。在21世紀(jì)的今天,數(shù)據(jù)即是財(cái)富,通過大數(shù)據(jù)分析,可以得到許多的有用信息,這也產(chǎn)生了數(shù)據(jù)犯罪。移動(dòng)支付通過互聯(lián)網(wǎng)進(jìn)行,買賣方和交易機(jī)構(gòu)的各項(xiàng)信息都會(huì)存在于服務(wù)器中,這樣也給數(shù)據(jù)犯罪帶來了極大便利。對(duì)于數(shù)據(jù)泄露丑聞,我們已經(jīng)聽過太多,我們的交易數(shù)據(jù)被公開在暗網(wǎng)上拍賣。這也直接造成了支付信息面臨被竊取、監(jiān)聽,而電信詐騙正是通過我們的支付交易信息,對(duì)我們的交易行為進(jìn)行跟蹤,以各種情景代入,獲取消費(fèi)者信息,實(shí)施犯罪。支付信息泄露也是現(xiàn)在移動(dòng)支付面臨的最嚴(yán)重、最棘手的問題。
四、解決移動(dòng)支付安全問題的對(duì)策
1.移動(dòng)設(shè)備設(shè)置獨(dú)立安全芯片。移動(dòng)設(shè)備作為第三方支付的主力軍,移動(dòng)設(shè)備的安全環(huán)境很大程度上決定了支付環(huán)境的安全性。越來越多的廠商開始嘗試在移動(dòng)設(shè)備中增加獨(dú)立的安全芯片,芯片的存儲(chǔ)空間與手機(jī)存儲(chǔ)空間完全獨(dú)立,用于存儲(chǔ),處理支付信息。這樣一來,關(guān)于支付的各方面信息都被存儲(chǔ)在獨(dú)立空間中,其他軟件及授權(quán)無法從移動(dòng)端獲取用戶的個(gè)人支付信息。移動(dòng)設(shè)備作為交易場所的衍生,其對(duì)硬件安全性的要求也格外重要,獨(dú)立的安全芯片不僅可以保障支付、交易信息不被竊取,也保障了個(gè)人信息的安全,很好地防范了移動(dòng)支付犯罪。
2.優(yōu)化軟件安全性能。軟件的各種違規(guī)操作及后臺(tái)自動(dòng)讀取,已經(jīng)嚴(yán)重影響到了用戶的支付安全。第三方支付軟件應(yīng)當(dāng)要提高安全等級(jí),嚴(yán)禁其他軟件讀取交易信息。若在賬號(hào)異地登錄,異常支付,不明支付時(shí)要第一時(shí)間警告,或?qū)o急聯(lián)系人進(jìn)行告知。近年來出現(xiàn)了各種網(wǎng)絡(luò)刷單詐騙、購物返現(xiàn)詐騙、直播亂消費(fèi)的現(xiàn)象,從中可以看出,對(duì)于異常的交易信息,第三方支付平臺(tái)沒有及時(shí)做出預(yù)警以及二次驗(yàn)證操作。筆者建議,第三方支付平臺(tái)可以結(jié)合現(xiàn)在的網(wǎng)絡(luò)支付不良環(huán)境做出相應(yīng)的解決措施,為危險(xiǎn)的支付交易進(jìn)行警告阻止。
3.用戶安全意識(shí)需不斷增強(qiáng)。網(wǎng)絡(luò)支付環(huán)境魚龍混雜,在硬件水平、軟件完善的基礎(chǔ)上,我們更不能掉以輕心,用戶更應(yīng)該提高網(wǎng)絡(luò)安全意識(shí)。首先,我們需要的就是規(guī)范地使用移動(dòng)網(wǎng)絡(luò),不從事違法活動(dòng)。其次,在移動(dòng)設(shè)備使用中,不下載不安全應(yīng)用,不通過不安全授信,對(duì)個(gè)人隱私敏感保護(hù)。然后在支付環(huán)節(jié),要注意支付環(huán)境的安全性,保障個(gè)人隱私,對(duì)大額交易一定要驗(yàn)證對(duì)方身份信息。用戶安全意識(shí)的提升,是打造安全網(wǎng)絡(luò)環(huán)境的重中之重。
結(jié)語
互聯(lián)網(wǎng)發(fā)展下,交易場景也從物物交換變成了虛擬的線上線下交易,隨著現(xiàn)金支付的減少,大家對(duì)支付的安全性也有所降低,這也恰恰給不法分子提供了可乘之機(jī)。移動(dòng)支付在今天乃至以后,都將變得極其重要,所以移動(dòng)支付的安全問題也將是我們必須關(guān)注的熱點(diǎn)問題?;ヂ?lián)網(wǎng)時(shí)代的場景化要求,給了移動(dòng)支付新的活力,同時(shí)也帶來了許多安全問題,我們在著重完善服務(wù)、優(yōu)化體驗(yàn)的同時(shí),更應(yīng)當(dāng)積極地與各方合作去營造一個(gè)安全、高效的移動(dòng)支付環(huán)境。
參考文獻(xiàn):
[1]? 史浩.互聯(lián)網(wǎng)金融支付[M].北京:中國金融出版社,2016.
[2]? 周虹.電子支付與網(wǎng)絡(luò)銀行[M].北京:中國人民大學(xué)出版社,2016.
[3]? 帥青紅.電子支付與安全[M].成都:西南財(cái)經(jīng)大學(xué)出版社,2014.
[4]? 叢硯敏.移動(dòng)金融:支付革命[M].北京:清華大學(xué)出版社,2016.
[5]? 支付百科,移動(dòng)支付這么玩就對(duì)了[M].北京:人民郵電出版社,2016.
[6]? 由曦.螞蟻金服[M].北京:中信出版社,2017.
Analysis of Payment Security Issues under the Rapid Expansion of Mobile Payment
WEN Wen-qing
(Tongling University,Tongling 244061,China)
Abstract:As the cornerstone of the development of Internet finance,mobile payment has ushered in rapid scale expansion in the past two years after a series of regulatory measures.After the outbreak of the epidemic,contactless payment methods have also been adopted in most payment scenarios,which has increased the coverage and frequency of use of mobile payments.However,the use of technical loopholes by criminals has also brought many new payment security issues to users.While we continue to promote the development of mobile payment,we should also pay more attention to payment security issues.Through the analysis of scenario-based mobile payment behavior,we will better understand the security issues of mobile payment and conduct multi-faceted payment security audits.
Key words:mobile payment;payment security;countermeasure