誰動了我的支付寶？

史兆琨

上海的余小姐經營著一個鋁合金門窗店鋪，一次為了獲取業務信息，掃了一下“客戶”提供的二維碼?？稍趻咄瓴坏?個小時，余小姐的支付寶和一張綁定支付寶的銀行卡共計5000元被轉走。

余小姐第一時間向派出所報案，同時也和支付寶公司取得聯系。支付寶公司的技術人員在分析余小姐的經歷后，認為導致余小姐支付寶賬戶被盜原因系掃“二維碼”惹的禍。

很多人感受到互聯網支付的快捷和方便，從而對網上支付情有獨鐘，他們覺得網上支付可以明顯減少到銀行的往來奔波之苦、可以免除排隊的煩勞；另一方面，一部分人對網上支付退避三舍，不敢輕易嘗試網上支付。經調查分析，不同人群對待網上支付的不同態度在很大程度上是由于他們對網上支付安全擔心程度不同所致。

網絡支付成黑客攻擊“重災區”

網絡支付是在信息時代誕生的一種全新的支付結算方式。網上支付和其它新生事物一起，正悄悄地影響著、改變著人們生活方式和生活態度。任何新生事物剛剛出現的時候，由于人們對其了解甚少，容易產生排斥的心理。隨著時間的推移，隨著對這些新生事物了解的加深，將會逐漸習慣并接受。當前存在的不愿意使用網上支付的現象并不為怪。但是，人們對于網上支付的擔憂折射出網上支付發展中還存在缺陷、人們對網上支付安全的心理準備還不充分。

在線交易系統安全成為黑客攻擊“重災區”。記者日前從2014中國計算機網絡安全年會上獲悉，2013年銀行、證券等行業聯網信息系統的安全漏洞、網站后門、網頁篡改等各類安全事件超過500起，存在交易信息被篡改、投資信息被泄露等諸多高危風險。現階段的支付風險主要存在于：

支付密碼泄漏。一旦攻擊者通過某種方式得到支付密碼，可以輕易地冒充持卡人通過互聯網進行消費，給持卡人帶來損失。這是人們對網上支付安全的主要擔心所在。

支付數據被篡改。在缺乏必要的安全防范措施情況下，攻擊者可以通過修改互聯網傳輸中的支付數據。譬如，攻擊者可以修改付款銀行卡號、修改支付金額、修改收款人帳號等，達到謀利目的并制造互聯網支付事件。

否認支付。網上支付是一個通過商業銀行提供的網上結算服務將資金從付款人賬戶劃撥到收款人賬戶的過程。對于資金劃出操作，若付款人否認發出資金劃出指令，商業銀行將處于被動局面；對于資金劃入操作，若商業銀行否認資金劃入操作，收款人將處于不利境地。

與此同時，地方政府網站也正面臨安全考驗。據國家互聯網應急中心監測發現，2013年，我國境內被篡改網站數量為24034個，其中政府網站被篡改數量為2430個；我國境內被植入后門的網站數量為76160個，其中政府網站2425個。

隨著互聯網和金融行業的深度融合，以余額寶、現金寶、理財通等為代表的互聯網金融產品市場持續升溫，在給人們生活帶來便利的同時也引入新的安全風險。

國家互聯網應急中心監測發現，2013年銀行、證券等行業聯網信息系統的安全漏洞、網站后門、網頁篡改等各類安全事件超過500起，存在交易信息被篡改、投資信息被泄露等諸多高危風險。

“此類互聯網公司通過所運營的在線交易信息系統，掌握大量用戶資金、真實身份、經濟狀況、消費習慣等信息，系統一旦出現安全漏洞，風險會隨之傳導到關聯銀行、證券、電商等其他行業，產生連鎖反應?！眹一ヂ摼W應急中心副主任云曉春說。

“他們在盜取銀行賬號和密碼后，再通過仿冒的相應手機銀行安全插件的惡意程序，截取用戶收到的短信驗證碼，使黑客進一步完成網銀支付、轉賬等交易操作，從而牟利?！眹一ヂ摼W應急中心何能強博士說。

數據顯示，去年釣魚網站數量繼續迅速增長，我國境內網站的釣魚頁面30199個，涉及IP地址4240個，分別較2012年增長35.4%和64.6%。

網絡攻擊手段多樣 防不勝防

降低風險需要根據風險點的不同特征采取不同的風險控制措施。攻擊者通常用哪些手段得到支付密碼呢？

騙取手段。攻擊者可以采用“釣魚”方式達到目的。具體方式有假冒網站、虛假短信（郵件）。這些網站頁面、短信或郵件是他們的“誘餌”。不能識別這些詐騙手段的持卡人容易被攻擊者誘騙，乖乖地向其泄漏自己的銀行卡支付密碼。

支付終端截取。攻擊者可以在持卡人電腦上發布惡意軟件（如木馬軟件）。這些軟件能在持卡人輸入支付密碼時悄無聲息地捕獲，并偷偷地發送出去。

網絡截獲。攻擊者在支付終端和其它網絡設備等節點通過智能識別和密鑰破解手段得到支付密碼。

暴力攻擊。通常支付密碼是由數字和字母組成的一段字串。由于人類記憶能力的限制，該字串不會太長。當前很多發卡行采用6位數字密碼方式。借助于具有強大運算能力的計算機，攻擊者可以采用密碼詞典（密碼詞典包含了0-9數字不同字長的各種數字串組合）方式逐個試探。

其它途徑獲取。攻擊者趁持卡人不注意，在銀行柜臺、ATM或POS終端記下持卡人的支付密碼。

支付密碼泄漏是網上支付案件的主要原因。從上述這些攻擊手段可以看出，我們首先要具有安全意識和基本防范技能。持卡人應注意：

識別假冒網站。持卡人需要確認支付頁面網站域名的真偽。因此，持卡人不妨選擇一家商業銀行或支付平臺作為常用的支付服務商，熟悉其域名，并在支付操作時細心即可。有些商業銀行網上銀行或支付平臺提供了持卡人“預留信息”方式，可以幫助持卡人識別假網站。

虛假短信（郵件）相對假冒網站而言更易于識別。持卡人在收到任何與銀行卡、支付有關的短信后，應確認短信發送者的真實身份或短信內容。

支付密碼能輕易為攻擊者騙取、竊取或破解，更為一個重要的原因是支付密碼本身缺乏一定的防攻擊、防竊取能力。由于密碼通常是字母、數字的簡單組合，屬于低安全強度的保護機制。目前有很多更適合采用的高安全強度的加密機制。如采用數字證書代替或補充支付密碼就是一種有效方式。很多商業銀行的專業版網上支付系統就是采用這種方式。數字證書的使用，大大降低了網上支付事件的數量。因此，持卡人進行網上支付最好選擇使用采用數字證書安全機制的支付方式。endprint

防止支付數據被篡改需要網上支付平臺采用完善的信息安全措施。當前普遍采用數字簽名來保障支付數據不會被篡改。數字簽名在保護數據完整性方面有兩個功能：

首先，能標明支付數據特征值。即便是支付數據的細微差異，數字簽名將產生內容迥異的簽名結果?？梢哉f數字簽名就是支付數據的特征值。因此，一旦支付數據被篡改，通過對支付數據與簽名結果比對，可以輕易識別支付數據是否被人篡改。

其次，能表明特征值是由誰產生的。設想一種情形，倘若攻擊者篡改數據后同時將原簽名結果替換為攻擊者的簽名，比對支付數據和簽名結果時很難發現數據被人篡改。因此，為了識別支付數據究竟是否被修改，還需要驗證支付數據特征值的真實產生方。只有確認特征值是由持卡人產生且特征值與簽名結果匹配才能確認支付數據有效。

國內網絡支付安全總體可控

木馬、病毒、黑客攻擊等風險自互聯網誕生之日起就如影隨形，而網上支付跟錢密切相關，一些不法分子看到有利可圖便千方百計瞄準了這一領域。

中國互聯網絡信息中心提供的一份調查顯示，30.4%的非網上支付用戶是因為感覺不安全、擔心資金被盜而不使用，還有11.8%的非網上支付用戶擔心賬戶信息泄漏。

國務院發展研究中心金融研究所副所長巴曙松認為，經過近10年的發展，國內互聯網支付企業，特別是市場份額較大的主要企業在安全方面的大量基礎投入，使得網上支付的安全技術不斷完善。網上支付的安全技術，諸如控件、UKey、動態口令和證書、釣魚網站的實時攔截等已經比較完善，國內網上支付的安全總體上是可控的。

全球電子支付管理服務提供商CyberSource的數據也顯示，從欺詐率來看，中國網上支付的欺詐率為萬分級，遠低于國際平均水平。

網絡支付目前依然存在四個方面的問題：一是整體產業鏈上安全防范水平參差不齊，持牌的中小第三方支付機構的安全投入有待提高；二是行業安全聯防協作程度有待提高，高風險客戶、商戶、區域、IP地址等黑名單共享方面有待加強；三是重安全技術手段，輕用戶風險教育，用戶的安全感不足，安全防范意識不夠；四是網上支付及電子商務整體行業基礎設施、外部環境管理尚有待加強，業務連續性的保障力有待加大。

網絡支付具有互聯網和金融的雙重特征，風險管理策略跟傳統線下支付有所不同。傳統線下的支付風險管理特點是高進入門檻和日常監控，需要支付介質、面對面交易，所需成本較高，但最可信。而網絡支付是無支付介質的，不可能面對面交易，而且準入門檻較低，在風險管理方面更強調基于行為特征的風險實時監控與風險識別。

“傳統金融機構通過增加交易成本來減少風險損失，這同時也降低了交易成功率。在網絡支付的風控中，效率與安全的平衡至關重要，風險控制不能以犧牲效率和客戶體驗為代價。如果犧牲效率換來安全，產業鏈上的收入無法覆蓋成本，企業和服務很快就會在競爭中被淘汰。”巴曙松表示。

網上支付安全

需多方共同完善

專家認為，對于網上支付安全的管理，監管部門應該從關注中國網絡支付產業的國際競爭力的前瞻性角度進行規劃。網絡支付特別是跨境支付發展到一定階段后，游戲規則及安全要求都會發生變化。華為、中興等中國企業此前就曾被美國眾議院情報委員會認定可能威脅美國國家安全。中國的網絡支付企業是否會遇到、如何避免類似問題，關乎中國企業的國際競爭力。

正視支付安全問題需要從社會效益的角度對網絡支付風險水平有一個客觀認識；積極推進支付企業網絡支付的風險管理及業務創新，參照國際慣例建立一個能充分保障消費者權益的風險承擔機制；同時也希望政府能夠建立一套打擊相關網絡犯罪的有力機制。

相關專家同時建議，全行業都應關注網絡支付的數據信息安全。隨著信息技術的發展，篩選分析、統計利用支付信息的需求和能力將越走越近。支付交易產生或沉淀的數據信息分析將成為網絡支付領域的下一個“金礦”。支付交易信息分析必須嚴格遵循數據信息安全的基本規則，切實保護客戶信息。

國家金融信息中心總經理焦然預測，未來建立在大數據業務基礎之上的信息化金融，將形成一種以信息為主的智慧金融模式。因此，數據業務有可能成為收入的重要來源，掌握和擁有巨大信息流和數據核心技術的企業將面臨更廣闊的機會和重要競爭優勢，這也將為企業的業務創新提供嶄新的發展空間和重要方向。

在享受網絡支付帶來便利的同時，不能忽略其存在的安全漏洞：一方面，需要嚴防身份信息被盜竊或者是泄露；另一方面，盡量只在網絡支付上應用小額支付，避免大額資金被盜取。endprint