網(wǎng)銀支付的陷阱與防范策略

◆紀(jì) 芳

（遼寧警察學(xué)院公安信息系 遼寧 116036）

網(wǎng)銀支付的陷阱與防范策略

◆紀(jì) 芳

（遼寧警察學(xué)院公安信息系 遼寧 116036）

隨著互聯(lián)網(wǎng)和移動(dòng)終端的發(fā)展，網(wǎng)上交易日漸普及，網(wǎng)銀支付的安全性和個(gè)人信息的保密性受到了嚴(yán)重威脅。本文著重分析了網(wǎng)銀支付存在的安全風(fēng)險(xiǎn)和典型案例，并通過(guò)具體措施和建議來(lái)提高用戶安全防范意識(shí)。

網(wǎng)銀支付；個(gè)人隱私；信息安全

0 引言

截至2016年6月，我國(guó)網(wǎng)民使用網(wǎng)上支付的比例提升至64.1%。網(wǎng)銀支付相比現(xiàn)金支付更加靈活、快捷的特點(diǎn)，逐漸成為最受大眾歡迎的支付方式。隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展和網(wǎng)銀業(yè)務(wù)的普及應(yīng)用，不法分子的詐騙手段也越來(lái)越高明，嚴(yán)重威脅著用戶的財(cái)產(chǎn)安全。因此，保護(hù)網(wǎng)上交易和個(gè)人信息的安全性變得日益重要。

1 網(wǎng)銀支付的概述

1.1 網(wǎng)銀支付的簡(jiǎn)介

網(wǎng)銀支付是一種利用綁定網(wǎng)上銀行賬號(hào)實(shí)現(xiàn)資金即時(shí)交易的支付方式。隨著時(shí)代的變革，電子銀行已不能滿足人們的需求，移動(dòng)支付漸漸普及開來(lái)。2003年10月，支付寶走上歷史舞臺(tái)，是網(wǎng)上支付方式變革的一座里程碑。

1.2 網(wǎng)銀支付的原理

銀行為個(gè)人用戶提供支付結(jié)算服務(wù)的方式是通過(guò)與B2C電子商務(wù)平臺(tái)供應(yīng)商合作，其目的是為全面解決網(wǎng)銀支付的誠(chéng)信與安全問(wèn)題。用戶在開通網(wǎng)上銀行后，將銀行卡綁定在第三方平臺(tái)的個(gè)人賬戶上，并開通快捷支付，在付款時(shí)只需要輸入驗(yàn)證碼或快捷支付密碼即可進(jìn)行在線支付，而不需要以往每次交易時(shí)都輸入銀行卡號(hào)進(jìn)行資金結(jié)算。

2 網(wǎng)銀支付的風(fēng)險(xiǎn)分析

移動(dòng)終端的普及，使不法分子可以利用系統(tǒng)漏洞和隱患進(jìn)行網(wǎng)絡(luò)犯罪，但用戶自身的安全意識(shí)缺失也是網(wǎng)銀支付中比較重要的風(fēng)險(xiǎn)因素。

2.1 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚一般是針對(duì)人們的心理弱點(diǎn)，打著中獎(jiǎng)或是聲稱不立即操作會(huì)產(chǎn)生嚴(yán)重影響的幌子，誘使用戶上當(dāng)受騙。這種低成本、操作簡(jiǎn)單的方式，被很多不法分子所用。常見的方式包括：

（1）授權(quán)支付

“授權(quán)支付”是一種普遍的高危網(wǎng)絡(luò)欺詐方式，不法分子通過(guò)提供虛假釣魚鏈接、付款失敗隨后給予客服咨詢幫助等服務(wù)，誘騙受害者進(jìn)行“網(wǎng)銀授權(quán)支付”，使自己可以對(duì)受害者的網(wǎng)銀賬戶進(jìn)行資金操作，就可以在短時(shí)間內(nèi)將受害者賬戶中的資金迅速轉(zhuǎn)出，造成嚴(yán)重的財(cái)產(chǎn)損失。

案例1：2015年5月，安徽省阜陽(yáng)市發(fā)生的一起金額巨大的授權(quán)詐騙案件中，陳女士在網(wǎng)購(gòu)時(shí)，店主以預(yù)付定金為由給陳女士發(fā)送了一個(gè)“代付鏈接”。陳女士支付后發(fā)現(xiàn)無(wú)法查到交易記錄，店主解釋由于頻繁操作導(dǎo)致系統(tǒng)異常，并告知陳女士立即與訂單處理中心的客服進(jìn)行聯(lián)系。“客服”表示可以通過(guò)網(wǎng)上“簽約授權(quán)”為她恢復(fù)之前操作的訂單，并提供了鏈接。陳女士看到鏈接的網(wǎng)站是銀行官網(wǎng)，便輸入了自己的銀行賬號(hào)和密碼，結(jié)果24秒內(nèi)賬戶里的錢就被轉(zhuǎn)走了。

（2）未知鏈接

利用短信、微信、郵箱等發(fā)送帶有虛假鏈接進(jìn)行詐騙的方式也較為普遍。不法分子利用URL編碼原理，事先建立一個(gè)與真實(shí)網(wǎng)站域名十分相似的虛假網(wǎng)站，假借購(gòu)物網(wǎng)站、銀行官網(wǎng)之名，通過(guò)郵件、群發(fā)短信、微信、互聯(lián)網(wǎng)界面彈出等形式發(fā)送鏈接，根據(jù)人們占便宜的心理，誘導(dǎo)用戶點(diǎn)擊鏈接并進(jìn)入虛假網(wǎng)站，以遠(yuǎn)程遙控的方式指導(dǎo)用戶進(jìn)行相關(guān)操作，以達(dá)到騙取錢財(cái)?shù)哪康摹?/p>

（3）短信驗(yàn)證碼

不法分子根據(jù)用戶愛(ài)占小便宜的心理，群發(fā)積分兌換現(xiàn)金、辦理業(yè)務(wù)等手機(jī)短信，通過(guò)虛假網(wǎng)站誘騙用戶在網(wǎng)頁(yè)的表格里填寫個(gè)人身份信息和銀行賬戶信息；然后，不法分子會(huì)立即在后臺(tái)利用獲取的信息進(jìn)入銀行官網(wǎng)的個(gè)人賬戶中申請(qǐng)轉(zhuǎn)賬；隨后，不法分子再次發(fā)送短信要求用戶填寫驗(yàn)證碼，并利用騙取的驗(yàn)證碼實(shí)施轉(zhuǎn)賬操作，從而順利騙取錢財(cái)。

案例2：2016年上半年，很多手機(jī)用戶收到一條假冒中國(guó)移動(dòng)客服發(fā)送的短信：“您已成功訂購(gòu)中國(guó)移動(dòng)無(wú)線業(yè)務(wù)，標(biāo)準(zhǔn)資費(fèi)100元/月。如需退訂請(qǐng)編輯短信‘HK0E11005****113’到10086?！北砻嫔峡催@是引導(dǎo)手機(jī)用戶編輯短信退訂業(yè)務(wù)，但實(shí)際上是申請(qǐng)換卡的短信。如果用戶按要求發(fā)送了該短信，就會(huì)向中國(guó)移動(dòng)申請(qǐng)換卡，如果在隨后的確認(rèn)短信時(shí)選擇了確認(rèn)，則用戶手中的這張SIM卡將被注銷。不法分子一旦獲得用戶的新手機(jī)卡，可采用“發(fā)送手機(jī)驗(yàn)證碼”的方式找回密碼，任意修改任何綁定該手機(jī)號(hào)碼的網(wǎng)絡(luò)賬號(hào)，隨意盜刷綁定的銀行卡。

（4）公用WiFi

不法分子通過(guò)架設(shè)一個(gè)免費(fèi)的、與某個(gè)公共WiFi熱點(diǎn)同名的WiFi網(wǎng)絡(luò)，利用用戶蹭網(wǎng)的心理，在公共場(chǎng)所進(jìn)行網(wǎng)絡(luò)釣魚。當(dāng)用戶的無(wú)線設(shè)備連接該WiFi后，不法分子的設(shè)備會(huì)對(duì)其進(jìn)行自動(dòng)掃描，竊取用戶移動(dòng)終端中的信息，包括通訊錄、短信、微信、關(guān)聯(lián)的各種賬戶名和密碼，從而實(shí)現(xiàn)網(wǎng)銀盜刷。

2.2 網(wǎng)絡(luò)木馬

（1）網(wǎng)頁(yè)掛馬

不法分子通過(guò)嗅探和掃描，發(fā)現(xiàn)漏洞后修改配置提高自身權(quán)限，將事先編寫好的木馬程序編輯在網(wǎng)頁(yè)文件中，從而達(dá)到篡改網(wǎng)頁(yè)的目的。當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)，瀏覽器會(huì)自動(dòng)下載網(wǎng)頁(yè)的木馬文件，完成配置并激活木馬程序，進(jìn)而竊取用戶的敏感信息。網(wǎng)頁(yè)掛馬通常是與網(wǎng)絡(luò)釣魚相結(jié)合，通過(guò)騙取用戶的信任，誘導(dǎo)用戶登錄掛馬網(wǎng)站，獲取用戶信息，從而獲取利益。

案例3：2015年11月，大連市中山分局網(wǎng)安大隊(duì)民警抓獲冒充銀行和電信運(yùn)營(yíng)商客服號(hào)碼、利用偽基站發(fā)送“積分兌換”詐騙短信的犯罪嫌疑人王某，據(jù)王某交代：他先在網(wǎng)上注冊(cè)并搭建仿冒銀行或電信運(yùn)營(yíng)商的“釣魚網(wǎng)站”，并植入木馬病毒，后攜帶“偽基站”設(shè)備在人員密集區(qū)域流竄，向周圍群眾發(fā)送積分兌換獎(jiǎng)品的詐騙短信。用戶收到詐騙短信后，受騙點(diǎn)擊導(dǎo)致手機(jī)感染木馬病毒。即便網(wǎng)上支付時(shí)需要輸入支付密碼或動(dòng)態(tài)驗(yàn)證碼，不法分子通過(guò)攔截手機(jī)短信的驗(yàn)證碼，就可以完成網(wǎng)銀盜刷、轉(zhuǎn)出支付寶或銀行卡中余額的操作。

（2）微信木馬

隨著智能手機(jī)的普及，微信成為繼QQ、博客、微博之后人們交流的重要媒介。而有些不法分子將木馬病毒植入虛假紅包中，偽裝成普通紅包發(fā)送出去。當(dāng)用戶打開紅包后，顯示的頁(yè)面與正常的頁(yè)面并沒(méi)有太大的區(qū)別，但此時(shí)不法分子就可以利用在紅包中植入的木馬軟件盜取用戶的銀行賬戶和密碼了。還有些不法分子將木馬病毒隱藏在微信二維碼中，一旦用戶進(jìn)行掃描，就可以竊取手機(jī)用戶的內(nèi)部信息。

2.3 非法利用個(gè)人信息

由于黑客技術(shù)的不斷提高，網(wǎng)銀用戶的個(gè)人信息極易被獲取并用于非法途徑，給用戶帶來(lái)很大的安全隱患。有些網(wǎng)站將用戶注冊(cè)時(shí)填寫的身份證號(hào)、住址、手機(jī)號(hào)等個(gè)人信息出售給不法分子謀取利益；有的不良商家用“一元包郵”做噱頭，然后聲稱缺貨再退款，而實(shí)際上是為了套取用戶個(gè)人信息。這些數(shù)據(jù)量巨大的個(gè)人信息被整理成一個(gè)完整龐大的信息庫(kù)，覆蓋姓名、身份證號(hào)、家庭住址、車牌號(hào)、醫(yī)保號(hào)甚至保險(xiǎn)信息等，并在網(wǎng)絡(luò)黑市中售賣，形成了一條從產(chǎn)到銷的隱秘鏈條。

而一旦獲取了用戶的個(gè)人信息，不法分子就能在詐騙電話、短信中直呼用戶姓名、準(zhǔn)確說(shuō)出身份證號(hào)碼等個(gè)人隱私，騙取用戶信任，或通過(guò)辦假證件冒充用戶進(jìn)行資金流轉(zhuǎn)等。

案例4：2015年11月，李女士發(fā)現(xiàn)銀行賬戶少了三萬(wàn)塊錢，詢問(wèn)銀行得知是通過(guò)網(wǎng)上銀行轉(zhuǎn)出的，并且自己的手機(jī)有一段時(shí)間沒(méi)有信號(hào)。這是犯罪嫌疑人通過(guò)偽造的李女士身份證件補(bǔ)辦了一張手機(jī)卡，又通過(guò)手機(jī)驗(yàn)證碼找回了支付寶賬號(hào)的密碼，將綁定的銀行卡中的資金轉(zhuǎn)出。事后發(fā)現(xiàn)，假身份證上的個(gè)人信息如姓名、身份證號(hào)、地址等都是正確的，這就說(shuō)明有不法分子竊取了李女士的個(gè)人信息并在網(wǎng)上販賣。警方隨后在犯罪嫌疑人的家中發(fā)現(xiàn)了數(shù)百?gòu)埣俚纳矸葑C，并在犯罪嫌疑人的電腦桌面上找到了一份列有幾百份包括姓名、地址、手機(jī)號(hào)碼、身份證號(hào)、銀行卡號(hào)等個(gè)人信息的名單。

3 網(wǎng)銀支付詐騙的防范策略

由于網(wǎng)銀支付詐騙對(duì)個(gè)人信息及財(cái)產(chǎn)安全造成的后果十分嚴(yán)重，所以采取必要的防范措施就顯得十分重要。

3.1 提高安全防范意識(shí)

網(wǎng)銀詐騙大多是因?yàn)橛脩糌澬”阋嘶蚴鞘韬龃笠舛尣环ǚ肿拥檬值摹Ｒ虼耍瑧?yīng)注意以下幾點(diǎn)：

（1）不要輕易點(diǎn)擊安全性未知的鏈接。用戶當(dāng)收到交易異常、網(wǎng)購(gòu)?fù)丝?、積分兌換等一些迷惑性信息的鏈接時(shí)應(yīng)提高警惕。面對(duì)彈出的不明鏈接或網(wǎng)址，不要輕易點(diǎn)擊進(jìn)入，更不可輕易下載可疑軟件；不要在這些不安全的網(wǎng)站中輸入自己的個(gè)人信息，例如手機(jī)號(hào)碼、身份證件號(hào)碼、銀行賬號(hào)密碼等。

（2）不要輕易進(jìn)行網(wǎng)上銀行授權(quán)支付操作。網(wǎng)上交易時(shí)，應(yīng)該仔細(xì)分辨、核對(duì)網(wǎng)址，檢查是否是真實(shí)的網(wǎng)站；不要輕易點(diǎn)擊賣家發(fā)送的鏈接或是根據(jù)賣家提示進(jìn)行草率操作；應(yīng)當(dāng)通過(guò)官方渠道聯(lián)系網(wǎng)購(gòu)平臺(tái)的客服，而不要與店家發(fā)來(lái)的客服溝通相關(guān)事宜；購(gòu)物平臺(tái)不會(huì)出現(xiàn)商家所說(shuō)的系統(tǒng)延遲、凍結(jié)訂單等說(shuō)法，這些都是不法分子誘導(dǎo)用戶進(jìn)行授權(quán)支付的借口。

（3）不能隨意透漏短信驗(yàn)證碼。智能手機(jī)的普及，讓不法分子乘虛而入，通過(guò)各種方式騙取持卡人短信驗(yàn)證碼并完成欺詐。這就需要用戶在收到需要回復(fù)驗(yàn)證碼的短信時(shí)進(jìn)行分析辨別，同時(shí)不要將驗(yàn)證碼告訴給任何人。

（4）謹(jǐn)慎連接公用WiFi。建議在公共場(chǎng)合優(yōu)先使用手機(jī)流量上網(wǎng)，在必須連接公用WiFi的情況下，應(yīng)先確認(rèn)是否為安全的網(wǎng)絡(luò)環(huán)境；對(duì)于不用任何密碼即可連接的公用WiFi，更要警惕，盡可能不要連接；連接公共WiFi時(shí)，避免進(jìn)行網(wǎng)上支付等交易，避免輸入身份證件號(hào)碼、手機(jī)號(hào)碼、銀行賬戶密碼等個(gè)人信息。

（5）保護(hù)好自己的個(gè)人信息。不輕易向他人泄露身份證號(hào)、手機(jī)號(hào)碼、銀行賬號(hào)和手機(jī)驗(yàn)證碼等相關(guān)信息；采用大小寫字母、數(shù)字、符號(hào)等較復(fù)雜的組合密碼；盡量不在多個(gè)平臺(tái)或網(wǎng)站中使用同一組用戶名和密碼，避免不法分子通過(guò)撞庫(kù)等方式，獲取更多的有效信息，再有針對(duì)性地對(duì)用戶進(jìn)行詐騙；設(shè)置網(wǎng)銀賬戶單日最高轉(zhuǎn)賬限額，有效避免一次性損失較高的數(shù)額。

此外，要通過(guò)官方下載的軟件或手機(jī)APP進(jìn)行網(wǎng)銀操作；遇到不明短信或電話時(shí)，可通過(guò)撥打銀行客服電話咨詢、到柜面咨詢等，不要相信任何關(guān)于調(diào)整客戶賬戶的詐騙信息和詐騙電話，切記不要進(jìn)行任何賬戶的轉(zhuǎn)帳操作，切實(shí)提高網(wǎng)銀用戶的風(fēng)險(xiǎn)防范意識(shí)。

3.2 提高各電商交易平臺(tái)系統(tǒng)的安全性

為實(shí)現(xiàn)對(duì)網(wǎng)銀用戶隱私信息和交易安全的保護(hù)，各電商平臺(tái)應(yīng)該對(duì)以下幾點(diǎn)進(jìn)行優(yōu)化：

（1）對(duì)網(wǎng)絡(luò)系統(tǒng)及時(shí)進(jìn)行升級(jí)。有必要定時(shí)檢測(cè)并修復(fù)平臺(tái)系統(tǒng)漏洞，及時(shí)更新系統(tǒng)，構(gòu)建安全圍墻以阻止黑客的入侵，進(jìn)一步提高網(wǎng)絡(luò)交易環(huán)境的安全性。

（2）安裝入侵檢測(cè)系統(tǒng)。若當(dāng)前狀態(tài)與系統(tǒng)設(shè)計(jì)者設(shè)置的常態(tài)的偏差到達(dá)一定闕值的時(shí)候，就會(huì)發(fā)出警告，并采用相應(yīng)的應(yīng)急預(yù)案。

（3）采用數(shù)字加密技術(shù)。對(duì)交易信息進(jìn)行數(shù)字加密，防止中途截取，或?qū)π畔⑦M(jìn)行篡改、刪除、泄露、破壞等行為，也可以防止非管理人員對(duì)信息進(jìn)行分析而損害信息終端的使用者。

4 結(jié)論

通過(guò)對(duì)常見網(wǎng)銀支付中存在的詐騙手段進(jìn)行分析，能夠讓用戶認(rèn)識(shí)到其方式和危害以及防范的必要性。雖然網(wǎng)絡(luò)詐騙形式花樣繁多，但更多的是利用了人們占小便宜的心理，因此在進(jìn)行網(wǎng)銀支付時(shí)應(yīng)當(dāng)時(shí)刻提高警惕。

[1]趙彥宏．計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)探析[J]．科技研究，2014．

[2]薛超超．犯罪學(xué)視閾下網(wǎng)絡(luò)犯罪的成因及防治策略[J]．法制與社會(huì)，2015．

[3]林晗．網(wǎng)絡(luò)防釣魚技術(shù)初探[J]．當(dāng)代經(jīng)濟(jì)，2015．

[4]明軒．危險(xiǎn)的公共WiFi[J]．中國(guó)防偽報(bào)道，2015．