網絡支付的安全防范

網絡支付中的風險隱患

假冒用戶身份信息

傳統交易支付中，買賣雙方可以在面對面觀察的過程中確認對方身份的真實性。但在線交易時，買賣雙方均相距甚遠。支付方對于商家的身份并不知曉，而商家對于何人支付、資金如何入賬以及網上支付工具是否真實等亦不確定。這就給某些違法分子利用非面對面的網絡交易進行欺詐提供了可趁之機。通常，違法分子會利用非法手段來攻擊、盜用合法用戶的身份信息，并冒用合法用戶的身份與他人交易，從而獲取非法利益。在此過程中，不法分子對數據信息的竊取、使用，對于重要資料的修改、刪除，也極大程度地干擾了合法用戶對于網絡支付的正常使用。

遭遇“網絡釣魚”

某些違法分子會利用用戶安全意識較為薄弱的漏洞，采用虛假網站、虛假網絡支付界面等“釣魚”手段，來竊取用戶的銀行資金信息。一般而言，違法分子會事先建立一個虛假的電子商務網站，并在網站上發布各類虛假的商品信息。當用戶點擊這一網站購買商品時，即會被鏈接到虛假的銀行支付界面。一旦用戶在該虛假支付界面上輸入銀行卡號、密碼等信息，這些信息就會立即被違法分子所竊取。

植入“木馬程序”

除了“網絡釣魚”之外，“木馬程序”也是網絡支付中的一項常見風險隱患。違法分子會利用“木馬程序”等網絡技術，來盜取用戶的銀行賬號、密碼，或者客觀的文件證書。

通常情況下，違法分子會將“木馬程序”捆綁在一些軟件與程序文件中，并發布至網站供人下載。用戶一旦下載并安裝了這些帶有“木馬程序”的軟件后，計算機即中了木馬病毒。用戶一旦在該臺計算機上登錄自己的網銀，并通過鍵盤輸入銀行賬號與密碼后，“木馬程序”即會獲取鍵盤輸入信息，并自動通過郵件形式發送至違法分子郵箱，從而導致客戶的網上銀行賬號與密碼被竊取。

支付密碼泄露或支付數據被篡改

部分用戶安全防范意識較弱，在設置銀行卡密碼時，往往將密碼設置得過于簡單或特征過于明顯。譬如，有些網銀用戶習慣將自己的密碼設置為出生日期、身份證號后幾位，或類似于“123456”、“888888”等簡單數字。這些設置過于簡單的密碼，非但不能起到有效保護之作用，反而容易被違法分子所竊取。一旦違法分子獲取了用戶的銀行卡號，其就可以有意識地破解用戶設置的密碼，進而輕而易舉地進入資金賬戶，盜取用戶資金。

此外，在缺乏必要的安全防護措施的情形下，違法分子可以極為輕松地對互聯網傳輸中的支付數據予以篡改。通常，違法分子會利用各種黑客技術來篡改銀行卡號、收款方賬號以及支付金額等，從而達到獲取不法利益之目的。

為賬戶資金增添安全屏障的網絡支付工具

各類網絡支付安全工具的普及，無疑可以為用戶資金賬戶的安全性增添一道堅實的屏障。用戶利用安全工具來實現在線交易，不僅可以降低網絡支付的風險，亦可令支付活動更具保障性。當前，市場上較為主流的網絡支付安全工具有以下幾種：

短信驗證碼

短信驗證碼服務，是網上銀行為了強化安全技術手段，保障用戶賬戶安全而推出的一項安全支付工具。所謂短信驗證碼，即是銀行等企業給予用戶某一具有唯一性的憑證，并通過短信內容來驗證用戶身份。作為一項安全驗證活動，短信驗證碼整合了網上銀行、電話銀行以及手機短信等相互協調互動的優勢，從而為網銀用戶的網絡支付提供安全屏障。

網絡支付中所使用的短信驗證碼服務大多涉及活期轉賬匯款、跨行轉賬、批量轉賬、向企業轉賬等多種交易類型。網銀用戶開通短信驗證碼服務后，其在使用網絡支付時，系統即會向用戶此前綁定的手機號碼發送短信驗證碼，用戶需要在規定的時間，如五分鐘以內準確輸入接收到的驗證碼，并啟用校驗認證。當前，網絡支付中還可對短信驗證碼的最低交易限額予以設定。如果某次在線交易的資金額度大于用戶設定的短信驗證碼限額，系統就會要求用戶進行短信驗證。反之，如在線交易的金額小于用戶設定的短信驗證碼限額，系統則不會要求用戶予以短信驗證。

數字證書

數字證書類似于現實生活中的身份證件，但其并非嚴格意義上的紙質證照，而是一個經過證書授權中心數字簽名，且包含公開密鑰與公開密鑰擁有者信息的電子文件。除了前述內容外，數字證據的另一大特點，是其僅在特定時間段內有效。數字證書可應用于網上銀行、網上證券交易、安全站點訪問、網上簽約、網上采購等電子商務、電子交易安全處理活動。其得以在電子商務中的廣泛運用，關鍵在于作為數字證書核心內容的加密技術，可以對通過網絡傳輸的信息予以數字簽名、數字驗證與加密、解密，從而保證網絡傳輸信息的完整性、秘密性與不可抵賴性。

數字證書內存儲有大量字母與數字，當需要應用其進行身份認證時，數字證書即會隨機生成128位各不相同的身份碼。這如同密碼般極為復雜，且各不相同的身份碼，可以有效保障網上數據傳輸的安全性。用戶如果使用了數字證書這一網絡支付安全工具，即使其發送的信息在網絡上被違法分子所截獲，甚至造成個人銀行賬戶、密碼等信息丟失，數字證書仍可以保證用戶的個人賬戶與資金安全。簡單來說，用戶在其電腦或手機上安裝數字證書后，即使其網絡支付密碼被盜，違法分子也只能在用戶先前安裝有數字證書的設備上才能支付，從而有效保障用戶的賬戶資金安全。

動態口令

動態口令是根據特定算法而生成的隨機數字組合，該口令僅可使用一次，且具有不可預測性。根據這一特點，動態口令也已成為網絡支付中的一項重要身份認證技術。當前，網絡支付中使用較多的動態口令，主要有動態口令卡與動態口令牌。

動態口令卡是類似于銀行卡片大小的網銀安全工具。卡片背面有橫向、縱向坐標，以矩陣形式印有80個字符串。用戶申領的新卡，在動態口令卡背面均有保護覆膜覆蓋。當用戶使用動態口令卡進行網上交易支付時，網上銀行系統會隨機跳出一組坐標，用戶必須從卡片中找到對應坐標，并準確輸入坐標內的字符組合，才可完成網絡支付。這一動態密碼組合只能使用一次，一旦交易結束后即失效，能夠防止交易密碼被違法分子所盜取。

動態口令牌從技術角度劃分存在多種形式，而當前最為主流的則是基于時間同步的動態口令硬件令牌。該安全工具與服務器的時間同步，通過特定算法來生成相互一致的六位或八位數字的動態口令。其一般每60秒鐘更換一次新口令，且口令僅為一次有效。該同步技術的關鍵在于國際標準時間，這要求服務器與令牌必須保持嚴格同步，以確保動態口令牌的正常使用。因而，在實際使用過程中，用戶對于基于時間同步的動態口令牌的保護也就顯得尤為重要。一方面，用戶在使用時，應當避免在高溫、高壓、震動、磁場、水浸等環境下使用動態口令牌，以防其時鐘脈沖受損。另一方面，用戶應保護好動態口令牌的系統時鐘，不隨意更改，以防止時間同步出現問題。

優盾

優盾，又稱U盾、USB Key、USB Token，適用于安全級別較高的用戶在網上交易支付時使用。優盾外形接近于普通優盤，其安全性能則如同盾牌一般防護，因而得名。在網絡支付中，優盾可以保護用戶網銀資金的安全，并避免虛假網站、黑客以及木馬病毒所帶來的各類風險。

從優盾的原理而言，其是一種帶有USB接口的硬件設備。優盾內部置有智能芯片或者單片機，且有一定的儲存空間，可以存放用戶的數字證書以及私鑰，并可利用優盾內置的公鑰算法來對用戶的身份進行安全認證。從設計原理而言，用戶的私鑰并存放于密碼鎖之中。這使得該私鑰無法被其他方式所讀取，進而有效保證了用戶身份認證的安全系數。

在使用優盾時，用戶首先需要到相應銀行網點申請并辦理優盾業務。當優盾第一次在電腦上使用時，用戶需要下載相應網銀控件，并安裝優盾驅動程序。隨后，用戶需根據計算機系統的安全提示，下載個人客戶證書至優盾內。完成這些操作步驟后，用戶即可利用這一安全工具來保障轉賬、繳費、匯款等網絡支付的安全性。

網絡支付中的安全防范措施

網站信息甄別與核對

用戶在登錄網站進行網上購物時，應當選擇運營時間長久，且信譽良好的大型電商網站進行購物。切勿在某些不明網站或虛假網站上進行購物，在訪問這些網站時，應當仔細核對網站的網址，以防進入釣魚網站后造成自身的賬號、密碼以及其他重要信息被違法分子所盜取。

當用戶選擇購買購物網站上的商品后，電商網站會轉入網銀支付界面。用戶在輸入用戶名與密碼，進入網上銀行支付頁面后，應當仔細核對先前由用戶自行設置的“預留信息”是否準確。

謹慎設置網絡支付交易密碼

支付密碼，是網絡支付的一項重要憑證。違法分子在實施其不法行為時，往往會采用各種黑客攻擊手段來獲取這一密碼。現實生活中，不少用戶設置的網絡支付交易密碼過于簡單或特征性過于明顯，也給違法分子提供了可趁之機。因此，為了保障網絡支付的安全性，應當謹慎設置網絡支付密碼。較為有效且安全的方法則是將密碼設置為數字、符號與字母相互混合的組合，且避免使用手機號碼、證件號碼、出生日期等容易被破解的數字作為自己的網絡支付密碼。此外，當前不少網絡支付工具，均設置有登錄密碼與支付密碼兩項密碼。這一設計的初衷即是為了給網絡支付提供“雙重保險”。因而，用戶在設置這些密碼時，不應為了貪圖方便而將登錄密碼與支付密碼設置為相同的密碼組合，而應當分別設置兩個獨立的密碼，以增強網絡支付的安全性。

保證計算機與手機安全

用戶對經常用于網絡支付的計算機或手機，應當及時安裝、更新防病毒軟件和防火墻，并下載安裝最新的瀏覽器、操作系統安全程序和補丁，定期對計算機和手機進行殺毒，以保證網絡支付環境的安全性。當前，手機的便捷性，令越來越多人傾向于使用手機進行網絡支付。但在享受這一便捷的同時，違法分子也利用偽基站來冒充正規的電信運營商，向用戶發送各類短信鏈接并要求用戶予以下載。但實際上這些鏈接的背后均是“釣魚網站”，用戶一旦上當，即會造成財產損失。因而，對于當前計算機與手機安全的保障與維護，也是網絡支付中的一項重要安全防范措施。

切勿在公共上網場所、公用WiFi環境下進行網絡支付

完全開放的公共上網場所以及公用WiFi，極有可能成為違法分子的犯罪工具。用戶在公用網絡環境下進行網絡支付所輸入的賬戶、密碼等信息，易被違法分子利用黑客技術所盜取。此外，公共網絡如被違法分子利用后，即使用戶輸入的是正確網址，也會跳轉至違法分子事先設定好的高仿真虛假網站。用戶如在這一“釣魚網站”上輸入賬號和密碼，即會導致自身信息的泄露。因此，用戶在使用網絡支付之前，應當確保網絡環境的安全性。無論是使用公用電腦，抑或家用電腦，均應在網絡支付之前，開啟防火墻功能，以保障自身的交易安全。

妥善保存自己的網絡支付安全工具

當前，諸如動態口令卡、動態口令牌、優盾、電子密碼器等網絡支付安全工具的引入，無疑有效提升了用戶網絡支付的安全系數。因而，用戶在使用這些網絡支付安全工具時，應當妥善保存，切勿將各類網絡支付安全工具交給其他人員。如果用戶不慎遺失了網絡支付安全工具，應當盡快至銀行網點辦理掛失與補辦，以防網絡支付安全工具被他人所利用，對用戶自身的賬戶資金安全帶來危害。

欄目主持人：黃靈 yeshzhwu@foxmail.com