全民進(jìn)入“掃碼”時(shí)代 安全問題如何解決

全民進(jìn)入“掃碼”時(shí)代 安全問題如何解決

打開支付寶或微信，讓商家掃一掃碼，就可以付款；或者消費(fèi)者掃一下商家的二維碼，輸入付款金額，也可以買單。二維碼支付的出現(xiàn)改變了人們的付款方式，但是當(dāng)“二維碼被植入木馬病毒”“莫名其妙被扣款”等安全隱患曝出，對此類網(wǎng)絡(luò)支付的安全使用越來越需要引起人們的警惕。

比銀行卡更易被盜刷

不管是商場超市還是街邊小店，掃碼支付已經(jīng)成為標(biāo)配。上海一家羊肉粉店老板稱，平時(shí)一天營業(yè)額兩千或三千元，差不多一半都來自于掃二維碼支付，不用找零。

與二維碼蓬勃興起相伴的，是不少業(yè)內(nèi)人士的擔(dān)憂：二維碼沒有防偽功能，支付指令驗(yàn)證手段單一，容易被不法之徒利用。事實(shí)上，確實(shí)有不少用戶因二維碼“中招”。

江西贛州的陳女士是一個(gè)網(wǎng)商，她透露，今年5月份，有一個(gè)名叫“深夜里的徘徊”的客戶給她發(fā)信息說要買貨，付款時(shí)，客戶讓陳女士提供一個(gè)二維碼進(jìn)行掃碼支付。而實(shí)際上，這個(gè)二維碼是陳女士的“付款碼”，是陳女士付款給對方。由于搞不清“收款”和“付款”的區(qū)別，陳女士前后給該客戶發(fā)了三次“付款碼”照片。結(jié)果，當(dāng)晚陳女士發(fā)現(xiàn)，自己的銀行卡被盜刷了2300多元錢。

“二維碼支付在2014年初勢頭太猛，而且確實(shí)存在一些安全隱患，再加上那時(shí)候銀聯(lián)和銀行也沒做好準(zhǔn)備，沖擊比較大，所以央行選擇了暫時(shí)叫停?！币晃粊碜缘谌街Ц稒C(jī)構(gòu)的業(yè)內(nèi)人士如是說。

在中國社科院支付清算研究中心主任楊濤看來，二維碼在交易差錯(cuò)處理、糾紛解決機(jī)制等配套規(guī)范并沒有跟上。

支付限額被“分級”

從2014年的一紙禁令，到如今“承認(rèn)其官方地位”，消費(fèi)者最關(guān)心的安全問題究竟有沒有實(shí)質(zhì)性的改變？

金融分析專家表示，目前在安全性方面的要求明顯提高了，“比交易時(shí)要采用三種驗(yàn)證要素——包括消費(fèi)者本人知悉的要素，如靜態(tài)密碼等；消費(fèi)者本人持有并特有的、不可復(fù)制或不可重復(fù)利用的要素，如經(jīng)過安全認(rèn)證的數(shù)字證書、電子簽名、一次性密碼等；消費(fèi)者本人生理特征要素，如指紋等。另外，對交易限額根據(jù)不同的風(fēng)險(xiǎn)防范能力也做了分級。采用不足兩類要素對交易進(jìn)行驗(yàn)證的，為C級，因?yàn)榘踩蕴?，同一客戶單日累?jì)支付金額不超過1000元?！?/p>

此外，在硬件設(shè)備方面也作了規(guī)定，包括支付企業(yè)需遵循客戶實(shí)名制的準(zhǔn)則，支付過程中的條碼生成和受理需遵循一系列操作規(guī)范和移動(dòng)支付技術(shù)安全標(biāo)準(zhǔn)；開展條碼支付業(yè)務(wù)所涉及的業(yè)務(wù)系統(tǒng)、客戶端軟件、受理終端/機(jī)具等，應(yīng)當(dāng)持續(xù)符合監(jiān)管部門及行業(yè)標(biāo)準(zhǔn)要求。

“二維碼支付以軟件的形式通過開放的移動(dòng)互聯(lián)網(wǎng)處理交易，因此安全性低于傳統(tǒng)的銀行卡刷卡交易。在即將出臺的規(guī)范中，最重要的就是要保證支付過程中的安全?！?/p>

對于“掃”或“被掃”兩種掃碼方式，在業(yè)內(nèi)人士看來，仍存在安全隱患。消費(fèi)者掃描商戶二維碼支付，本質(zhì)上是通過二維碼定位商戶第三方支付賬戶，再進(jìn)行轉(zhuǎn)賬操作，此種方式存在缺少防偽功能、指令驗(yàn)證手段單一等問題；而商戶用掃碼槍掃消費(fèi)的付款碼，此時(shí)付款碼就相當(dāng)于銀行卡+密碼，全程無用戶驗(yàn)證，消費(fèi)者權(quán)益容易受到損害。

就像杭州的金先生所言，第一次使用付款碼時(shí)嚇了一跳，商家掃完條碼就直接支付了，他掃了付款碼后，最好是消費(fèi)者收到一個(gè)支付金額的提醒，并且要支付方輸入支付密碼后支付才能完成。

商業(yè)銀行起步較慢

“相對于傳統(tǒng)Ukey等硬件支付方式來說，掃碼支付的安全性的確較弱，但總體風(fēng)險(xiǎn)還屬于可控的范圍，這也是經(jīng)過一段時(shí)間的實(shí)踐慢慢被公眾和監(jiān)管部門接受的原因?！鄙虾Ｊ行畔踩袠I(yè)協(xié)會專委會副主任張威表示。

實(shí)際上，即使監(jiān)管部門未放開掃碼支付，第三方支付公司仍舊變著法地玩，比如微信的“面對面收錢”、每年雙十二支付寶推出的優(yōu)惠活動(dòng)，都引得大爺大媽紛紛搶著使用掃碼支付。

支付行業(yè)場景為王，更多的支付場景代表著更高的用戶黏性、更多的沉淀資金和進(jìn)一步的客戶金融需求。掃碼支付由于其便捷性，成為第三方支付公司擴(kuò)展線下消費(fèi)場景的利器。而在掃碼支付中淪為支付接口的商業(yè)銀行們，自然也沒閑著。

工商銀行率先在北京推出了二維碼支付產(chǎn)品，同支付寶一樣，可以用手機(jī)掃碼支付，也可以由POS機(jī)掃描手機(jī)付款碼支付。據(jù)悉，工行的二維碼支付產(chǎn)品嵌入Token技術(shù)，通過對卡號的變異處理，保護(hù)客戶的資金和信息安全。此前已經(jīng)和ApplePay合作的中國銀聯(lián)，擬把二維碼這一種交互方式充實(shí)到“云閃付”產(chǎn)品系列中，作為非接觸式支付的補(bǔ)充。

掃碼支付是移動(dòng)支付市場即將燃起的又一股熱潮。銀行的風(fēng)控能力和業(yè)務(wù)規(guī)范能力更強(qiáng)，但第三方支付企業(yè)的先發(fā)優(yōu)勢明顯，在初期投入巨大資源進(jìn)行了大量的市場和商家推廣，用戶培育效果明顯。

鏈接：誤點(diǎn)陌生支付鏈怎么辦

日常瀏覽網(wǎng)頁，常會見到曝光釣魚網(wǎng)站、非法鏈接的案例，銀行也時(shí)不時(shí)發(fā)信息提醒注意財(cái)產(chǎn)安全，切勿點(diǎn)擊陌生的鏈接。于是就有人忍不住要問，收到條短信，是熟人發(fā)的，還有鏈接，當(dāng)時(shí)沒有太注意就點(diǎn)了，打開后顯示未知錯(cuò)誤，這才想到會不會是木馬病毒？是不是釣魚網(wǎng)站？個(gè)人財(cái)產(chǎn)就危險(xiǎn)了嗎？今天，我們就從兩個(gè)案例中來看誤點(diǎn)陌生鏈接該怎么辦。

案例一：小蘭收到銀行官方客服發(fā)來的短信，內(nèi)容是：“我行喜訊通知：您賬戶已滿1000積分，可兌換5%的現(xiàn)金，請登錄手機(jī)網(wǎng)查詢兌換，逾期失效。”小蘭確實(shí)有一張?jiān)撔械男庞每ǎ谑橇⒓袋c(diǎn)擊了短信中的鏈接?！爱?dāng)時(shí)頁面也挺逼真的，我想應(yīng)該不會有什么問題，就按照上面的要求，填寫了姓名、卡號、身份證號和取款密碼?！彪S后，手機(jī)接連收到了三條提示短信，他的信用卡被刷了三次，每次2500元，合計(jì)7500元。小蘭立即致電銀行客服凍結(jié)了信用卡，才沒造成進(jìn)一步的損失。隨后，他向公安機(jī)關(guān)報(bào)警求助。

案例二：張先生收到了一條95588發(fā)來的短信，內(nèi)容是：“尊敬的用戶您好，您的工商銀行賬戶積分可兌換1998元現(xiàn)金，請及時(shí)登錄我行網(wǎng)址進(jìn)行兌換，逾期失效?！本o接著，張先生便點(diǎn)開了短信里的鏈接，按照步驟開始操作。當(dāng)操作到最后一步，要求張先生輸入個(gè)人信息包括銀行卡信息時(shí)，張先生突然停住了，“我腦子突然就跳出了之前看過的電信詐騙的新聞，覺得有點(diǎn)不對勁。”為了驗(yàn)證自己的想法，張先生立即打電話給工行的客服進(jìn)行詢問，證實(shí)了銀行沒有搞過類似的活動(dòng)，他收到的短信確實(shí)是詐騙短信。

安全提示：這兩個(gè)例子是最常見的，雖然都點(diǎn)擊了釣魚網(wǎng)站，但是一個(gè)輸入了自己的信用卡信息，一個(gè)最后一步醒悟終止了操作，那結(jié)果也是不同的。由此可見，誤點(diǎn)了陌生的鏈接，只是電信詐騙的大門，并不意味著現(xiàn)在你的財(cái)產(chǎn)就危險(xiǎn)了，如果及時(shí)停止，給手機(jī)殺殺毒，一切都還不晚。當(dāng)你點(diǎn)了陌生鏈接，而又輸入了信用卡的個(gè)人信息時(shí)，才是最危險(xiǎn)的一步，一旦收到消費(fèi)短信，應(yīng)立即致電發(fā)卡行凍結(jié)信用卡，并報(bào)警，減少財(cái)產(chǎn)的進(jìn)一步損失。

此外，銀行積分兌換時(shí)不會進(jìn)行“虛擬扣款”，如短信中提示為支付信息，請高度警惕；如對銀行發(fā)來的相關(guān)短信存在疑問，建議暫不要做任何操作，第一時(shí)間向銀行網(wǎng)點(diǎn)工作人員咨詢。一旦發(fā)現(xiàn)信用卡被盜刷，請立即致電銀行客服熱線凍結(jié)信用卡，并向警方報(bào)案，避免擴(kuò)大損失。