淺析移動支付風險及防范對策

蔡永鴻梁睿張傲蕾

【摘要】本文簡要的介紹了移動支付的發展歷程，并從消費者，商家，國家法律三個角度對移動支付的安全問題進行分析，并提出相關建議與具體措施。

【關鍵詞】移動支付 安全風險 解決方法

一、引言

隨著移動互聯網的快速發展以及智能手機的普及，人們通過移動支付來完成消費的行為越來越普遍，移動支付為人們的生活提供了更加便捷與高效的服務，但是在移動支付的過程中存在一定的安全風險。因此，對安全問題研究以及對策分析就顯得尤為重要，其意義有三方面，第一，能夠提高用戶的個人隱私安全，使其得到安全保障。第二，移動支付安全是移動電子商務的生存保障。第三，移動支付安全涉及國家金融安全。為此，本文從實際角度出發，針對移動支付安全問題展開深入的分析，并提出解決的對策，希望能為移動支付的健康發展起到一份微薄的力量。

二、移動支付簡介以及發展現狀

移動支付（Mobile Payment），也稱為手機支付，移動支付論壇（MPF）定義其為，交易雙方為了某種服務或者商品，以移動終端設備為載體，通過移動通信網絡實現的商業網絡交易。這里，支付所使用的移動設備可以是智能手機、計算機、掌上電腦（PDA）等等。移動支付將移動終端設備、智能互聯網、應用軟件開發商以及大型金融機構四種業界相融合，為手機用戶提快捷繳費、便捷轉賬等金融業務。移動支付的特性有移動性、集成性、及時性、定制化等等。移動支付的方式有短信支付、掃碼支付、掃臉支付、聲波支付、指紋支付等等。但大體上分為兩類，近場支付和遠程支付，近場支付常見的有手機刷卡的方式坐公交車、商場購物等。遠程支付有手機支付、電話銀行、網上銀行、郵寄、匯款等方式。

早在1999年，我國就已經在一些省市開始進行移動支付業務試運行工作，但是在2009年之前移動支付發展的較為緩慢，直到2009年后，移動支付才迅速發展起來。到2010年，中國銀聯（China Union Pay）聯合工行、農行、交行、建行等18家大型商業銀行，以及中國聯通公司、中國電信公司兩家電信運營商，以及部分手機開發商，與他們共同成立了“移動支付產業聯盟”。到了2013年，移動支付因春晚的紅包大戰突然開始變得火爆起來，引起了各界廣泛的關注。到了今天，根據比達咨詢（Big Data）發布的《2015年度中國第三方移動支付市場研究報告》顯示，截止到2015年12月，中國手機網民規模已達到6.19億，相比去年增長11.1%，移動支付應用作為移動互聯網經濟和消費的底層，也因此飛速增長，如：京東商城618下單量超過1500萬單，移動端訂單量占比超過60%。阿里巴巴2015年雙11全天交易額突破912.17億，其中移動端交易額為626億元，占比為68%。同時根據中央銀行發布的《2015年支付體系運行總體情況》顯示，2015年移動支付業務138.37億筆，同比增長了205.86%；移動支付金額108.22萬億元，同比增長了379.06%。這足以說明了移動支付產業的規模在日益增大，有著廣闊的前景。

三、移動支付存在的安全問題分析

縱觀歷史，智能手機更新換代的速度極快，幾乎是目不暇接，從最初僅有的通話和短信功能發展到如今的互聯網鏈接和各種應用軟件，智能手機用戶的規模越來越廣，但與此同時，移動支付的安全風險也必然會隨之加大。這里從三個角度來分析安全問題，第一，用戶角度，即手機的支付環境安全問題，日常生活中常見的盜刷技術。第二，商家角度，即商家對用戶信息管理不善，泄露用戶個人信息。三是客觀角度，我國相關的法律法規不夠完善。

（一）手機的支付環境安全問題

1.移動終端自身的安全風險。一方面是手機安全漏洞，這是對手機移動支付的安全最大的威脅，非法分子利用智能手機操作系統自身漏洞，可以在不破壞App數字簽名的情況下，偷窺賬號密碼、盜竊用戶個人隱私、自動播打電話或發短信等違法行為，今年來，手機漏洞事件頻頻發生，但到目前位置并沒有一個統一的漏洞發布與補丁更新機制，于是就造成了當前的尷尬局面。例如去年發現的Stagefright的安全漏洞，通過Stagefright漏洞，黑客只需一條極其簡單的彩信，就能夠完全控制用戶手機，其波及范圍包括從安卓2.2系統到安卓4.0系統，甚至可以避開ASLR的防護，進而侵入Android安卓5.0系統到安卓5.1系統的應用設備，粗略估計影響當前約95%的安卓設備，大約近9億臺安卓設備存在被惡意入侵的危險。Sagefright漏洞影響之大，危害之大，堪稱移動界的“心臟滴血”，它也被稱為“安卓系統漏洞的始祖”。

另一方面，手機自身的基礎網絡風險也是不可忽視的，最常見的是偽基站釣魚網站的詐騙方式，不法分子利用與電信運營商的相同頻率的偽基站點，搜索用戶SIM手機卡信息，然后偽裝成運營發送詐騙短信。推送的詐騙短信中包含著釣魚網站，犯罪分子趁機盜刷手機賬戶資金。根據360發布的《2016年第二季度手機安全狀況報告》顯示，360手機安全衛士為全國的手機用戶攔截各類釣魚網站惡意攻擊已達4.7億次，移動端占360各類安全終端產品攔截釣魚網站總量60.6億次的7.8%。又例如在2016上半年范圍最廣、變種最多、影響最惡劣的“粗口木馬”病毒，同樣的，犯罪分子通過偽基站偽裝成官方號碼，向用戶短信，用戶一旦點擊帶有病毒APK下載的鏈接，就會立即激活“粗口木馬”。該木馬可后臺自動運作，截獲手機用戶的所有短信，并發送到犯罪分子指定的郵箱，以便于詐騙團伙盜取個人隱私和盜刷銀行卡等犯罪行為。

2.移動終端應用軟件App的安全風險。如今手機應用軟件App種類繁多，數不勝數，但App作為第三方應用，它的開發者和開發過程并沒有相關部門進行監管，只是在進入下載商店時才進行安全性和合法性檢測，如果App中存在病毒，那么這些病毒能夠未經允許私自下載軟件并安裝，竊取銀行賬號及密碼，盜走資金，有時連安全管理軟件也無法分辨。據騰訊發布的《2016年上半年手機安全報告》顯示，2016年上半年安卓病毒包呈爬坡式飛速增長，新增918.25萬個、感染用戶超過2億。其中，支付類病毒最為猖獗，同比增長986.14%，被感染用戶數達1670.33萬，增長45.82%。說明支付病毒已成為增長速度最快、危害最大的“黑暗勢力”。究其原因，用戶如果在此前有過使用電腦的經驗，則防范意識可能會稍好，而目前智能手機的快速普及，使得很多用戶在使用智能手機前并沒有使用電腦的經驗，所以對病毒與木馬的防范意識和能力更弱。

（二）商家對用戶信息管理不善

在商家內部最常出現的情況是，一些工作人員私下把用戶信息賣給其他非法組織，這往往暴露了人員管理是商家移動支付平臺安全管理中比較薄弱的環節這個問題。沒未經過有效的訓練，并且不具有優秀職業習慣和良好職業道德的員工本身，對安全系統也是一種潛在的威脅。因此，工作人員素質和保密觀念是一個不容忽視的問題，無論系統本身有多么完善的保護措施，也難以抵抗內部人員帶來的影響。我國很多大型商家對職工安全教育做的不夠，又缺乏有效的管理和監督機制，有些非法組織買通對手的管理人員，竊取對手的商業機密，甚至破壞對方的系統，這給企業帶來極大的安全隱患。

當然，有時不只是商家內部人員在泄露用戶個人隱私，還包括外部黑客入侵，有些不法分子利用黑客技術，來侵入商家后臺數據庫，致使大量用戶數據隱私泄露。例如2013年12月，繼全球最大中文IT技術社區（CSDN）、天涯社區的用戶數據泄露后，在最為重要的電商領域，也傳出了存在漏洞致使用戶信息泄露的消息，漏洞報告平臺發布漏洞報告稱，支付寶用戶數據大量被泄露，泄露總量達1500萬到2500萬之多，泄露時間不明，數據中只有支付用戶的賬號，但沒有密碼，被用于網絡營銷。已經被卷入的企業有京東商城、支付寶和當當網，其中有些商家否認數據泄露，但這樣也不能掩蓋泄露的事實。習主席曾經說過“沒有網絡安全，就沒有國家安全”，這從另一個角度詮釋了皮之不存毛之焉附的道理，這也說明了支付安全問題已經不僅危及到個人隱私安全，更是已經上升到了國家安全的層次。大型商業企業應當對這個問題引起高度的關注，并且加強對數據的安保措施。

還有一種情況，有些不法分子冒充商家進行注冊來詐騙，由此帶來的安全隱患更大，現在第三方支付平臺的通過實名注冊、采用身份證和銀行卡來進行認證，較之以前的無條件注冊，確實取得了一定進步。但隨著移動支付交易規模的不斷擴大，很難進行面對面認證，而且現在的認證方法很難確定商家的真實身份，這就給詐騙分子利用認證監管缺陷實施欺詐提供了可操作的空間，而且對欺詐的懲罰僅限于警告、賬戶凍結等行為，處罰力度不夠。這不僅要靠國家監督，也同時商家本身也應經常檢查市場中是否有冒充同名商家，才能減少詐騙事件發生的概率。

（三）我國相關的法律法規不夠完善

我國移動支付較國外相比，發展起步比較晚，盡管發展速度很快，但是很多方面還是不夠健全，國外對于移動支付法制方面，早己立法，通過法律來監管移動支付的正常運作。但目前我國還沒有針對移動商務安全的專門法律。雖然已經實施的《非金融機構支付服務管理辦法》、《電子銀行業務管理辦法》、《電子支付指引（第一號）》、《電子銀行安全評估指引》、和《關于規范移動信息服務資費和收費行為的通知》等法律法規。中國人民銀行于2015年12月28日發布《非銀行支付機構網絡支付業務管理辦法》，自2016年7月1日起施行。雖然在這里已對非銀行支付機構明確了相關法律地位，移動支付也有了其存在的法律依據，但是它對移動支付管理的安全性仍值得商榷，投入使用還有待時日。如今，移動支付缺乏一致的被廣泛認可的支付安全相關法律，因為法律的制定是一個反復循環的過程，需在實踐中不斷修正，且法律的實施有一定延遲性，而且法律的實施與移動支付發展的速度極其不匹配，一般只是當問題出現了才進行處罰，而不能對其進行前置管理。所以，如何盡可能地保護用戶移動支付的安全以及合法權益仍是需要長期研究的問題。

除了以上存在的針對用戶的法律問題外，對于國家來說，移動支付最大的問題就是沉淀資金和洗錢的違法行為，這會使得國家遭受巨大的損失。在進行移動支付的過程中，因為在用戶資金與支付的時間之間存在一定的時間差，就會產生沉淀資金，有些機構人員就會考慮使用該資金獲得非法利益，可能出現擅自挪用資金的現象，這就很容易導致金融風險。而且存在洗錢的法律鳳險，因為移動支付本身的具有快捷性特點，就很有可能被一些不法分子用于對非法收益的漂白。針對這一點還需我國移動支付法律完善，才能防止這種損害國家利益的事情發生。

四、移動支付安全問題的解決對策

承接上文三個角度的問題分析，這里也是從這三個角度來分析解決方法，第一，用戶角度，如何提高手機的支付環境安全性能。第二，商家角度，如何使商家內部管理更完善。三是客觀角度，如何加強我國相關的法律法規。

（一）用戶加強手機的安全意識

1.提高用戶移動支付安全意識。要防止被不法分子詐騙，僅僅只提高技術的安全性是遠遠不夠的，還必須從用戶的安全意識著手，用戶的安全意識不提升，再厲害的安全技術也沒有用武之地。如何提高用戶的安全意識呢？第一，利用網絡積極宣傳手機安全知識，如今手機都能夠上網，可以在網絡上加大宣傳力度，同時公布一些關于手機安全的數據，以及近年來發生的較為重大的安全事件，使得手機用戶對于移動支付安全有足夠的警覺性。第二，用戶要養成良好的使用手機的習慣。例如對移動支付涉及的支付密碼、賬戶信息、電子郵箱、手機短信、驗證碼等信息要妥善保管，提高保密性，并且要不定期更換各個賬戶的密碼，保證密碼的安全性。用戶應意識到不是所有的免費Wi-Fi都是安全的，不是方便的App就可以隨手下載使用，不要隨意的掃描二維碼，他們其中或許就隱藏著木馬病毒，給用戶造成不可挽回的損失。所以一定要確認免費Wi-Fi是安全的再上網，一定要從官方網站或App商店下載更新軟件，下載安全手機軟件，以便隨時檢查手機是否存在病毒并及時更新手機系統。第三，手機屬于個人隨身物品，要隨時保管好，不要隨意離身，丟失后應立即召回或掛失，不要去二手手機市場隨便買來歷不明的手機，如果一定要買二手的，一定要保證有安全可靠的來源。

2.加強對移動支付安全技術的研發投入。首先，可以加強研究芯片技術，因為如果要加強手機安全性，則要加強手機本身在加密解密方面的能力，在電腦中支付時常使用的數字證書，SET和SSL協議技術，能夠提供更安全的支付環境。手機要實現則相對困難，但我們可以考慮在手機中使用專業芯片，它的執行速度足夠快，時間足夠短，并且盡可能的不能影響系統中其他程序的運行，也可以大大加快加密解密的執行速度。它的優點是既可以保持安全性，也可以使獲得用戶良好體驗，但它也有也有相應的缺點，如成本高、升級難等。其次可以加強入侵檢測和監控，他們是保障支付安全的關鍵因素之一。在電腦有線網絡環境中，入侵檢測技術比較成熟，但要將它應用到Wi-Fi中，仍有些難題有待解決，例如如何判斷某一無線網絡信號是合法行為還是非法行為等。我們可以加強對無線網絡Wi-Fi的監控，監測無線網絡的使用情況和用戶接入個人信息，一旦用戶受到病毒攻擊或非法接入，系統可以及時采取有效措施來確保支付安全。

（二）如何使商家內部管理更完善

移動支付是由電子商務發展而來，是通信技術和傳統電子商務的有效結合。從事移動支付技術的人員都是知識分子，既有專業基礎知識，同時還有比較強的操作能力，和支付系統的安全有著直接關系。因此，對于商務系統的參與人員的管理就顯得十分必要。以下列舉了如何管理這些人員的措施：一是要在工作人員的選拔上進行嚴格控制。選拔一些基本品質良好、有相關專業知識、懂得如何管理的人員來任職。二是對上崗人員進行培訓。培訓的內容應包括：基礎理論培訓、專業技術能力實踐和管理技能培訓，以此來提高支付系統人員的整體道德素質，尤其是安全意識方面。三是嚴格遵循交易系統安全運作的基本原則。比如對一些較為重要的業務實行多人負責，使其相互制約，實行激勵保障措施，對舉報的人員予以獎賞；對于安全管理人員，要經常調換其崗位；落實責任制度，安全監管人員不得越權操作，只能在本職責范圍內工作。

對工作人員進行管理后，還應當加強保密措施，尤其是對非授權人員的管理，所以要加強公司的保密工作，同時防止外部黑客的非法入侵。具體措施有如下。一是將保密內容分類，例如可以按照輕重級別不同，分為秘密，機密和絕密三種級別，分別由不同級別的保密人員進行專職管理，級別越高的人管理越高級別的秘密。二是加強保密技術，可以引進外國先進的保密技術，加以改造，并合理運用于本公司中去。但不論用什么方法，都要注重密鑰的管理工作。密鑰管理會涉及到密鑰的產生、分配、更新、儲存和銷毀等方面，管理人員對任何一方面都不能大意。三是最后一點，也是不可忽視的一點，任何電子系統都需要經常定期維護，移動支付系統也是如此。系統管理人員要定期對通信站點、交換機和服務器等設備進行修理維護，借用一些相關軟件來判斷系統是否正常工作。對于系統軟件方面，定期對系統進行優化更新，完成對數據庫系統備份，最好采用雙數據庫系統來保障數據信息的安全性，要對木馬和病毒做好防范工作，通過安裝防火墻和殺毒軟件來增強系統安全性能。

（三）如何加強我國相關的法律法規

目前我國關于移動支付的法律還不夠完善，但令人振奮的是，中國人民銀行于2015年12月28日發布《非銀行支付機構網絡支付業務管理辦法》，自2016年7月1日起施行，這也說明了國家已對移動支付行業有了高度重視，但還是仍然需加強監管力度，完善相關法律法規。我認為具體措施可以有如下這些，首先，最緊要的是完善移動支付的法律法規，通過借鑒參考國際標準并且結合本國實際情況，來制定一些適合我國國情的移動支付安全標準，全國人大會議需通過制定移動電子商務安全領域的法律條文，并完善配套的法律規章和司法解釋，以此不斷完善國內安全領域法律法規。其次，明確監管主體，加強對支付安全的監督管理，由人民銀行和銀監會共同監管移動支付平臺的支付安全，切實發揮商業銀行等機構在監管過程中的作用，同時要求移動支付平臺加入中央銀行反洗錢系統，嚴格監控移動支付平臺的非法交易行為，例如洗錢、欺詐、套現等。一經發現如上違法行為應當報告相關部門，通過移動支付系統嚴格監控并有效制止違法行為，有效實施對移動支付平臺的日常監管。最后，建立備付金制度，加強沉淀資金的管理，我國頒布的《非金融機構支付管理辦法》規定了支付機構的備付金不是機構的自有財產，且不允許私自挪用，可以增加特別針對支付機構的備付金渠道，統一管理備付金的交納和監管，加強對移動支付機構的沉淀資金的管理，防范因支付機構的問題而已引發的金融鳳險。當然，只有靠政府相關部門、電信運營商、金融行業協會以及各類應用軟件運營商共同的努力，才能創建由政府嚴格監控、刑事打擊到移動支付行業能夠自律全方位的安全保護體系，進而改善移動支付的安全環境。

五、結束語

隨著移動支付技術的快速發展，移動支付已經應用在我們生活的各個方面，并帶來巨大的便利，使人們的工作和生活都離不開它。但是由于不法分子的惡意行為，導致我們的支付安全性大為下降，這也使得移動支付安全成為用戶最為關心的問題，但我相信，伴隨著新的安全理論與技術的不斷出現，以及監管機構和參與移動支付的各主體不斷努力的方向，能夠快速提升整個產業鏈的安全水平，完善電子商務相關的法律法規并提升用戶的安全意識，會使得移動支付環境更加安全，從而讓移動支付的用戶能夠有更好的體驗。

參考文獻

[1]古貞.移動電子商務存在的安全問題及對策研究[J].時代金融，2016，27：212-217.

[2]羅再陽.移動支付風險與安全機制分析[J].金融科技時代，2015，4：102-103.

[3]王隆娟，姚孝明，譚毓銀.移動支付安全問題探索[J].信息安全與技術，2015，1：7-9.

[4]李國才.試析移動支付安全性問題[J].電腦編程技巧與維護，2015，24：62-82.