一、支付宝快捷支付的概述
回顾电子商务历史,可以发现其初衷就是让用户足不出户、点击鼠标就能买到想要的商品,这一简单动机深远地影响了人民的新生活。网络购物作为电子商务的重要组成部分,在人民的生活中占据着重要的位置。据艾瑞数据显示,2013年第二季度中国网络购物市场交易规模达4371.3亿元,而据国家统计局发布的数据显示,2013年第二季度社会消费品零售总额达6.03万亿元,网络购物在社会消费品零售总额中的占比为7.3%.随着互联网的普及,第三方移动支付市场交易也在日益猛增,第二季度交易规模达1064.1亿元,占有的市场交易份额的比重也在不断的增大,地位逐渐突出。
随着电子商务的不断发展,电商时代的付费方式正在升级换代,中国网上支付市场正加速从1.0的网银时代过渡到2.0的快捷支付时代。作为第三方支付平台的代表---支付宝,也在电子商务支付方式的发展过程中不断的探寻自己的发展出路,试图为用户提供更为简便,快捷,安全的交易服务。第一,支付宝于2004年12月设立,最初主要是作为"第三方"来担保交易。用户的资金支付方式主要是靠支付宝到网上银行页面的跳转,输入用户名,密码,验证码,并通过USB-key或者动态口令牌等硬件设备进行身份认定,完成交易确认,划动资金。这就客观上要求需要在网上购物的用户,必须去银行开通网上银行业务,并且还得掌握繁琐的网上交易流程。第二,为了解决因用户办理网银门槛高,操作复杂等而导致的支付成功率低,用户流失的现象,支付宝与2006年底与建设银行合作推出了---卡通,开通卡通的用户在进行网上购物支付时,只需输入设定的网络交易密码即可支付账款。
但是卡通产品的办理流程和支付流程是分开的,用户若想使用卡通,必须到建设银行申请办理建行与支付宝推出的支付宝龙卡,并提供需要绑定的支付宝账号,设定交易的额度限定。第三,2010年底,支付宝与中国银行,工商银行,建设银行等十家银行联手推出了升级换代产品---快捷支付,将开通流程和支付流程合二为一,最大限度的降低了用户的操作步骤,降低了用户的流失,使得支付的成功率从网银的B2C支付平均支付成功率65%提高到95%,打破了银行下调网银交易额度限制第三方支付平台发展的被动局面。
支付宝快捷支付是指通过移动设备或者网站等途径订购商品的用户,无需开通网上银行和购买U盾等密保设备,在首次使用时,只需输入真实姓名,身份证号,储蓄卡号,银行卡开卡时预留的手机号,手机验证码等相关信息即可开通快捷支付服务,而在以后的使用过程,则只需要直接输入支付宝支付密码和手机动态密码即可便捷、快速的完成支付。
(一)支付宝快捷支付的优点。
支付宝简化了交易流程,提高了用户体验。
1.支付宝快捷支付一次开通、重复使用,并绕开了网银支付的限额。支付宝快捷支付的两种开通方式:一是进入支付宝快捷支付申请页面开通,二是在支付交易的过程中开通。此项业务开通后,再次使用不需要重复首次申请时较为繁琐的身份认证环节。支付宝快捷支付绕开了以上的网银支付限额,快捷支付的限额以开通快捷支付的信用卡的信用额度或者储蓄卡的卡内余额为限。
2.支付宝快捷支付在一定程度上降低了被"钓鱼"和木马攻击的可能性,拥有良好的保障措施。支付宝快捷支付网页跳转次数的减少,大大降低了用户被"木马攻击"和"钓鱼"的风险。用户在使用快捷支付的过程中,支付宝和银行在后台会通过专线进行对用户的信息、手机号码与银行卡拼配,手机动态口令等的严格的校验,用户的交易信息、交易密码、账户信息等重要信息都会被硬件加密,采用特殊线路进行指令的传输。另外,用户因使用快捷支付发生资金损失的,支付宝都将72小时内进行全额赔付,这无疑给予用户较高的安全保障。
3.支付宝快捷支付打破了操作系统的局限,提供多渠道的支付服务。之前的网银支付由于浏览器不兼容、页面跳转等问题,使得网银支付的成功率低,用户流失。而"支付宝"为了解决这些问题,不断研究发展自身技术,使得支付宝快捷支付可以跨操作系统,跨游览器,跨终端使用。支付宝同时在手机客户端、WAP、SMS及语音支付等方面完成布局,在推出客户端的同时,还与终端厂商、银行、移动运营商等进行合作,提供多渠道的支付服务(诸如二维码支付,超级转账等)。
(二)支付宝快捷支付的安全性问题。
支付宝快捷支付在为用户带来简便,快捷支付体验的同时,也给我们带来一些安全性的考虑。
1.支付宝的安全保护措施存在漏洞,用户在支付环节认证强度较弱。支付宝的SSL安全控件虽然能够在一定程度上防止木马侵袭,但是账号和密码仍有很大的被盗风险,因为支付的账户和密码都是静态数据,在验证的过程中需要在计算机的内存和网络中进行传输,很容易被驻留在计算机中的木马病毒或者网络中的窃取设备窃取;支付宝的数字证书的安装也是与手机短信的验证相关联,支付宝只是检验用户输入的验证码与发出的验证码是否一致,而不再进行其他方式的身份验证,极易造成不法分子通过复制SIM或者窃取手机等途径进行验证码的获取;支付宝的手机动态口令对用户而言是重要的安全保护措施,但是在实际运用的过程中也是存在漏洞的,正如支付宝手机动态口令协议中写的,基于短信校验码由电信运营商发送,支付宝不对短信到达的不及时和不准确所产生的任何后果承担责任;支付宝快捷支付对于首次认证较为严格,但是在用户支付环节认证强度较弱。用户只需简单的输入支付密码和手机动态口令即可完成身份认证,由支付宝向银行下达支付指令完成交易,而不再进行其他的身份认证,无法深层次上确定操作者是否为用户本人。从信用卡快捷支付测试上看,京东的快捷支付比支付宝快捷支付多了一个输入卡验证码的步骤,但安全性却大大提高。因为信用卡号很容易被不法分子获取,但是卡验证码在记住后可以销毁。
2.支付宝的移动客户端应用的安全性问题突出。无论在互联网终端还是个人移动终端,支付应用的安全性都需要得到有效保障。在互联网支付领域,支付机构通常用浏览器/服务器(Browser/Service)模式为用户提供支付服务,用户只要正确输入支付应用的网址,即可有效避免钓鱼网站,防止支付账户及密码等敏感信息被盗取。而在移动支付领域,支付应用往往是以应用软件的形式发布在某个应用平台上,用户通过移动互联网从应用平台上将软件下载到个人终端上使用。常见应用发布平台如苹果的AppStore、谷歌的CooglePlayStore对于软件的安全性的审查较为严格,一定程度保障了交易的安全性,但是像苹果园、华军软件联盟、绿色软件园等非官方软件下载平台,一些恶意软件和山寨应用在一定范围内普遍存在,有的软件是挂马的支付宝软件,程序图标和操作流程和官方支付宝软件无异,很容易迷惑用户使用,造成账户和支付密码的泄露。有的软件是具有支付功能的软件,将支付页面跳转至设定的"钓鱼"页面,窃取用户的账号和密码;再者,移动设备的安全性低,很容易被以彩信、邮件等形式感染木马病毒,官方的支付宝软件在移动终端上的安全措施少之又少,对于新开发的二维码支付和超级转账等应用的安全认证也不足,用户在应用支付宝软件进行操作时,很容易造成个人财产的损失。
3.支付宝快捷支付缺乏有效的监管,敏感信息存在泄漏风险。支付宝快捷支付的使用不需要开通网银,其依靠的是支付宝公司与银行的内部专线进行身份的认证、指令的传达以及交易信息的传输,不受网银的自身发展的限制。然而支付宝就法律地位来说属于是非金融支付机构,提供非金融机构支付服务,很少受到银行、银监会和各种安全政策监管,因此支付宝快捷支付的运营受到的外部监管强度弱。基于快捷支付的业务流程,支付宝和商业银行在进行快捷支付签约时,银行将通过银行网点面签获取的客户真实资料和敏感信息发送给支付机构,两者共同完成实名身份核验。在获得海量银行的完整客户和账户信息之后,支付宝如果在未经客户授权的情况下将信息挪作他用或者被不法分子侵入支付宝系统获取,将带来严重的法律风险和用户信息泄露隐患。
二、利用支付宝快捷支付进行盗刷银行卡犯罪的手段
由于支付宝快捷支付的安全性问题尚未有效解决,一些不法分子开始通过各种途径获取被害人的相关信息,然后通过支付宝快捷支付服务进行银行卡资金的盗刷,对持卡人的资金安全构成了极大的威胁。目前的主要犯罪手段有以下几种:
(一)通过使受害人的银行卡与自己掌握的支付宝账号关联窃取银行卡资金。
目前案件中不法分子获取受害人的身份证件、银行卡、手机的途径有以下几种情形:一是通过盗窃手段或者拾得他人的遗失物来获取;二是以招工为谎等欺骗手段获取受害人以上物品;三是利用工作或朋友关系的便利接触或者获得同事或朋友的以上物品。不法分子在获取了以上物品之后,可以重新申请支付宝账号,也可以应用自己已有的支付宝账号,然后进入支付宝快捷支付页面,输入银行卡号码,真实姓名,身份证号,手机动态口令即可完成申请,至此,新申请的支付宝账号就和此银行卡建立起了支付关系。如果是同事、朋友等有机会接触以上物品,而又不愿意被受害人发觉的情况下,那么其在经过以上的操作还不能用此银行卡进行网购,因为购物的系统提醒短信会发到同事、朋友等的手机上。其必须进入支付宝账号,将于支付宝绑定的手机号改成自己的手机号,此时支付宝密码是自己设置的,支付的动态口令和验证码都是发到自己的手机上了,这样就不会被受害人发觉了。
然后不法分子即可使用银行卡内的资金进行消费,或者购买货物后退货,把资金退到支付宝账号,然后再提现,通过以上的途径窃取银行卡资金。
(二)使用受害人的手机或者手机号窃取银行卡资金。
手机绑定支付宝时,有三种情况可能存在隐患:一是被害人在银行预留的手机号已经不用,而后被不法分子申请使用此号码;二是手机或手机卡被不法分子借用或盗用;三是手机号被不法分子挂失补办。不法分子经过以上三种可能获取绑定支付宝快捷支付的手机或手机号码时,即可通过以下三种方式窃取银行卡资金。第一种是被害人的手机号即为支付宝登陆账号或关联登陆账号,不法分子利用计算机网页的形式窃取银行卡资金:第一步,不法分子通过支付宝登录页面输入支付宝账号(即手机号),点击"忘记密码"进入找回密码页面,输入手机号码和验证码,然后选择"手机号码找回".输入手机上的短信验证码,然后设置新的登录密码。第二步,不法分子通过新的登录密码登录支付宝账号,然后选择"找回支付密码",再选择用"用手机号码找回",接收短信输入验证码,然后设置新的支付密码。第三步,点击"安装数字证书",然后输入手机短信上的验证码,安装数字证书。经过以上三个步骤,不法分子即可以选择商品,然后输入新设置的支付密码和手机动态口令就可盗刷银行卡资金,对于被害人未绑定手机号码的情形直接输入新设置的支付密码就可以盗刷银行卡内的资金了;第二种是手机号即为支付宝登陆账号或关联登陆账号,通过支付宝客户端的形式盗窃银行卡资金:不法分子打开支付宝客户端,输入手机号,选择手机找回密码进行密码重置,然后利用新设置的密码登陆进支付宝账号,选择商品,直接输入手机接收的验证码即可盗刷银行卡内资金;第三种是不法分子利用支付宝手机版网页的形式窃取银行卡资金:不法分子可以用获取的手机或手机号码登录支付宝的手机版网页,输入手机号码,然后使用"短信登录"的功能就能登录支付宝,然后通过手机重置支付密码,通过以上的步骤即可窃取卡内资金。此种情形中不法分子不需要知道支付宝账号和密码。
(三)通过木马病毒或者恶意应用程序窃取银行卡资金。
懂黑客技术的不法分子先盗取买家的支付宝账号、密码和支付密码,随后,通过向被害人的手机植入木马病毒窃取动态口令,然后购买游戏点卡、充值卡等虚拟商品并用支付宝快捷支付进行交易,最后交由专人销赃的窃取银行卡资金的"洗宝"犯罪过程。首先,不法分子要先盗取买家的支付宝账号、登陆密码和支付密码:一是不法分子提前通过电子邮件,QQ通讯,挂马链接等向不特定的计算机植入木马病毒(此时的计算机称为"肉机"),专门窃取用户的支付宝账号、登陆密码等相关信息;二是不法分子作为商家与被害人进行交易时,通过通讯软件或者阿里旺旺改价窗口,发送虚假的"钓鱼网站"链接,用户打开网页进行支付时,其交易的账号,密码等信息即被记录窃取;三是不法分子对移动设备的支付宝应用程序进行篡改挂马,并发布在各大手机网站供用户下载,如果用户使用这些程序并进行了支付交易,不法分子即可获得支付宝账号、密码等等信息。其次,不法分子要获取手机的验证码,用来开通支付宝快捷支付或者用于交易口令:一是不法分子可以向手机发送挂马彩信,也可以在各大软件网站发布一些恶意或者挂马的应用程序,用户若下载以上彩信或者程序,手机即被植入木马,木马会检测手机短信中的一些特殊字符(如"支付宝"、"验证码"等),然后将含有这些字符的短信自动发送给不法分子;二是不法分子应用来电随意显软件向被害人的手机拨打电话,冒充支付宝客服或者其他方式骗取被害人手机接收的验证码;三是有些被害人的支付宝登录密码或支付密码和手机的网上营业厅的密码是一致的,不法分子通过之前获取的密码登录网上营业厅,开通短信转移服务,即可获取所需验证码;再次,不法分子经过以上的步骤,即可盗刷银行卡的资金购买容易变现的物品进行销赃,或者购买物品退货,把盗刷的资金退到支付宝账号然后提现。
除了以上三种主要的犯罪手段,近期还出现了通过网络购买或者支付宝内部员工获取用户的个人身份、银行账号等信息,补办SIM卡或者通过SIM卡复制器借机复制SIM卡等等一些新型的犯罪手段,窃取资金后变现迅速或者销赃途径畅通,对广大银行卡持有人的资金安全构成了极大的威胁,打击和防范此类犯罪是目前亟待解决的一个问题。
三、打击和防范对策
利用支付宝快捷支付的安全漏洞,盗刷持卡人银行卡资金的犯罪案件日益高发,犯罪手段日益专业化、科技化,给人民群众的合法财产造成了严重的损害。打击犯罪分子的嚣张气焰,防范此类犯罪的发生,及时挽回或避免财产的损失,需要多方的共同努力才能予以解决。
(一)支付宝平台建立健全风险防控对策。
不法分子在利用支付宝快捷支付进行盗刷银行卡犯罪时,其犯罪实施的过程都是在支付宝平台进行的,其反映着支付宝平台的安全漏洞,同时也会在支付宝平台留下交易信息,注册信息,资金流动信息等相关的信息。因此支付宝平台应当建立健全风险防控机制,构筑打击和预防此类犯罪的第一道屏障。
1.强化用户身份认证机制和完善相关的支付安全措施。针对快捷支付业务中用户名加密码的身份认证方式,建议采用双因子认证机制以增加认证强度。双因子认证(2FA)是指结合密码以及实物(包括手机短信,令牌或指纹等生物标志)两种条件对用户进行认证的方法;对于以信用卡作为快捷支付卡的用户,在支付时增加输入信用卡验证码的认证步骤;现今流行的SAAS(软件即服务)软件应用模式也可以作为支付宝平台安全控件的开发模式;作为支付服务渠道提供方,支付机构与商业银行通信过程中,也应完善有效的安全措施。一方面,支付机构与商业银行双方应对支付指令的数据格式与接口进行规范,保证信息的完整可靠,减少数据二次解析的成本;另一方面,可考虑在支付机构与商业银行专用的数据传输线路上部署硬件加密设备,以保证数据的安全传输,确保大量用户信息的安全保密。
2.完善风险防范系统建设。支付宝平台作为打击和预防利用支付宝快捷支付盗刷银行卡犯罪的第一道屏障:首先,应建立健全支付宝的备忘录制度,记录和保留用户的开户信息,交易信息,交易双方的IP地址,资金流动的账号等等信息。将以上信息进行整合建立支付宝综合信息查询系统,并对公安机关设立网络端口,便于公安机关以权限及时查询;其次,建立严格的内部监管制度,设置专职监察人员,涉及用户信息的重要业务双人操作,职责分离,严格落实保密责任,杜绝用户信息泄露;再次,建立完善的异常可疑交易监控机制,对于一次性大额购入商品,短时间内多次购买小额虚拟商品,短时间内大额购入商品又退货变现的可疑交易进行严密的监控,对于发现的可疑情形可以暂停交易,涉及犯罪的及时移送公安机关。
3.支付应用提供方与发布方之间协作配合。针对快捷支付业务应用与移动智能终端的情况,一些恶意、挂马支付应用软件对用户的账户资金构成了极大的威胁,支付应用的提供方与发布方之间应当加强协作配合,保障应用的安全可信。一方面,应用发布方将具有支付宝快捷支付支付应用软件纳入发布平台之前,应先采取技术手段对支付应用软件进行安全性检测,判断其是否携带木马程序或者程序已经被篡改,还应对应用提供方的合法身份予以鉴别,并保留发布着的身份信息,IP地址等信息;另一方面,支付应用发布方也应根据实际情况,针对手机用户开发并发布基于各类操作系统的安全控件,支付宝平台也要加强移动平台的交易支付方身份认证的强度,保障移动互联网环境下的用户资金安全。
(二)公安机关建立针对性打击对策。
公安机关是打击利用支付宝快捷支付盗窃银行卡资金犯罪的最有力的打击力量,是维护持卡人资金安全的坚强后盾,同时也是挽回经济损失的最后的一道防线。面对不断出现的新型的犯罪手段,公安机关要不断的强化侦办此类犯罪的能力。
1.公安机关的网安部门通过技术手段或者公安机关的经侦部门通过支付宝平台查询系统,对涉案的账户信息、用户身份信息,交易信息,操作方的IP地址等相关信息进行及时的查询和拓展应用。查询涉案的支付宝账号,获取其注册时的身份资料,联系方式等信息,并通过公安机关的户籍信息系统、犯罪前科信息系统等综合查询系统拓展查询,综合获取不法分子的身份信息,户籍信息,犯罪记录等相关信息;查询交易信息,获取交易的资金数额信息,购买的商品信息,收货方的姓名、地址和联系方式等信息。如果商品是虚拟商品(主要为Q币,充值卡等商品)的情形,依据商品的具体的用途进一步查询商品具体的销赃途径(如Q币具体的充值账号,充值卡充值的手机号码等信息)。对于查询到收货方联系方式,可以通过技侦部门查询手机的通讯信息并甄别虚伪,进行话单分析,关联联系人,实时定位;通过网安部门查询操作方的IP地址,对于计算机的IP地址(包括动态和静态的IP地址),公安机关获取后,可以通过网安部门或者"www.ip138.com"、"www.apnic.net"等定位网站进行IP地址的定位查询。对于查获的手机IP地址手机(一般固定的IP地址),公安机关可以借助技侦部门对手机定位,辅助抓捕工作。
2.公安机关建立利用支付宝快捷支付盗刷银行卡的涉案资金快速查询、冻结机制。公安机关对于受害人的举报或者支付宝平台移交的案件,及时的进行侦查,查询涉案的资金情况,分情况进行处理。第一种情况是支付宝平台暂存最为担保的交易资金。不法分子利用盗窃的资金进行购买实物商品时,从商品发货到最终的确认收货会有一定的时间差,公安机关应及时联系支付宝公司冻结涉案资金,通过支付宝客服联系卖家暂停交易并及时退回商品;第二种情形是支付宝账号中的账面资金。有些不法分子利用盗窃的银行卡资金为自己的支付宝账号进行充值,此时公安机关在查获涉案的支付宝账号的基础上,及时联系支付宝公司,请求对涉案账号进行临时冻结,禁止账号内的资金进行交易。第三种情形是盗窃资金转入其他的银行账号。一些不法分子在利用盗窃的银行卡资金进行购物支付货款后,然后申请退款,资金退到支付宝账号,再通过支付宝提现功能把涉案资金转到其他的银行账号。对于这种情形,公安机关及时通过支付宝公司查询资金提现后转移的银行账号,并及时的通过目前已有的警银协作,利用银联JASS系统等对涉案资金进行快速的查询,通过专线下达指令进行冻结。
3.公安机关建立高危人群和高危地区的信息库,协助支付宝平台建立黑名单制度。公安机关要加强利用支付宝快捷进行盗刷银行卡资金的高危人群和高危地区信息库,广泛收集上传、及时更新涉案账户信息,交易信息,资金数额信息,涉案人员信息,银行账户信息等等与案件有关的信息,方便公安机关及时的查询和掌握犯罪信息,研判犯罪动态,掌握案件规律,探索侦查模式,协作侦破案件。公安机关开设端口或者上传高危人员名单,协助支付宝平台对高危人员进行身份鉴别,建立黑名单制度,对于此类人员的账号申请进行限制,并对账户资金流动情况加强监控,发现可疑交易及时鉴别,涉嫌犯罪的及时移送公安机关。
(三)支付宝用户确保资金安全对策。
支付宝用户由于资金安全意识的缺失,防范对策的缺少等等原因,致使不法分子极易利用现有的窃取手段通过支付宝快捷支付盗刷银行卡内的资金,支付宝用户发现账号、资金异常时又不知如何冻结,防范资金流失。因此通过以下资金安全对策,确保支付宝用户资金安全。
1.支付宝用户安全预防对策。对于支付密码不定期的进行修改;避免工资卡或存有大量现金的银行卡开通快捷支付功能;网上购物时,尽量使用具有恶意病毒链接屏蔽功能的阿里旺旺软件,避免使用QQ通讯工具进行交易商谈,避免打开QQ聊天发来的可疑支付链接;避免向其他人员甚至支付宝客服人员(不法分子可利用改号软件冒充客服人员)透漏银行卡信息,账号密码,手机验证码等相关信息;开通支付宝快捷支付功能绑定的手机号码不用时,由于原有绑定并不会因更换或注销而消除,手机用户应及时申请解除绑定服务;避免支付宝登陆账号和手机号码关联,已经关联的可以取消设置;银行卡持卡人最好对绑定快捷支付的银行卡进行限额设定;对于开通网上银行的银行卡,设置"网上支付"限额,间接限定快捷支付限额;对于应用的计算机设备和移动设备及时的进行杀毒;使用支付宝时尽量安装完全支付宝安全措施(包括安全控件、数字证书);可将不经常使用的银行卡内的资金转为定期存款。
2.支付宝用户发现支付宝、银行账户异常情况下防止资金流失对策。用户发现自己的支付宝账号发生异常交易时,可以先通过支付宝登陆页面,输入账号,"三次"输入错误密码进行账户的临时冻结。然后联系支付宝客服确定账户的资金情况,并申请冻结该资金。也可先把绑定支付宝快捷支付的银行卡内的余额取现或转账至其他银行卡,然后联系支付宝客服确认账号的买卖交易情况,申请中止交易;对于发现银行卡账户发现异常资金交易时,开通网银或者电话银行的用户可以事先通过网上银行或电话银行业务"三次"输入错误的密码进行账户和资金的临时冻结,并致电所属银行客服,申请账户一定期限的冻结。
没有开通网银或电话银行的用户最先做的是联系银行客服冻结账户内余额或者进行挂失,然后带有身份证件等资料到银行柜台取现。
