自2013年互联网金融元年,2014年互联网金融被李克强总理写进政府报告开始,移动支付作为互联网金融发展的最基础内容,也是得到了各大科技公司、互联网金融公司、传统金融机构的高度重视。各大资本及科技公司也是在不断布局移动支付市场,比如蚂蚁金服、财付通、银联、云闪付等等。
移动支付的不断普及,以及使用频率的提高,让不法分子看到了违法的可能性,而各种支付方式的推出,也使不法分子有机可乘。时至今日,移动支付的安全问题也未被彻底解决,随着电信诈骗的日渐猖獗,网络诈骗加上移动支付的简单操作使得越来越多不法分子开始利用移动支付实施诈骗。
所以,移动支付的安全问题也引发了各部门的高度重视,在国家的严格监管下,第三方支付平台积极改善支付环境,使得支付安全问题得到了极大的改善。通过对移动支付发生的安全案例,我们认真分析出了其中存在的问题,对支付环节做出了严谨的划分,得到了现在移动支付存在的支付安全问题,并以此提出相应对策。
一、移动支付发展现状
自2011年发放第三方支付牌照开始,至今已发放272张,最近三年,基本没有发放新的第三方支付牌照。根据公开资料查询可以发现,现在第三方支付牌照处于暂停发放阶段,并对之前发放的牌照进行资质审核,清理回收,目前存在有效的牌照为237张。第三方支付牌照类型覆盖广泛,基本上覆盖了全部可能应用的场景,支付宝、微信支付、银联支付等也是得到了较全面的支付牌照类型,为其庞大的业务面及运营奠定了法律基础。
移动支付在业务量上也在呈现几何倍数的爬升,现阶段已基本取代了现金支付,支付场景的不断扩大,支付方式的不断创新也在不断激发新的移动支付潜能。2019年第三方支付规模已突破300万亿元,移动支付用户规模突破7亿人,普及程度已处于世界领先水平。
2020年初的疫情,也使无接触式的移动支付普及度再度提高,对日常生活场景及下沉市场的不断覆盖,使得移动支付的普及率,使用频率、交易规模都在增长。从6月9日中国人民银行发布的《2020年第一季度支付业务统计数据》中可以看到,受疫情影响,银行账户数量增长缓慢,非现金支付业务量小幅下降,而移动支付业务量继续保持增长,虽然在整体的支付规模上同比下降不少,但在频率及普及度上有所提升。移动支付的便捷性与无接触式交易,使得在疫情中的场景探索获得极速发展。疫情前,政府服务部门、医院以及部分私营场所可能还没有全部普及网络支付功能,但如今几乎所有需要进行支付的场所,都已开通了网络支付通道。
在移动支付领域中,现在做得最好的三家平台分别是支付宝、微信支付、银联商务。三家平台占据了98%以上的市场规模,各平台的实力差距明显,对市场份额的竞争,也在不断推动着平台与行业的发展。作为第三方平台,庞大的资金流量,也给平台在技术、管理、模式上造成了很大压力。经过很多年的行业摸索,政策监管,第三方平台管理趋于完善,在各项风险上也控制得很好。支付宝、财富通在接入银联和网联后,也意味着第三方支付平台庞大的体量已经存在危险,在一定程度上需要进行政府干预。
二、移动支付方式解读
1.扫码支付。扫码支付是现在普及度最广、最受商家欢迎的支付方式之一。二维码支付业务大火的今天,很难想象它曾经历过被叫停,但在监管部门的积极应对处理下,二维码支付业务重新上线,并迅速强占线下支付领域。无论是收款还是付款都只需打开扫码软件扫描首付款码,即可完成收付,还同时支持多人在线支付,快捷高效的方式,吸引了大批商家。扫码支付较大的问题就是二维码调换,身份信息无法准确识别。
2.指纹支付。随着智能手机的普及,指纹支付作为比较具有独特性的身份密码之一,将指纹与支付融为一体,似乎是很好地解决了支付中盗刷的风险。每次支付都需要验证用户的指纹,在一定程度上增加了支付风险,但手机硬件的参差不齐,也给指纹支付带来了不小的风险,硬件支持是指纹支付中需要克服的最大问题。
3.密码支付。密码支付往往需要验证码进行二次验证,在移动终端垃圾软件不断增加的今天,密码也不再变得私密,所以对于大额支付来说,都需要即时验证码进行双重验证才可以完成。在此,当不法分子利用移动基站拦截了用户的信息后,盗取账号并盗刷账户余额也成为可行之道。
4.刷脸支付。刷脸支付是最近两年第三方支付平台在着力布局的市场,借此希望打造一个不利用终端设备就可以完成支付的生态圈,刷脸支付后往往需要账号验证,其安全性较高,但刷脸支付的场景布局仍有限,且成本高,需要时间等待。普及度使用率较低,暂时未暴露明显缺陷。
5.其他支付方式。除以上四种普及度、使用率较高的支付方式外,还有语音支付、虹膜支付、NFC接触式支付等方式,但因为硬件设备要求较高,且对支付环境、场景有一定要求,暂时普及度比较低,存在的问题也在被积极解决。
三、移动支付存在的安全问题
移动支付场景化程度高,支付手段多样,针对每一种支付都存在其特定的验证方式,为了提高支付高效性,各大支付平台都在简化支付流程中的不必要手续,例如免密支付、小额免通知等等,在无形中也为不法分子提供了许多犯罪的机会。分析移动支付与电信诈骗的众多案例可以发现,许许多多的犯罪手法其特点和漏洞都是相同的,主要的问题有以下几个方面。
1.身份识别问题。传统的支付交易模式,大多是以“一手交钱、一手交货”为主。交易过程中,交易双方可以直面,对于身份的确认来说相对简单。而移动支付,我们在通过网络进行交易时身份确认就变得困难许多。很多时候对于线上的交易来说,交易双方在交易约谈的整个过程都未曾见面,仅靠签章或身份证明获取信任,但对于不法分子伪造凭证是很简单的过程。而在线下的扫码或移动支付同样面临身份识别问题,商家与消费者都无法在完成支付的几秒钟内去清晰获知对方的身份。在没有权威的身份识别情况下,很容易产生身份冒充、身份抵赖行为,这也就产生了网络诈骗,给参与者造成了严重损失。
2.支付信息造假,被拦截和篡改。移动支付主要以移动终端设备为工具进行支付,在支付会产生一系列的授权信息,不法分子利用计算机系统漏洞、木马病毒、移动端虚假授权对支付信息进行破坏和获取,从而可以将真实的信息进行伪造,注入虚假信息,篡改交易金额返回给用户,用户在不知情的情况下为虚假的授权信息误导,产生了错误交易。非法分子利用技术对软硬进行攻击,破坏支付信息的真实信和完整性,从而诱导使用者进行错误支付。
3.支付信息被抵赖。在传统的易物支付交易中,交易双方在支付过程中,通过签章公证,合同等途径来订立支付信息,证明支付信息的合法性和不可抵赖性。在产生交易纠纷时可以使用自己手中的实体材料进行诉讼,依据实体材料的真实性,可以为自己证明,使抵赖者没有反驳的证据。而对于网络支付的信息来说,交易双方本身的个人信息真实性就有待考察,支付的凭证信息更难以鉴定其真实性。双方都没有办法准确有效地提供可供法律参考的证据,所以在产生支付纠纷时,极易产生支付信息抵赖行为。
4.支付信息泄露。在21世纪的今天,数据即是财富,通过大数据分析,可以得到许多的有用信息,这也产生了数据犯罪。移动支付通过互联网进行,买卖方和交易机构的各项信息都会存在于服务器中,这样也给数据犯罪带来了极大便利。对于数据泄露丑闻,我们已经听过太多,我们的交易数据被公开在暗网上拍卖。这也直接造成了支付信息面临被窃取、监听,而电信诈骗正是通过我们的支付交易信息,对我们的交易行为进行跟踪,以各种情景代入,获取消费者信息,实施犯罪。支付信息泄露也是现在移动支付面临的最严重、最棘手的问题。
四、解决移动支付安全问题的对策
1.移动设备设置独立安全芯片。移动设备作为第三方支付的主力军,移动设备的安全环境很大程度上决定了支付环境的安全性。越来越多的厂商开始尝试在移动设备中增加独立的安全芯片,芯片的存储空间与手机存储空间完全独立,用于存储,处理支付信息。这样一来,关于支付的各方面信息都被存储在独立空间中,其他软件及授权无法从移动端获取用户的个人支付信息。移动设备作为交易场所的衍生,其对硬件安全性的要求也格外重要,独立的安全芯片不仅可以保障支付、交易信息不被窃取,也保障了个人信息的安全,很好地防范了移动支付犯罪。
2.优化软件安全性能。软件的各种违规操作及后台自动读取,已经严重影响到了用户的支付安全。第三方支付软件应当要提高安全等级,严禁其他软件读取交易信息。若在账号异地登录,异常支付,不明支付时要第一时间警告,或对紧急联系人进行告知。近年来出现了各种网络刷单诈骗、购物返现诈骗、直播乱消费的现象,从中可以看出,对于异常的交易信息,第三方支付平台没有及时做出预警以及二次验证操作。笔者建议,第三方支付平台可以结合现在的网络支付不良环境做出相应的解决措施,为危险的支付交易进行警告阻止。
3.用户安全意识需不断增强。网络支付环境鱼龙混杂,在硬件水平、软件完善的基础上,我们更不能掉以轻心,用户更应该提高网络安全意识。首先,我们需要的就是规范地使用移动网络,不从事违法活动。其次,在移动设备使用中,不下载不安全应用,不通过不安全授信,对个人隐私敏感保护。然后在支付环节,要注意支付环境的安全性,保障个人隐私,对大额交易一定要验证对方身份信息。用户安全意识的提升,是打造安全网络环境的重中之重。
结语
互联网发展下,交易场景也从物物交换变成了虚拟的线上线下交易,随着现金支付的减少,大家对支付的安全性也有所降低,这也恰恰给不法分子提供了可乘之机。移动支付在今天乃至以后,都将变得极其重要,所以移动支付的安全问题也将是我们必须关注的热点问题。互联网时代的场景化要求,给了移动支付新的活力,同时也带来了许多安全问题,我们在着重完善服务、优化体验的同时,更应当积极地与各方合作去营造一个安全、高效的移动支付环境。
