互联网支付快速发展过程中,支付方式不断创新。声波支付、光子支付、指纹支付、远程支付等多种移动支付方式层出不穷,与此同时,一系列的网络安全事件引发很多人对互联网金融的担忧,甚至开始怀疑互联网金融的支付安全。实际上,互联网金融的安全风险并非主要来自系统端,而是来自用户端。互联网金融公司的系统建设有规范、有标准,还有各种行业监管,其安全风险是完全可控的,而用户在使用过程中带来的风险却更复杂更高危。
新型支付方式频出
光子支付
光子支付是通过一束光来实现授权、识别及信息传递的支付技术,它能克服电磁捕获及干扰,每次发射的光都动态变化。在现场实际操作中,用户打开手机闪光灯对着POS机上的光子支付感应器照一下,其他环节与刷卡支付无异。
在成本方面,商户只需花几十元在POS机上加贴一枚硬币大小的光子支付感应器即可完成设备升级。
声波支付
利用声波的传输,完成两个设备的近场识别。在第三方支付产品的手机客户端里,内置有“当面付”功能,用户打开此功能后,用手机麦克风对准收款方的麦克风,手机会播放一段“咻咻咻”的声音。
不过,卖家需要配备相应的声波接收器,一个声波接收器的价格在20元,同时不需要对手机端进行改造,也不需要将卡片升级为IC卡,利用第三方支付账户就能实现交易。
指纹支付
指纹支付,是采用已成熟的指纹系统进行消费认证,通过指纹识别即可完成消费支付。目前支付宝、微信支付以及民生银行手机银行都与相关的手机合作,推出了指纹支付功能。
支付宝钱包8.4版本上线,iPhone手机的指纹支付功能获得开通。只要是iPhone 5S及以上型号的用户并且操作系统在iOS8以上,可在App Store中升级支付宝钱包至最新版,开通指纹支付功能。 民生手机银行个人版或小微版客户,如果使用iPhone 5S及以上手机或其他苹果移动终端且开通Touch ID功能,就可开通指纹支付服务。
建议:仍以密码支付为主
虽然更高级的密码并不能更好的保障用户的支付安全,但密码仍是用户安全的第一道防线。对于非职业的网络攻击或者意外引发的安全隐患,密码还是具有很好的保护作用,至少可以让用户躲过很多初级的安全风险。
根据支付宝的数据和安全防护经验,用户密码的被盗取或丢失有几种类型,占比最大的是扫号和社工。
所谓扫号,是指你在别的网站的账号密码被坏人知道了,然后坏人用这套密码来登录支付宝等,因为不少懒人在所有网站用的都是一套密码,所以很多坏人会利用其他渠道得到的密码来试着打开你的支付账号。因此,要想保护密码,我们最好将重要的支付账号和密码设置成与其他普通的网络账号密码完全不同的名称或组合,这将大大提高你的支付安全性。
所谓社工,就是假冒各种公检法、熟人好友、假客服等,通过短信、聊天工具,把你的各类信息骗走,然后盗取或是更改你的密码,以此来使用你的支付工具进行转账或消费。这种方式最难以防范,属于典型的诈骗犯罪的受害者,最好的应对便是掌握根本原则,密码决不告诉任何人,打死都不说,因为合法的机构或者客服是绝对不会向用户索取密码的。
此外,钓鱼和木马也是盗取密码的重要方式。所谓钓鱼,就是搞个假网站,比如弄个tiaobao.com,长得和淘宝很像,蒙骗你去输入,当你一输入,信息就泄露了。木马就是中毒,这些木马隐藏在你在电脑或手机中,记录下的各种录入传送给黑客。面对这种威胁,最好的方式是多个心眼,不乱打开网络链接,不随意安装不明的应用程序,还要安装相关安全软件定期更新。
有密码也取不走钱是支付行业所追求的重要目标
对于互联网金融企业而言,也不能将支付安全寄托于用户自己的安全意识和安全保护,系统建设和安全机制发挥作用才是保障用户支付安全的必须。
于是,支付企业会设置安全的几道防线。比如,支付宝会要求用户设置密码保护问题,还与要求与用户的手机进行捆绑,这样,当用户密码出现异常的时候,就会通过比较私密性的问题回答来验证是否本人,或者通过短信验证码来保证支付更为安全。当一个用户连续多次输入错误密码之后,还会暂时锁定以防机器破解的发生。
此外,很多互联网金融机构还会通过增加的安全验证程序来进一步保障安全。比如,银行特别流行使用U盾,通过硬件与软件的结合提升安全系数,而支付宝等也会要求在电脑上安装支付证书。未来,随着生物技术的发展,指纹、虹膜、刷脸等都会被利用起来加强安全保证。
很多人遇到过,当你输入错误密码,或者刚刚到达一个从来没有去过的地区,或者使用了一个以前没有使用过的通信网络,支付宝也许会突然要求你在登陆的时候输入图形验证码或者通过手机短信来进行验证。其实,这就是支付宝八年来致力于建设的CTU风控大脑正在发挥作用。
CTU风控大脑是目前蚂蚁金服重点研发的安全系统的代号,实际上就是现在火热的人工智能在支付安全上的应用,目的就是要实现密码即便被盗也有能力保护用户的资金安全。
简单的说,这个风控大脑通过对用户资料和交易行为等大数据的积累,包括用户账户资料、设备、位置、行为、关系和偏好等方面,对用户进行了系统性的长期信息识别,形成了用户的支付行为画像。如果用户在某次登陆或支付的过程违背常理或者表现一场,系统就会自动识别出来,对风险进行评估打分,会要求用户提供更多的资料来审核,甚至会直接叫停支付行为,从而保护用户的资金安全。
风控大脑技术并非未来科技,早已经被应用。据国外实验室测算,这个技术能让判断风险的成功率提升7倍,用了这个技术后,支付宝风控大概提升了5倍。案例表明,2014年6月7日,主人接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。
当日深夜,骗子结合上述信息,成功获取校验码后修改登录密码,并在广州某小区登陆,之后又修改支付密码。接着,得意洋洋下单一台iphone5,打算用别人的钱,给自己换手机。
没想到,风控大脑直接判定交易失败,并对账户进行了限制。第二天,支付宝客服给用户打电话,确认用户账户是被盗了,并引导其重置密码,成功杜绝了一次可能发生的安全事故。
安全永远是相对的概念,而现在的网络支付的安全相比线下的钱包安全早已经超出了何止万倍,但道高一尺,魔高一丈,来自各种场景的威胁始终不会消除,安全防护也将是永恒的话题。作为用户,要提高安全意识,减少信息泄露的风险,而支付企业更是要通过技术升级与系统建设来构筑更为安全的防波堤,在新时代用大数据的方式来保护大数据的安全。我们相信,只要我们不断进步,安全便会一直伴随着我们,支付安全也就能说到做到。
