• 移动支付的安全“密码”

    时间:2017-05-11 来源:《IT经理世界》 作者:董莉 我要评论() 字号:T | T

  • 二维码是打通线上线下的重要入口,随着行业标准、技术标准的出台以及支付环境不断完善,二维码已经广泛应用于制造业、物流业、零售业、餐饮业等领域。在支付体验方便快捷的同时,风险也相伴而生,解决好安全问题是二维码支付发展的关键。

    中国支付清算协会调研显示,安全性是移动支付用户最看重的因素,占比达73.4%。“移动支付产品和服务所涉及到的客户资金规模和信息流量迅速提升,吸引了一些不法分子的关注。”中国支付清算协会副秘书长王素珍说,“这些病毒可以读取、截获手机短信验证码,再结合用户的身份证、银行卡号等信息,截取用户的信息。再有一些不法分子通过钓鱼网站,将木马病毒植入到二维码当中。”

    在猎网平台2016年接到的手机端用户举报数量中,有4265人是通过银行转账、第三方支付、手机充值等方式主动给不法分子转账,占比66.4%;扫二维码支付的有107人,占比1.7%。从涉案总金额统计来看,钓鱼网站支付,占比48.4%,累计2098.3万元;扫二维码支付占比0.9%,累计38.0万元。

    在王素珍看来,移动支付涉及到用户的隐私和资金安全,移动支付发展越快,应用得越广,安全性就越重要。“要把安全问题放在移动支付发展优先考虑的位置,还要加强产业链上的安全合作,统一安全、技术标准和业务规则,完善信息共享机制,实现风险的联防联控。”

     

    支付闭环内的风险 

     

    二维码是一种能存储信息的特定格式图片,可以看作一种秘文形式的信息载体,而二维码支付通常指的就是包含了商户信息和金额的订单信息。从技术来说,二维码支付的本质和网络支付一致,安全性与网站类似,也就是说乱扫二维码就等于乱浏览网站,风险势必随之存在,因此,二维码支付面临的安全质疑并不是新生事物。

    随着通过二维码传播钓鱼网站、发布手机病毒等诈骗活动逐渐增多。2014年3月,央行下发的紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,称“条码(二维码)应用于支付领域有关技术、终端的安全标准不明确,相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患”,叫停条码、二维码支付等面对面支付服务。

    中国金融认证中心(CFCA)助理总经理张行介绍,二维码只是一种承载信息的载体,可以承载商户信息、交易金额、支付凭证信息等正常的交易信息,也可以承载钓鱼网址或者恶意代码的下载网址等恶意信息。同时,二维码支付是一种创新的互联网支付方式,而对于一些创新型的互联网业务,为了保证业务前期的快速推广,通常业务经营者会在用户体验和业务安全的天平上向用户体验倾斜,在业务安全方面考虑不多,投入不足,从而让一些不法分子有机可乘。

    “为了保证二维码能够在支付业务中安全使用,我们需要对二维码支付业务设计完整的安全机制,保证二维码在发码、传输、应用的过程中不被恶意利用,不被装入恶意信息。”张行说。

    就刷卡来说,传统的POS刷卡流程是一个四方模式下的循环往复:用户在进行消费的商家POS机上刷卡,收单机构的POS机将读取的刷卡信息通过数据线(通常是电话线或网络接口)发送到清算组织(中国是银联),再通知到用户所用卡片的发卡银行,经银行确认无误,再原路返回到POS终端,即完成了一笔支付流程。

    张行认为,传统的POS刷卡流程是在一个相对封闭的环境中完成,卡号、交易密码等敏感信息泄露的风险较小。而互联网支付业务,包括二维码支付,支付过程是在开放的互联网环境中完成的,卡号、交易密码等敏感信息存在很大的泄露风险。通过采用Token技术可以在很大程度上降低持卡人敏感信息泄露的风险。

    Token是国际芯片卡标准化组织EMVCo于2014年发布的一种加密技术,在商家和用户在交易过程当中,真实账号被一个虚拟的账号代替。Token由发卡方发行并且读取,在交易过程中,即使截获了Token也无法进行交易。另外,虚拟账号和一款具体的设备绑定在一起。如果手机丢失,用户只需通知银行重新分配一个等电子令牌即可,而无需重新发卡,节约成本的同时也提高了支付的安全性。EMVCo在规范中描述了四种典型场景:在线商户、数字钱包、非接NFC支付、二维码支付,包括了线上支付场景与线下支付场景。

    ……

  • 加入收藏
  • [ 作者:董莉 ]
  • 分享到: 更多
    标签:
  • 相关推荐
    无相关信息
  • 最新消息
    · 移动支付的安全“密码”2017-05-11
    · “ 码”上新商机2017-05-11
    · 上“码”,到线下去2017-05-11
    · 你好,无现金社会2017-05-11
    · 一“码”当先2017-05-11
      已有条评论,查看更多评伦发表评论
  • 用户名:  密码:              匿名发表  | 注册会员
  • 网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述