11月中旬的一個(gè)下午���,身在上海的王雷(化名)發(fā)現自己的手機突然失去信號�����,咨詢(xún)運營(yíng)商后的答案令人吃驚:他的手機被掛失重新補辦號碼了�����。此后發(fā)生的事情讓他更摸不著(zhù)頭腦——自己的銀行賬戶(hù)被轉走了共計6萬(wàn)多元���。
這是一起盜刷案件�,不法分子獲取王雷的身份和銀行卡信息后���,通過(guò)偽造其身份證在廣東補辦了王雷手機卡號��,再通過(guò)注冊一個(gè)支付寶賬號關(guān)聯(lián)了王雷的銀行卡��,從而達到轉賬目的��。
這已經(jīng)不是支付寶“快捷支付”第一次爆出盜刷事件�����。所謂“快捷支付”����,就是把銀行卡賬戶(hù)與“支付寶”等第三方支付平臺的賬戶(hù)相連接�,在網(wǎng)購時(shí)可以直接輸入后者的密碼進(jìn)行交易����。易觀(guān)國際高級分析師張萌告訴記者�����,快捷支付和網(wǎng)銀支付最大的區別是不需要像網(wǎng)銀支付一樣跳轉到銀行網(wǎng)關(guān)���。
昨天(11月18日)�����,支付寶(中國)網(wǎng)絡(luò )技術(shù)有限公司(下稱(chēng)“支付寶公司”)相關(guān)負責人在接受記者采訪(fǎng)時(shí)強調了信息安全的保障性���,但并不否認����,如前述事件中用戶(hù)信息大量泄露���,其賬戶(hù)風(fēng)險概率會(huì )很高��,“相當于表面上的防線(xiàn)被別人全部掌握了������!
在互聯(lián)網(wǎng)金融日益深入的今天����,支付寶面臨的“快捷隱憂(yōu)”也是整個(gè)第三方移動(dòng)支付行業(yè)面臨的安全課題——一面是用戶(hù)享受到的支付便捷���,另一面卻是為了追求用戶(hù)體驗而埋下的風(fēng)控隱患���。
“目前第三方支付行業(yè)����,不能光發(fā)了牌照就好了�����,行業(yè)準入門(mén)檻要提高�,例如支付寶平臺運行時(shí)�����,有快捷支付這樣的創(chuàng )新之舉��,但更加要做好創(chuàng )新過(guò)程中的監管問(wèn)題�,樹(shù)立行業(yè)的安全標準�����!敝袊娮由虅(wù)研究中心主任曹磊對本報記者說(shuō)��。
快捷底線(xiàn)
2011年��,支付寶推出“快捷支付”����。通過(guò)該支付平臺����,用戶(hù)無(wú)須開(kāi)通網(wǎng)銀����,可以直接通過(guò)輸入卡面信息快速地完成支付�����!皳Q言之�����,他們就是通過(guò)一個(gè)賬號來(lái)實(shí)現支付���!币患也辉敢馔嘎缎彰牡谌街Ц稑I(yè)內人士對本報記者透露����。
這意味著(zhù)這樣的支付可以繞開(kāi)銀行�,首次關(guān)聯(lián)也無(wú)須輸入銀行卡的取款密碼���,這點(diǎn)得到了支付寶客服的確認����。本報記者在支付寶上嘗試快捷關(guān)聯(lián)了一張銀行卡�,發(fā)現確實(shí)只需要通過(guò)輸入手機收到的驗證碼就可以完成一筆支付�����。
也就是說(shuō)���,欺詐者只需要掌握了用戶(hù)的身份信息和銀行卡號�����,并且能獲取手機驗證碼��,就可以成功盜取銀行卡中的錢(qián)款����。這也是不法分子首先拿王雷的假身份證去補辦SIM卡的重要原因��。
便捷是否讓安全的“邊界”模糊起來(lái)����?“支付寶快捷支付存在一些安全隱患�����,比如���,第一次驗證也不需要輸入銀行密碼�,相對來(lái)說(shuō)����,銀行在身份驗證上做得更嚴格許多�������!币患夜煞葜沏y行電子銀行部負責人透露����。
昨天�����,記者致電工商銀行和建設銀行�,這兩家銀行的客服人員均表示�����,客戶(hù)在使用“快捷支付”時(shí)��,不用通過(guò)銀行網(wǎng)銀���,所以交易過(guò)程不受銀行保護�。
電子商務(wù)觀(guān)察者�����、萬(wàn)擎咨詢(xún)CEO魯振旺稱(chēng):“支付平臺的風(fēng)險關(guān)鍵存在于快捷‘支付密碼’的設置上�����;當手機和銀行卡綁定后����,撿到手機的人不需要輸入卡號����,就可以獲取密碼�。這是支付平臺存在的巨大隱患��,而且這個(gè)隱患越來(lái)越嚴重��������!
近期��,國內部分媒體曾多次報道���,因“快捷支付”銀行卡遭遇網(wǎng)絡(luò )盜刷的事件��。今年8月份�����,騰訊旗下第三方支付平臺財付通的一些用戶(hù)也抱怨賬戶(hù)被盜���。
支付寶回應
昨日晚間�,支付寶公司相關(guān)負責人向本報記者回應盜刷事件稱(chēng)��,事件的起因在于有人使用假身份證在營(yíng)業(yè)廳補辦SIM卡�����,這本身是支付寶不可控的��;對于任何起因的快捷支付被盜問(wèn)題����,該支付寶用戶(hù)將獲得平安保險100%的賠償�,本身不會(huì )有任何損失����。
2011年��,支付寶就明確表示����,用戶(hù)使用快捷支付如果遭遇資金損失�,支付寶將全額給予賠付����。2013年10月17日����,支付寶宣布向所有“快捷支付”用戶(hù)免費贈送一份資金保障險��,該保險由中國平安財產(chǎn)保險股份有限公司承保�。
但王雷還未享受到這一“福利”�,“支付寶到現在都沒(méi)有任何說(shuō)法����������!蓖趵赘嬖V本報記者�����,目前距離盜刷事件已經(jīng)過(guò)去了將近一周的時(shí)間�����。
使用支付寶快捷支付時(shí)�����,不用輸入銀行卡密碼���,是不是降低了資金的安全性���?上述支付寶公司人士表示����,按照互聯(lián)網(wǎng)支付的國際慣例�����,一般不會(huì )直接輸入銀行卡的取款密碼�����。原因在于���,首先�,銀行卡的6位數字密碼用在互聯(lián)網(wǎng)上安全強度不夠����;其次�����,如果遭遇釣魚(yú)網(wǎng)站或黑客攻擊�,銀行卡密碼泄露的風(fēng)險更大���。
他表示�,除了“快捷支付”密碼���、手機校驗碼等��,支付寶還有用戶(hù)看不見(jiàn)的后臺風(fēng)控系統�,但是���,該人士也承認�,客觀(guān)上說(shuō)����,上述盜刷事件中受害人身份信息幾乎全部泄露��,其賬戶(hù)風(fēng)險概率會(huì )很高��。
“對身份證信息驗證不足�,輸入密碼時(shí)缺少多重認證��,正是支付寶快捷支付最大的漏洞�������!币晃汇y行業(yè)人士分析���,快捷支付是一種創(chuàng )新�����,但身份證驗證是一種底線(xiàn)���,如果沒(méi)有足夠的風(fēng)控能力�����,只是省略程序就當做創(chuàng )新����,這是對整個(gè)行業(yè)的一種傷害�����。
安全VS快捷
中國電子商務(wù)投訴與維權公共服務(wù)平臺監測數據顯示��,在2012年度全國第三方支付領(lǐng)域投訴中�����,財付通占比為23.50%�,國付寶占比為19.83%�����,支付寶占比為16.70%���,易寶支付占比為9.35%���,百付寶占比為4.90%��。
“第三方支付的安全問(wèn)題的性質(zhì)���,與傳統的信用卡被盜刷等現象類(lèi)似��������!盜BM資深戰略分析師王祺認為�,第三方支付平臺提供增值服務(wù)��,簡(jiǎn)化交易流程是對整個(gè)支付模式的改變�����,安全問(wèn)題是該模式內可控的問(wèn)題�,只是需要找到改進(jìn)和完善的方法��。
“銀行的信用認證是靠個(gè)人身份證認證����,這是唯一的身份認證�;支付寶等第三方支付則有多種認證方式��,如:實(shí)名身份認證����、手機��、郵箱等���!蓖蹯鞣治龇Q(chēng)�����,相較于銀行個(gè)人身份證認證的物理性��,第三方支付平臺可以使用手機�、郵箱等虛擬信息進(jìn)行認證�;少了實(shí)物認證后�����,用戶(hù)交互體驗的復雜度降低�,這就增加了用戶(hù)體驗�����。
在王祺看來(lái)�����,這也表明在第三方支付平臺�,用戶(hù)體驗和安全性的平衡點(diǎn)在于:你是選擇虛擬信息認證還是實(shí)物認證�。但頗為微妙的是�����,這個(gè)選擇權既在第三方支付平臺手中���,也在每個(gè)用戶(hù)自己的手中��。
魯振旺認為�,快捷和安全之間需要找到一個(gè)均衡點(diǎn)���,不能為了快而降低安全水平��。他分析稱(chēng)�����,網(wǎng)銀支付之所以麻煩是因為要輸入所有信息�����,快捷支付的安全問(wèn)題解決手段可以考慮輸入賬號的后4位數或設置消費額度等來(lái)解決�。曹磊稱(chēng)�����,首先要確保安全性的前提下����,縮短流程再改進(jìn)用戶(hù)體驗���。
前述支付寶人士也表示���,安全與便捷之間需要一個(gè)平衡�,安全性越高可能用戶(hù)使用更加復雜�;其內部將不斷提高智能風(fēng)控精準度���,同時(shí)提示用戶(hù)注意自己的信息保護�����。
僅從技術(shù)角度而言����,王祺認為����,目前互聯(lián)網(wǎng)金融的快捷支付暴露出安全問(wèn)題并非全是壞事�,“想要兼顧便捷與安全�,必然推動(dòng)新的技術(shù)出現��;比如:指紋識別��、虹膜識別等體感技術(shù)未來(lái)可能運用到支付解決問(wèn)題����!
另一個(gè)令外界關(guān)注的是監管問(wèn)題��,央行金融消費權益保護局局長(cháng)焦瑾璞近日表示�,互聯(lián)網(wǎng)金融給金融消費權益保護帶來(lái)了挑戰���,“互聯(lián)網(wǎng)金融歸誰(shuí)管�����?是銀監會(huì )�����、證監會(huì )還是保監會(huì )���?誰(shuí)也搞不清楚����。出了問(wèn)題怎么辦��?老板拿著(zhù)錢(qián)跑了怎么辦�?誰(shuí)來(lái)承擔這個(gè)責任����?”
中國社科院數量經(jīng)濟與技術(shù)經(jīng)濟研究所副所長(cháng)何德旭透露�����,互聯(lián)網(wǎng)金融已引起監管層重視���,央行成立了專(zhuān)門(mén)研究小組對全國互聯(lián)網(wǎng)金融狀況進(jìn)行分析調研���。