在移动支付用户快速增长的同时,移动交易终端正成为犯罪分子的重点攻击目标。一些黑客甚至从假基站、恶意WiFi网络端等渠道获取用户银行卡等信息,借机发起恶意攻击。
锐观点
移动支付规模不断增长,移动安全形势严峻,这场战役已经到了决战时刻。现有规定大多以部门规章为主,仅有少量的民法规范,对移动支付产业链中相关方的权、责、利没有明确的法律规定;对移动支付过程中的金融风险监管也存在缺位
7月6日,支付宝首次披露了在商超、餐饮、交通出行、医院等线下支付领域的覆盖情况。数据显示,目前已有超过13万的线下店铺接入了支付宝支付,超过90万出租车和专车可用支付宝付款。在医疗领域,已有200家医院加入了支付宝“未来医院”计划。在这些医院,病人不仅可以在支付宝上挂号,还可以用支付宝进行诊间支付避免重复排队。
随着全球网络经济的迅速发展,我国的互联网金融产品不断与世界接轨,在网络金融、网上购物消费、网络银行等电子商务的发展过程中,第三方支付正在成为支柱。而网络金融的新型犯罪也如魅影一般尾随而至,目前已有业内人士明确表示——移动支付安全已到决战时刻。
“移动支付规模不断增长,移动安全形势严峻,这场战役已经到了决战时刻。”百度首席移动安全专家姜向前在第三届中国网络安全大会上如此坦言。
对此,受访的业内人士均认为,今后移动端或将成为网络诈骗的“重灾区”,而移动支付安全将成为阻止网络诈骗的一道重要安全防线。
爆发式发展同时网络犯罪剧增
根据央行发布的《2014年支付体系运行总体情况》报告显示,2014年,全国共发生电子支付业务333.33亿笔,金额为1404.65万亿元,同比分别增长29.28%和30.65%,其中,移动支付业务45.24亿笔,金额22.59万亿元,同比分别增长170.25%和134.30%。对比2013年数据,移动支付已经连续两年增长超100%。
只要动一下指头,就可以完成一切支付结算交易,移动支付以其移动性、便捷性、及时性对传统金融机构和传统支付结算方式发起了颠覆性的挑战。随着中国网民的爆发式增长,移动支付业务更展示出了其不可估量的增值空间和市场潜力。
数据显示,截至2014年12月,中国网民规模达6.49亿人,手机网民规模达5.57亿人,手机支付用户规模达到2.17亿人。与网民数对比,移动支付潜力客户有4亿多人,与手机网民数相比则有3亿多人。而未来这一数字还会呈现乘数几何式增长。这对于互联网企业而言,绝对是一块奇大无比、分外诱人的蛋糕。
然而,同样也是一组数据,将移动支付存在的安全隐患暴露无遗:
据《中国网络空间安全发展研究报告(2015)》显示,仅2013年1月至10月,百度安全中心通过技术手段监测到的虚假金融网站就达72万余个;
据国家计算机病毒应急处理中心的数据显示,有34.41%使用过网络支付的用户在支付过程中发生过安全问题,其中71.14%遭受到不同程度的经济损失;
据百度手机卫士发布的《2014移动安全报告》显示,截至2014年12月,存在支付风险的用户占比达到21.8%,超过5800万人,平均每5个使用移动支付的用户中就有1个面临支付安全风险。
据中国银联发布的《2014年移动互联网支付安全调查报告》显示,约10%的被调查者遭遇过网上诈骗,而以退款等借口骗取手机动态验证码的诈骗比2013年增加了11个百分点。
同时,《2014年移动互联网支付安全调查报告》调查结果强调:在移动支付用户快速增长的同时,移动交易终端正成为犯罪分子的重点攻击目标。一些黑客甚至从假基站、恶意WiFi网络端等渠道获取用户银行卡等信息,借机发起恶意攻击。
“虚假金融网站利用了人们安全意识薄弱以及金融知识缺乏等现状,以代办信用卡和介绍理财产品为切入口,以零风险、高收益为诱饵实施欺诈。可以说,目前网上欺诈类金融产品层出不穷。”专门从事信息安全战略及技术研究的中国信息安全测评中心总工王军坦言,移动支付正在成为网络犯罪的新目标。随着移动支付市场的不断扩大,其中的利益越来越诱人,以移动支付为目标的犯罪手段不断翻新。
监管立法处于相对滞后状态
“现在移动支付安全问题严重,不仅涉及骚扰用户,还涉及恶意吸费、诱导用户消费,甚至涉及通过木马、病毒等直接盗取用户个人信息或者财物等。”中国互联网协会法律顾问赵占领说。
根据《2015中国移动支付安全绿皮书》显示,从支付安全的角度看,恶意程序、钓鱼网站、诈骗短信和诈骗电话已经成为威胁移动支付安全最主要的4个因素。
“现阶段,移动支付存在的安全问题主要表现在以下几方面:中间环节的攻击,主要是指用户在进行支付过程中,对其通信数据进行拦截,从而窃取或者篡改用户的账户、密码等信息;拒绝服务的攻击,主要是指用户的支付业务不能得到使用,此时利用的是网络防护的漏洞,对网络通道进行阻塞,对目标服务器进行攻击。”360安全中心的技术人员介绍说,钓鱼网络的攻击,则主要是指攻击者利用相关的银行与机构等,对其进行伪装,从而欺骗用户,让用户提供卡号、密码、账户等;恶意软件的攻击,主要是指用户在下载应用程序过程中,含有木马病毒,在其程序安装后,恶意软件将进行费用的扣除、信息的窃取等行为。同时,由于支付者的真实信息不能得到识别,一旦用户的手机丢失,他人极可能利用手机进行支付,从而给用户造成一定的经济损失。
对此,姜向前提出,应从增强安全意识、提高代码安全等级、对移动应用进行安全审计、保护移动应用、持续关注风险数据等方面着手改善移动安全现状。
通过梳理移动支付相关的法律法规,中南财经政法大学金融学院研究人员鲁小兰注意到,相对于产业的加速渗透,目前我国移动支付产业监管立法仍处于相对滞后状态。
“我国现有的关于移动支付的法律法规主要包括《电子支付指引 (第一号)》、《非金融机构支付服务管理办法》、《电子银行业务管理办法》、《电子银行安全评估指引》和《关于规范移动信息服务资费和收费行为的通知》等。”鲁小兰说,虽然2014年3月央行发布了《支付机构网络支付业务管理办法(征求意见稿)》,但最后定稿和具体实施时间还未定。现有规定大多以部门规章为主,仅有少量的民法规范,对移动支付产业链中相关方的权、责、利没有明确的法律规定;对移动支付过程中的金融风险监管也存在缺位,尤其是对第三方支付环节中可能产生的资金沉淀、洗钱等问题,没有进行规范和监管,消费者的利益得不到保护。
“而且我国的消费者权益保护法中也没有明确条款来规范新兴支付业务中消费者权益保护问题。”鲁小兰补充说道。
立法监管第三方支付洗钱风险
在王军看来,我国亟待加强金融领域的立法建设和信息安全管理力度,对现行涉及金融等重要行业领域的法律法规要补充完善信息安全条款,尤其针对金融全球化带来的信息风险要提供法律上的保护。
“要进一步完善移动支付产业监管相关法律法规,维护消费者的合法权益。尽快出台支付机构网络支付业务管理办法,将第三方支付平台纳入反洗钱监管范围,规定第三方支付机构履行报送大额和可疑支付交易报告的义务,完整、妥善保存交易资料;结合电子支付虚拟性等特点,修订完善消费者权益保护法,建立健全电子交易消费者权益保护机制。”鲁小兰建议说,通过立法,确保滞留在移动运营商及第三方支付服务提供商平台上的备付金及其孳息归消费者所有,严格区分客户资金和移动运营商、支付服务提供商自有资金,保护消费者财产权益。
“此外,还要加强金融领域网络犯罪的执法打击力度,将短期‘运动性’整治行动逐步转化落地成为长期的‘制度化’执法行为。与此同时,明确并细化‘一行三会’的监督管理模式和责任分工,强化信息安全管理措施,解决金融领域的重复监管问题。”王军说,要提高数据安全意识防患于未然。从国家利益考虑,要通过法律制度限制和国计民生有关的重要数据流往国外;从经济运行安全考虑,要通过建立灾难备份恢复体系防止战争、自然灾害、人为破坏等原因引起的数据丢失;要通过制定个人信息保护法来保护个人隐私。
针对互联网金融信息的安全保密和隐私保护,王军则建议国家金融主管部门可率先出台关于互联网金融领域敏感信息保护的部门规章,采取不同级别的安全防护措施。
在赵占领看来,解决移动支付中的种种问题需要政府部门、行业协会、电信运营商、安全软件以及各类应用软件运营者共同努力,打造从政府监管、刑事打击到行业自律全方位的保护体系,其中行业自律尤其需要重视,通过建立行业联盟、自律审查等方式,改善移动支付的安全环境。
逾八成网民网上支付行为存隐患
中国消费者移动支付使用率遥遥领先于全球平均水平。普华永道发布的《2015年全零售:零售商与变革的时代》研究报告称,63%的中国消费者更倾向于在手机应用程序中保存个人的付款及收货信息,而这一数据相当于全球比率(33%)的近两倍。
尽管移动支付为消费者的日常生活带来了极大便利,然而,用户在享受移动支付带来的便捷实惠的同时,也不得不随时经受网络安全问题的考验。近日,在第二届国家网络安全宣传周的启动仪式上,《我国公众网络安全意识调查报告(2015)》正式发布。报告显示,我国约83%网民的网上支付行为存在安全隐患,网络安全意识亟需提升。
具体而言,我国网民移动支付过程中的诸多细微行为均可能为个人重要信息、隐私及财产安全埋下安全隐患。譬如,我国81.64%的网民不注意定期更换密码;多账户使用同一密码的情况高达75.93%;一半以上网民不设开机密码;更有10.88%的被调查者仍在使用123456或abcabc等简单字母或数字作为密码;约43%的被调查者使用公共计算机进行网络支付后,没消除上网痕迹;随意链接公共免费WiFi的比例高达80.21%;支付时不仔细辨认支付页面网址在被调查者中占比接近35%。无疑,以上种种都可能直接导致支付密码泄露或支付账号被盗用,从而造成巨额经济损失。