|
二維碼是打通線上線下的重要入口,隨著行業(yè)標準�、技術(shù)標準的出臺以及支付環(huán)境不斷完善,二維碼已經(jīng)廣泛應用于制造業(yè)���、物流業(yè)���、零售業(yè)��、餐飲業(yè)等領域�����。在支付體驗方便快捷的同時����,風險也相伴而生��,解決好安全問題是二維碼支付發(fā)展的關鍵�����。
中國支付清算協(xié)會調(diào)研顯示�����,安全性是移動支付用戶最看重的因素�����,占比達73.4%��?!耙苿又Ц懂a(chǎn)品和服務所涉及到的客戶資金規(guī)模和信息流量迅速提升,吸引了一些不法分子的關注���?����!敝袊Ц肚逅銋f(xié)會副秘書長王素珍說�����,“這些病毒可以讀取����、截獲手機短信驗證碼�,再結(jié)合用戶的身份證、銀行卡號等信息�����,截取用戶的信息�����。再有一些不法分子通過釣魚網(wǎng)站,將木馬病毒植入到二維碼當中��?��!?/p>
在獵網(wǎng)平臺2016年接到的手機端用戶舉報數(shù)量中�����,有4265人是通過銀行轉(zhuǎn)賬���、第三方支付、手機充值等方式主動給不法分子轉(zhuǎn)賬���,占比66.4%;掃二維碼支付的有107人����,占比1.7%。從涉案總金額統(tǒng)計來看��,釣魚網(wǎng)站支付����,占比48.4%�����,累計2098.3萬元����;掃二維碼支付占比0.9%��,累計38.0萬元��。
在王素珍看來�,移動支付涉及到用戶的隱私和資金安全,移動支付發(fā)展越快��,應用得越廣����,安全性就越重要?����!耙寻踩珕栴}放在移動支付發(fā)展優(yōu)先考慮的位置�����,還要加強產(chǎn)業(yè)鏈上的安全合作,統(tǒng)一安全��、技術(shù)標準和業(yè)務規(guī)則���,完善信息共享機制��,實現(xiàn)風險的聯(lián)防聯(lián)控�����?����!?/p>
二維碼是一種能存儲信息的特定格式圖片�,可以看作一種秘文形式的信息載體�����,而二維碼支付通常指的就是包含了商戶信息和金額的訂單信息��。從技術(shù)來說�,二維碼支付的本質(zhì)和網(wǎng)絡支付一致,安全性與網(wǎng)站類似��,也就是說亂掃二維碼就等于亂瀏覽網(wǎng)站��,風險勢必隨之存在��,因此���,二維碼支付面臨的安全質(zhì)疑并不是新生事物����。
隨著通過二維碼傳播釣魚網(wǎng)站�����、發(fā)布手機病毒等詐騙活動逐漸增多�����。2014年3月��,央行下發(fā)的緊急文件《中國人民銀行支付結(jié)算司關于暫停支付寶公司線下條碼(二維碼)支付等業(yè)務意見的函》����,稱“條碼(二維碼)應用于支付領域有關技術(shù)、終端的安全標準不明確,相關支付撮合驗證方式的安全性尚存質(zhì)疑�����,存在一定的支付風險隱患”����,叫停條碼、二維碼支付等面對面支付服務�����。
中國金融認證中心(CFCA)助理總經(jīng)理張行介紹����,二維碼只是一種承載信息的載體,可以承載商戶信息�����、交易金額�、支付憑證信息等正常的交易信息,也可以承載釣魚網(wǎng)址或者惡意代碼的下載網(wǎng)址等惡意信息����。同時,二維碼支付是一種創(chuàng)新的互聯(lián)網(wǎng)支付方式��,而對于一些創(chuàng)新型的互聯(lián)網(wǎng)業(yè)務�,為了保證業(yè)務前期的快速推廣,通常業(yè)務經(jīng)營者會在用戶體驗和業(yè)務安全的天平上向用戶體驗傾斜��,在業(yè)務安全方面考慮不多���,投入不足���,從而讓一些不法分子有機可乘。
中國金融認證中心(CFCA)助理總經(jīng)理張行
“為了保證二維碼能夠在支付業(yè)務中安全使用����,我們需要對二維碼支付業(yè)務設計完整的安全機制,保證二維碼在發(fā)碼�����、傳輸��、應用的過程中不被惡意利用�����,不被裝入惡意信息?!?/span>張行說。
就刷卡來說���,傳統(tǒng)的POS刷卡流程是一個四方模式下的循環(huán)往復:用戶在進行消費的商家POS機上刷卡�����,收單機構(gòu)的POS機將讀取的刷卡信息通過數(shù)據(jù)線(通常是電話線或網(wǎng)絡接口)發(fā)送到清算組織(中國是銀聯(lián))�����,再通知到用戶所用卡片的發(fā)卡銀行�����,經(jīng)銀行確認無誤��,再原路返回到POS終端���,即完成了一筆支付流程。
張行認為�����,傳統(tǒng)的POS刷卡流程是在一個相對封閉的環(huán)境中完成,卡號��、交易密碼等敏感信息泄露的風險較小�。而互聯(lián)網(wǎng)支付業(yè)務�,包括二維碼支付,支付過程是在開放的互聯(lián)網(wǎng)環(huán)境中完成的����,卡號、交易密碼等敏感信息存在很大的泄露風險����。通過采用Token技術(shù)可以在很大程度上降低持卡人敏感信息泄露的風險。
Token是國際芯片卡標準化組織EMVCo于2014年發(fā)布的一種加密技術(shù)�����,在商家和用戶在交易過程當中�����,真實賬號被一個虛擬的賬號代替�����。Token由發(fā)卡方發(fā)行并且讀取,在交易過程中�����,即使截獲了Token也無法進行交易��。另外��,虛擬賬號和一款具體的設備綁定在一起�。如果手機丟失,用戶只需通知銀行重新分配一個等電子令牌即可����,而無需重新發(fā)卡,節(jié)約成本的同時也提高了支付的安全性�����。EMVCo在規(guī)范中描述了四種典型場景:在線商戶��、數(shù)字錢包����、非接NFC支付、二維碼支付��,包括了線上支付場景與線下支付場景。
不過�,Token技術(shù)在降低了個人隱私信息泄露風險的同時,如何保護好Token本身的安全也很重要��?����!霸赥oken的產(chǎn)生��、Token與真實卡號之間的轉(zhuǎn)換�����、Token的傳輸�����、Token的保存等環(huán)節(jié)�����,都應該有完善的保護措施�?!睆埿姓f����,“比如引入電子簽名技術(shù)�,從而確保Token自身的安全?���!?/p>
如今的掃碼支付形式有兩種:一種是主掃,即收款碼支付�����,商戶提供收款二維碼���,消費者用手機APP掃碼支付��。另一種是被掃���,即付款碼支付,是消費者提供付款二維碼�,而商戶使用掃碼槍等設備掃碼收款。
在張行看來���,基于掃碼形式的不同也會帶來不同的隱患���。二者相較���,張行更傾向主掃,主掃模式使用戶擁有更多的支付主動權(quán)���,被掃較適合公信力高的商超�����,容易有交易糾紛的場景則不適合。
他認為�,電子簽名技術(shù)是目前互聯(lián)網(wǎng)業(yè)務中最成熟可靠的一種技術(shù)手段,它可以有效地解決互聯(lián)網(wǎng)業(yè)務中的身份認證�、防止交易信息篡改、保證交易信息傳輸和存儲安全的問題��。在二維碼支付業(yè)務中��,也可以引入電子簽名技術(shù)��,保證二維碼制作�、傳輸發(fā)布、驗證過程的安全。
具體來說�����,第三方電子認證機構(gòu)在二維碼發(fā)布者的信息通過審核之后�,為二維碼發(fā)布者發(fā)放一張具有法律效率的數(shù)字證書。在二維碼產(chǎn)生的過程中�����,用發(fā)布者的數(shù)字證書對二維碼信息進行簽名�����,從而保證二維碼信息不被篡改和抵賴�;在掃碼獲取信息后通過驗證二維碼的電子簽名信息,從而驗證二維碼發(fā)布者身份的真實性和二維碼信息沒有被篡改����。在支付交易出現(xiàn)問題的時候,也可以通過二維碼的電子簽名追溯源頭�。
據(jù)了解,目前�����,支付寶、微信支付��、中國銀聯(lián)及多家銀行等均已在二維碼支付中采用數(shù)字簽名�、安全加密等技術(shù)手段,確保二維碼生成�����、傳輸和解析在各自體系內(nèi)閉環(huán)運行����,技術(shù)上保障用戶資金和信息安全。支付寶在產(chǎn)品功能上做了一些嘗試��,比如通過收錢碼付錢后����,商家的手機端都會收到到賬語音提示���,讓商家不用擔心少收錢或者款付到別人的二維碼中���。
另外,去年12月12日��,中國銀聯(lián)也推出了二維碼的支付標準,包括《中國銀聯(lián)二維碼支付安全規(guī)范》和《中國銀聯(lián)二維碼支付應用規(guī)范》兩個規(guī)范�����,表明要遵循現(xiàn)有銀行卡支付的四方模式�,各方現(xiàn)有的利益分配不會收到任何影響,不存在因資金沉淀在虛擬賬戶帶來金融風險���。另外一點突出的是采用Token技術(shù)對賬戶敏感信息進行保護�,確保賬戶信息在存儲�、處理和傳輸過程中的安全性。
全國政協(xié)委員梅興保也認為����,盡管國內(nèi)二維碼支付在市場成熟度上已領先全球,但業(yè)務和技術(shù)創(chuàng)新性上仍具有很大成長空間��,應鼓勵市場機構(gòu)通過業(yè)務和技術(shù)創(chuàng)新防控風險��。通過技術(shù)創(chuàng)新對二維碼標識加裝防偽標識���,避免因誤掃二維碼而導致的欺詐發(fā)生���,同時在風險事件發(fā)生后���,可通過商業(yè)保險等方式化解消費者和商戶風險損失。
|
