移动支付是指通过移动终端设备 (通常指手机) 实现账单在线支付的一种服务手段, 是近几年来兴起的一种便捷的电子交易方式。随着移动支付技术的普及, 国内的支付宝、微信以及手机闪付已成为主流的支付产品, 涉及购物、转账、医疗、理财及生活缴费等各个方面[1].在2017年, 无现金时代成了热点话题, 支付宝官方高调表示, “5年推动中国进入无现金时代, ”事实上, 国家政府和银行金融机构也为无现金时代做出多项实际行动支持, 全面推动无现金时代的发展进程。但随着移动支付使用的普遍性, 日益严峻的安全问题也不断呈现在用户的面前。移动支付已成为不法分子的重点攻击对象, 如黑客攻击, 信息泄露, 电信诈骗, 二维码病毒等安全问题层出不穷, 让用户防不胜防, 直接威胁到用户生命财产安全。
1、 我国移动支付发展现状
在移动支付领域, 我国的研究起步比较晚, 但随着技术的不断发展, 用户的规模得到了迅速的扩张。根据中国互联网络信息中心发布的权威数据统计, 截至2017年12月, 我国网上支付用户规模达到5.31亿, 其中手机支付用户数量为5.27亿, 占比高达99.2%.由于移动支付需要多方技术以及网络环境的协助, 容易受到一系列的入侵和攻击, 导致信息泄露乃至财产损失。通过对2017年移动支付的大数据分析, 我国的移动支付呈现3个主要的特征: (1) 移动支付的使用领域不断拓宽, 渗透到工作和生活的方方面面。 (2) 在线电子交易逐步向农村地区和老龄网民辐射, 用户使用线下线上交易的数量持续增长, 农村地区移动支付于2017年底统计的数据比2016年底增长了15.4%. (3) 传统的支付的技术逐步被高新技术替代, 指纹支付以及面部识别支付等生物识别技术得到了快速的发展。
中国银联发布的《2017移动互联网支付安全调查报告》显示, 在2017年, 短信木马、社交账号盗用, 病毒等高发的诈骗手段呈下降趋势, 诱扫二维码欺诈受骗比例明显增长, 尤其是防范意识薄弱的中老年及90后群体遭受的网络诈骗比例较高, 须更加关注支付安全。移动支付正在替代传统的交易方式, 具有无限的发展前景, 但越来越多的安全问题已经严重制约其发展的步伐。因此, 针对移动支付的安全性方案的研究是迫在眉睫的。
2、 移动支付的安全风险
移动支付主要包括移动终端、支付账户、第三方支付平台、网络环境、银行机构等基本要素, 其安全风险主要体现在3个方面:移动终端设备的安全风险;移动支付环境的安全风险;个人信息泄露问题。
2.1 移动终端设备的安全风险
移动终端设备是进行移动支付的硬件载体, 目前绝大多数用户都是采用智能手机进行支付操作, 因此, 硬件设备的安全性在很大程度上决定了移动支付的安全性。大众化的智能手机其本身硬件系统并未采用加密芯片和底层的安全防护功能, 容易导致移动支付APP出现安全风险。在智能手机的使用上, 有部分用户获得更高的操作权限和更好的用户交互体验, 进行越狱和刷机操作, 这有可能破坏手机系统的安全运行机制, 出现系统漏洞, 遭受到恶意代码的攻击。另外, 手机丢失也会给用户造成巨大的影响, 由于手机都会绑定银行卡、信用卡来实现移动支付, 当手机丢失后, 极有可能出现被人冒用的安全风险。
2.2 移动支付环境的安全风险
随着无线通信网络的普遍应用, 大型商场、酒店、饭店以及地铁公交等公共场所都提供了免费Wi Fi, 部分用户为了节省流量会选择使用它。一些公共场所的免费Wi Fi可能就是钓鱼陷阱, 如果连接到这种“危险Wi Fi”进行移动支付的话, 将直接导致用户帐户的资金损失。正是因为无线网络的便利性、开放性, 以及一般数据传输都是明文传输等原因, 非法分子可以利用搭线窃听来获取用户的隐私数据以及相关支付信息。其次, 移动支付网络平台还可能受到拒绝服务攻击的安全风险, 导致支付平台无法处理和响应用户的服务请求, 影响用户的支付行为。
2.3 个人信息泄露的安全风险
移动支付的用户群体的年轻化及老龄化的趋势日益明显, 部分用户缺乏基本的网络安全防范意识, 容易遭受到电信诈骗、钓鱼网站诈骗、伪基站短信诈骗, 不明木马链接以及账号盗用等常用手段的威胁, 导致个人隐私泄露, 从而影响到移动支付流程整体的安全性[2].在移动支付环节, 口令+验证码的方式使用普遍, 为了支付的快捷性, 甚至出现了小额免密支付, 或者6位数字支付手段, 这样的弱口令模式极容易被攻击者实施口令破解, 造成账户和密码的盗用, 从而造成不可弥补的损失。
3、 移动支付的安全应对措施
3.1 提高大众用户的安全意识
网络环境具备复杂性、灵活性、多样性的特点, 容易出现恶意攻击和信息泄露等风险。用户在进行移动支付过程中, 针对社会工程学的攻击, 应提高警惕, 保管好账号、支付密码、验证码、数字证书、动态口令等隐私数据, 防范因信息泄露出现的安全威胁[3].用户作为移动支付的重要参与者, 需不断提高自身的安全意识和辨别能力。尤其是提供在线电子交易的平台, 可以对用户进行基本的移动支付的安全培训, 并为用户提供及时有效的客户安全服务与指导, 第一时间帮助用户解决问题, 规避不必要的风险要素。
3.2 加强移动终端设备本身的安全
移动终端设备是保障移动支付流程安全的重要部分, 可在硬件和软件两个层次上进行安全策略的设计。在硬件系统上, 可以添加加密芯片保障核心数据的保密性和完整性;具备内置指纹传感器模块的开启该功能实现指纹验证和支付。在软件系统上, 增加层次级的安全协议, 安装防护级的应用软件, 对病毒和攻击进行有效预警和防范, 保障移动支付数据安全。尽量从官方应用中心下载APP应用软件, 在隐私数据的访问上, 坚持最小化原则, 严格限制其他程序的隐私访问权限。
3.3 基于终端认证+生物识别技术的双重身份验证策略
在移动支付系统的用户身份验证上, 使用比较普遍的就是口令+验证码的组合方式, 交易时采用数字密码方式支付。从安全角度来讲, 这种验证和支付方式是非常不安全的, 容易被破解。为了进一步保障移动支付的安全性, 可在口令验证的基础上, 实施基于终端认证+生物识别技术的双重身份验证模式。在进行支付交易时, 首先添加对终端设备的认证模式, 并记录终端设备的登录认证记录, 保障交易设备的不可否认性和合法性。目前, 一般的智能手机都具备指纹识别传感器, 可以在身份认证和支付时使用指纹操作, 大大节约了时间, 也提高了交易的安全级别。另外, 生物识别技术中的虹膜识别技术也是极具前景的身份认证方式, 被行业中认为是最安全的验证技术。由于人体眼睛中虹膜细节特征的唯一性, 通过虹膜技术进行用户身份识别, 不仅能提高支付的速度, 更能保障合法用户的账户安全。不过虹膜识别技术目前主要应用于门禁、保险箱或高保密要求场所, 如果要应用到智能手机设备上, 相应的硬件成本大幅增加, 这也是该技术在移动支付领域难以广泛应用的发展瓶颈。
3.4 提供账户资金安全保障机制
移动支付的安全性直接决定了用户资金账户的安全性, 第三方支付平台和银行机构需建立用户账户资金的安全保障机制, 提供诸如账户安全系数检测, 异常账户预警, 盗用账户资金及时止损、账户安全保险及风险赔付、欺诈资金与货物拦截等措施, 努力保障用户的账户资金安全, 并逐步降低用户自行承担交易风险的比例。
3.5 加强行业法律法规的监管
规范化、标准化的行业法律法规是移动支付安全性的重要基础保障, 需要国家、网络运营商、银行机构以及第三方支付平台协同合作, 大力推动移动支付的发展。其中, 从国家政府层面上来说, 应加快我国网络安全领域的相关法律法规的制定与实施, 建立完善的移动支付安全的监管体系, 为移动支付提供基础的法律保障。只有当网络安全相关法律体系逐步完善, 用户的安全体验才会明显提升。从网络运营商的层面上, 应为移动支付提供可靠、高效、保密的网络运行环境, 对通信信道进行加密和安全防护, 防止信息遭到窃听或截获。从银行和第三方支付方层面上, 建立移动支付行业统一化的技术规范势在必行, 致力于打造安全系数高的在线交易平台。
4 、结语
随着移动支付技术的不断升级和完善, 无现金时代终将来临。然而移动支付的安全问题是现阶段必须面对和亟待解决的技术难点, 需要多方共同努力, 为移动支付探索更安全、更高效、更稳定、更和谐的可持续发展之路。