在互联网金融发展浪潮中,发展变化最快的应当属支付领域。从产品形态看,快捷支付、手机刷卡器、NFC、声波支付、二维码支付等新产品的不断涌现,支付产业无卡化、移动化趋势发展明显。然而,持卡人在移动支付产品中享受随身、随时可支付的同时,却迟迟未能从小额支付走向大额支付,其中重要的原因就是我们产业各方当前所面临移动支付中的安全挑战。
一、移动支付终端设备面临社会化的新安全挑战。
无论互联网金融中互联网支付还是移动支付,在当前爆发式增长背景下,交易中的风险管理正处于关键阶段。随着支付市场格局的变化,以及信息技术和商业业态的发展,互联网时代支付产业欺诈风险管理方面将面临一些新的挑战。
伴随手机、平板电脑等新型智能终端的普及应用,为移动支付的应用和发展创造了应用环境,新的支付方式也在这些智能终端上开始不断演变和迁移。移动支付从本质上来看是对支付终端的创新,从应用环境来看,智能终端起初为社交、娱乐、通信需求而产生,但其软、硬件安全环境并非为金融而设计,从安全性来看,目前与金融支付的专业设备在安全方面还有一定的差距。目前大多数手机由于社交和通信的需要,基本都是实时与互联网相连的,在开放的网络环境中犯罪分子可远程持续查找各类支付产品设计缺陷或环节管理漏洞进行欺诈。同时,还有部分新加入互联网金融业务的公司所研发的新产品,过度追求自身客户数量的增速,仅关注交易的成功率,迫于产业资本回报、公司业绩等压力,忽视交易的欺诈率,其对业务流程的安全性措施建设投入不足。非面对面欺诈正在成为金融支付领域发生频率最常见的欺诈手段之一。
二、手机应用程序(APP)无限度收集隐私内容成为移动支付安全防范的难点。
大数据时代环境下,“大数据”已经成为互联网企业以及互联网金融企业的重要标签之一。
这些数据的重要来源之一就是客户使用的终端上每次点击行为所产生的数据。可以说智能手机应该是每个人每日点击次数比较多的终端。如果要收集各类信息就需要通过终端上的程序来实现。
这些收集行为有些已经超越了基础的商业服务,在安装程序时强迫客户接受超范围获取隐私信息协议,比如部分程序具有发送短信、监听短信、获取手机联系人、获取通话记录、获取手机位置,这种现象还是比较普遍的。比如很多手机应用程序可以监听用于支付的短信验证码,自动提取客户收到的验证短信,虽然改善了持卡人的体验,但直接破坏以短信校验风险控制手段,欺诈分子可以将原有补办SIM卡获取校验码,转向到攻击手机APP安全措施中来,相对于营业厅补办SIM来说,这种方式更为隐蔽和安全。近期央视等媒体持续性对手机安全进行了连续的实验,手机安全环境结果令人堪忧。因此,如果移动终端软硬件环境的安全措施不够,就可能会发生信息泄露的风险。
三、移动支付主要验证模式囿于信息验证,安全模块参与程度较低。
从发生的移动欺诈案例来看,主要集中在APP二次打包中植入木马、伪基站推动钓鱼网站、二维码植入木马病毒等,其欺诈目标基本指向用户支付认证信息:如身份证号码、银行卡号、支付密码、短信验证码等。
这些信息也是当前电商为客户提供账户确认、支付服务主要依赖的信息,承载或输入这些信息的终端仍然是手机软件。在整个环节中,手机处理支付信息与社交信息在处理方式上没有本质区别,这就是当前欺诈分子为什么通过各种渠道需要向受害者的手机植入木马,实施监听、转发、屏蔽信息。而具有安全模块的手机在支付时风险较小,其通过密钥对核心信息进行保护,具有可通过交互和安全认证的方式对交易的真实性进行确认和授权,比如NFC近场支付时基于物理载体,有硬件加密。虽然这种手机可能会在同等性能的手机中价格略高,但是我们已经看到一些有前瞻性的手机厂商,陆续将可用于支付的安全模块作为手机的标配投放市场,满足客户提升移动支付安全的需要。
四、支付业务参与主体风险开始显现。
互联网具有开放、多元化的特点,吸引着社会各路资本进入互联网金融领域展开搏杀。支付行业由于承担着互联网金融的“血管”网络的职能,有幸成为热门行业中的热土。但从当前政策环境看,其准入门槛较低,各机构间在资本规模、资信稳定、风险管理及承担能力等方面差异较大,非理性竞争、无安全措施的创新、风险管理能力不足成为新入主体的主要特征,或将出现部分支付机构出现资金偿付不足等业务经营风险。当前市场中甚至出现个别主体通过网络技术,制造、变造虚假信息,刻意隐瞒真实交易信息,干扰其他主体原有风险识别体系,希望降低外部因素对自身业务发展的影响,寻求同类业务替代效应。
在缺少制度与秩序的互联网环境中,正在朝向“创新无责、业务无界、竞争无序”的“三无”局面加速演变。
五、个人信息和数据安全问题日益严重。
以云计算为代表的信息技术发展,以及瘦终端的大众化,给新支付技术和收单处理模式等带来无限可能,大量数据在云端存储,但由此带来的客户个人信息安全隐忧,特别是系统性账户信息安全泄露风险将更为严峻。随着众多机构加入支付市场,支付在人们生活中的影响进一步扩大,支付安全的重要性也日益凸显,需要更加严肃对待和关注。
六、高风险商户成为欺诈资金的重要路径通道。
个人认为移动支付的风险防控还有一个重要环节,一直未能得到社会的重视,就是网上高风险商户的管理。从欺诈资金转移方式来看,移动支付实施欺诈后的资金终究还是通过互联网商户进行变现或转移资金的。犯罪分子通过移动支付渠道实施欺诈后,其盗刷银行卡的大额欺诈资金的转移需要网上商户的配合。
互联网商户的申请、审核、管理均采用非面对面方式操作,网络的虚拟化环境吸引了不法分子利用设立虚假商户、钓鱼商户、套现商户等进行虚假销售、信息窃取、套现、洗钱、销售假冒商品等非法活动的情况。
我们经常听到互联网企业谈平台战略,平台模式,现实的问题是商户所驻扎的互联网商业平台对虚假商户或欺诈集中交易商户,平台企业与虚假商户如何分配责任并没有相应的规定。另外,一些商户凭借互联网技术手段,再自行搭建自己的商户平台,利用已获得的平台支付通道,为其他商户提供支付结算服务,多级代理的方式让消费者在互联网环境中更加难以甄别其中的真伪,也让警方打击犯罪侦查取证颇费周折。
不法分子往往会通过伪造相关证明材料、虚构经营业务等方式尝试开立非法商户。一旦此类商户入网,容易造成公民个人信息泄露、非法资金交易、犯罪资金转移等诸多问题,并会对整个金融支付行业的安全及信息安全稳定带来负面影响。
七、提升移动支付安全的对策建议。
1.加快电子支付法律制度的优化和完善。
不仅要加强对创新电子支付犯罪表现形式纳入的刑事规制的研究范围和立法视野中,同时重点推动建立以持卡人权益保护、互联网商户识别与管理、个人信息安全为核心的监管政策与法律体系,建立各参与方合理责任分担机制。
2.建立移动支付产品安全等级评价体系。
建议由权威机构或第三方专业风险评估机构,根据不同互联网支付企业的产品特点,按安全等级给予不同的评价,从支付系统运维安全与保护、产品流程风险评价、产品软件硬件环境等多维度进行系统性评价设计,给出不同产品的安全评级,按照不同等级区别确定支付限额,降低高风险支付产品对金融账户的风险影响。
3.畅通移动支付产业联合防范机制。
互联网平台企业、互联网商户与支付机构之间应进一步加强移动支付风险交流协作。在国家相关监管部门的指导和产业单位的支持下,利用现有相关风险联合防范平台,在规范标准制定、风险信息共享、风险联动处置等方面更加紧密合作,共同防范欺诈犯罪。