当前位置:首页 >> 钱沿
移动支付安全至上
2017-09-26 00:32   记者周轩千  

   随着移动互联网技术的发展和账户分类管理监管模式的出台,以NFC、二维码等为代表的创新支付交互方式不断普及,推动支付业务向移动互联网迁移的同时,也带来了更大的风险挑战。数据显示,2016年全年,移动互联网欺诈交易金额为2.91亿元,同比大幅上升50%。在近日沪上举行的2017金融知识普及月暨移动支付安全大调查活动启动仪式上,各界人士就移动互联网欺诈和移动支付安全提出了各自的见解和建议。
  1  诈骗互联网化、隐蔽化
  “随着互联网金融行业迅速发展,互联网支付功能不断强大,银行卡犯罪更多地从传统的ATM机、POS机等线下支付渠道,向电商平台、第三方支付平台等网上支付渠道转移。依托互联网实施犯罪,轻松突破了传统作案手法在时间和空间上的限制,实现了跨地区甚至跨境犯罪。”上海市公安局经济犯罪侦查总队一支队支队长周海峰指出。
  中国银联电子支付研究院助理院长孙权也表示,原来的假卡、伪卡欺诈以线下为主,现在70%的伪卡欺诈已经转移到线上;同时,欺诈从互联网向移动互联网转变,93%的钓鱼网站、34.8%的恶意程序以及超过70%的诈骗短信“瞄准”了以手机为主的移动支付,正在严重威胁个人财产安全。
  周海峰指出,当前,越来越多的互联网金融平台开通了银行卡支付功能,但其支付环节的规程设定存在漏洞,成为犯罪分子盗刷他人银行卡资金的便捷通道。今年初,上海市公安局经侦总队成功破获一起利用黑客技术破译网银密码后,利用互联网理财平台漏洞盗刷银行卡的信用卡诈骗案,单张卡涉案金额高达150余万元。周海峰介绍,该案中,犯罪嫌疑人就是根据部分银行储户网银密码弱的特点,利用黑客技术,对使用弱密码的网银账户和密码实施批量破解。在登录网银获取持卡人身份信息和银行卡支付的关键信息后,犯罪嫌疑人将该银行卡信息绑定到某互联网理财平台,再盗划被害人卡内资金购买基金产品。而该互联网理财平台的漏洞在于,基金可赎回至与购买人同名的借记卡账户内。犯罪嫌疑人利用这两个漏洞,伪造被害人的身份证,到银行骗领借记卡,将基金赎回到自己冒办的借记卡内,再通过第三方支付平台转账,最后通过ATM取现,达到了骗取资金的最终目的。周海峰同时指出:“由于用网络虚拟身份掩饰了真实身份,再加上电子证据比较容易灭失,现在信用卡犯罪的隐蔽性非常强。”
  孙权也分析了移动互联网欺诈的隐蔽性和专业性特点。“诈骗分子隐藏在互联网、电信网络背后,借助钓鱼网站、病毒、木马等窃取客户身份和银行卡信息后非法兜售,并利用移动支付的便捷性实施盗刷。与受害者没有直接的物理接触,缺乏可查的现场痕迹和物证。”孙权指出,“支付欺诈手段也随着技术革新不断翻新。不法分子已经具备一定的专业水平和技能,利用一些网络技术和业务设计陷阱,研究交易流程,寻找规则漏洞,进而有针对性研发病毒。”据统计,2016年,全国各地公安机关共缴获“黑广播”3239套、“伪基站”设备3544套,破获侵害公民个人信息案件1868起。
  周海峰建议,谨慎发展互联网支付业务,遏制涉网银行卡犯罪的蔓延势头。尤其是新兴的互联网金融行业,在支付流程的设计、可疑交易的监控、专业团队建设等方面,应全面提升风险防控能力,防止互联网金融领域成为银行卡犯罪的重点区域。
  2  “三重门”可保支付安全
  周海峰指出,当前,针对银行卡信息的窃取、买卖、传递、使用等各个环节,已形成了庞大的黑色利益链:上游,不法分子甚至公共服务部门从业人员,通过各种非法渠道窃取公民个人信息及银行卡信息,并通过互联网大肆兜售获利;中游,大量有价值的信息在互联网平台汇集成庞大的信息交易数据库,无限放大了信息泄漏风险;下游,犯罪分子利用上述信息,大肆实施信用卡诈骗等犯罪活动。
  孙权表示,随着移动互联网技术的发展,诈骗行为不仅在技术上“升级”,也从“单兵作战”发展到有组织、有预谋的产业化集团作案,围绕欺诈的实施,形成了三大产业链化特征:专业的技术开发,身份信息包装和虚假身份提供,业务漏洞发现和欺诈方法传授。
  据周海峰介绍,近年来,广东某犯罪团伙以餐饮服务员为身份,掩护侧录顾客银行卡信息的案件频发。该犯罪团伙主要在上游侧录银行卡信息和下游制卡盗划这两个环节实施作案。卡信息侧录团伙在广东招募“马仔”,派往北京、上海、广州等地,应聘为高档餐饮的服务员,趁顾客消费结账之际,使用便携侧录装置窃取银行卡信息,并偷窥银行卡密码,然后将信息汇总,由该犯罪团伙出售给下游团伙。下游团伙制造伪卡后,通过ATM取现和POS机套现,达到非法占有的目的。
  周海峰表示,互联网盗用、伪卡、盗刷等类型的银行卡犯罪案件逐年上升,主要原因之一就是银行卡信息的泄露渠道越来越多样化。有的不法分子通过在POS机终端加装盗码装置,盗取信用卡信息。但他同时指出,这类利用改装支付终端远程窃取银行卡信息的案件是可以防范的。
  孙权认为,移动互联网支付的安全本质在于三个方面:身份安全,即确保交易是由本人发起的,保证交易的合法性;银行卡安全,即确保在交易的过程中,作为支付凭证的银行卡信息不会被窃取、盗用;终端安全,即作为交易发起的源头,需要防止用户输入的原始交易数据被篡改和泄露。“我们认为,从这三个方面进行相应的技术创新,可以有效地进行风险防范。”
  3  各方共同提升打防合力
  如何守护移动支付安全?某银行信用卡中心授信业务管理部人士介绍,该卡中心内部采取多渠道(信息采集、基础信息库等)、全流程(跨平台、关键节点安全策略等)、多触点(行为轨迹、风险识别等)、多维度(异常行为布控、事件关联等)的防控体系,进而部署实时监控、准实时防控、数据报表等防控策略。
  作为收单机构代表,拉卡拉支付风险总监袁晓寒介绍了拉卡拉在受理端对风控的探索,包括完善全流程的商户管理机制、持续建设实时智能收单风控系统、大力研究与应用智能风控技术、积极构建移动支付安全生态等。据介绍,拉卡拉主动与银联、银行、公安机关等上下游合作伙伴联动,构建移动支付安全体系。仅2017年以来,已为公安机关提供案件协查1400余起,收到各地警方和客户授予的表彰锦旗、表扬信10余件。
  周海峰指出,应封堵信息泄露源头,完善信息保护机制。他建议,进一步加强网上巡查,及时发现和封堵非法买卖公民个人信息的网站、论坛及互联网平台;收单机构应加强对POS机等支付终端的申领、使用、维护等环节的监管,防止支付终端成为信息泄露的源头;此外,应开展公民个人信息保护的公益宣传,引导公民自觉提高保护个人信息的意识和尊重他人个人信息的习惯。他表示,市公安局经侦总队在加强打击银行卡犯罪的同时,还将加强对犯罪趋势、特点及作案手法的分析研判,并及时将最新的风险情况向监管机构和从业机构通报,有效封堵风险漏洞,实现经侦实战与金融实务的交流互通,共同提升打防合力。
  前述信用卡中心授信业务管理部人士强调,任何防控最终还是要回归到“人”,这也是该卡中心针对客户开展投资者教育和风险提示工作的初衷所在。