史兆琨

上海的余小姐经营着一个铝合金门窗店铺，一次为了获取业务信息，扫了一下“客户”提供的二维码。可在扫完不到1个小时，余小姐的支付宝和一张绑定支付宝的银行卡共计5000元被转走。

余小姐第一时间向派出所报案，同时也和支付宝公司取得联系。支付宝公司的技术人员在分析余小姐的经历后，认为导致余小姐支付宝账户被盗原因系扫“二维码”惹的祸。

很多人感受到互联网支付的快捷和方便，从而对网上支付情有独钟，他们觉得网上支付可以明显减少到银行的往来奔波之苦、可以免除排队的烦劳；另一方面，一部分人对网上支付退避三舍，不敢轻易尝试网上支付。经调查分析，不同人群对待网上支付的不同态度在很大程度上是由于他们对网上支付安全担心程度不同所致。

网络支付成黑客攻击“重灾区”

网络支付是在信息时代诞生的一种全新的支付结算方式。网上支付和其它新生事物一起，正悄悄地影响着、改变着人们生活方式和生活态度。任何新生事物刚刚出现的时候，由于人们对其了解甚少，容易产生排斥的心理。随着时间的推移，随着对这些新生事物了解的加深，将会逐渐习惯并接受。当前存在的不愿意使用网上支付的现象并不为怪。但是，人们对于网上支付的担忧折射出网上支付发展中还存在缺陷、人们对网上支付安全的心理准备还不充分。

在线交易系统安全成为黑客攻击“重灾区”。记者日前从2014中国计算机网络安全年会上获悉，2013年银行、证券等行业联网信息系统的安全漏洞、网站后门、网页篡改等各类安全事件超过500起，存在交易信息被篡改、投资信息被泄露等诸多高危风险。现阶段的支付风险主要存在于：

支付密码泄漏。一旦攻击者通过某种方式得到支付密码，可以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。这是人们对网上支付安全的主要担心所在。

支付数据被篡改。在缺乏必要的安全防范措施情况下，攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、修改收款人帐号等，达到谋利目的并制造互联网支付事件。

否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。

与此同时，地方政府网站也正面临安全考验。据国家互联网应急中心监测发现，2013年，我国境内被篡改网站数量为24034个，其中政府网站被篡改数量为2430个；我国境内被植入后门的网站数量为76160个，其中政府网站2425个。

随着互联网和金融行业的深度融合，以余额宝、现金宝、理财通等为代表的互联网金融产品市场持续升温，在给人们生活带来便利的同时也引入新的安全风险。

国家互联网应急中心监测发现，2013年银行、证券等行业联网信息系统的安全漏洞、网站后门、网页篡改等各类安全事件超过500起，存在交易信息被篡改、投资信息被泄露等诸多高危风险。

“此类互联网公司通过所运营的在线交易信息系统，掌握大量用户资金、真实身份、经济状况、消费习惯等信息，系统一旦出现安全漏洞，风险会随之传导到关联银行、证券、电商等其他行业，产生连锁反应。”国家互联网应急中心副主任云晓春说。

“他们在盗取银行账号和密码后，再通过仿冒的相应手机银行安全插件的恶意程序，截取用户收到的短信验证码，使黑客进一步完成网银支付、转账等交易操作，从而牟利。”国家互联网应急中心何能强博士说。

数据显示，去年钓鱼网站数量继续迅速增长，我国境内网站的钓鱼页面30199个，涉及IP地址4240个，分别较2012年增长35.4%和64.6%。

网络攻击手段多样 防不胜防

降低风险需要根据风险点的不同特征采取不同的风险控制措施。攻击者通常用哪些手段得到支付密码呢？

骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信（邮件）。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗，乖乖地向其泄漏自己的银行卡支付密码。

支付终端截取。攻击者可以在持卡人电脑上发布恶意软件（如木马软件）。这些软件能在持卡人输入支付密码时悄无声息地捕获，并偷偷地发送出去。

网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。

暴力攻击。通常支付密码是由数字和字母组成的一段字串。由于人类记忆能力的限制，该字串不会太长。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机，攻击者可以采用密码词典（密码词典包含了0-9数字不同字长的各种数字串组合）方式逐个试探。

其它途径获取。攻击者趁持卡人不注意，在银行柜台、ATM或POS终端记下持卡人的支付密码。

支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出，我们首先要具有安全意识和基本防范技能。持卡人应注意：

识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此，持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商，熟悉其域名，并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式，可以帮助持卡人识别假网站。

虚假短信（邮件）相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后，应确认短信发送者的真实身份或短信内容。

支付密码能轻易为攻击者骗取、窃取或破解，更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合，属于低安全强度的保护机制。目前有很多更适合采用的高安全强度的加密机制。如采用数字证书代替或补充支付密码就是一种有效方式。很多商业银行的专业版网上支付系统就是采用这种方式。数字证书的使用，大大降低了网上支付事件的数量。因此，持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式。endprint

防止支付数据被篡改需要网上支付平台采用完善的信息安全措施。当前普遍采用数字签名来保障支付数据不会被篡改。数字签名在保护数据完整性方面有两个功能：

首先，能标明支付数据特征值。即便是支付数据的细微差异，数字签名将产生内容迥异的签名结果。可以说数字签名就是支付数据的特征值。因此，一旦支付数据被篡改，通过对支付数据与签名结果比对，可以轻易识别支付数据是否被人篡改。

其次，能表明特征值是由谁产生的。设想一种情形，倘若攻击者篡改数据后同时将原签名结果替换为攻击者的签名，比对支付数据和签名结果时很难发现数据被人篡改。因此，为了识别支付数据究竟是否被修改，还需要验证支付数据特征值的真实产生方。只有确认特征值是由持卡人产生且特征值与签名结果匹配才能确认支付数据有效。

国内网络支付安全总体可控

木马、病毒、黑客攻击等风险自互联网诞生之日起就如影随形，而网上支付跟钱密切相关，一些不法分子看到有利可图便千方百计瞄准了这一领域。

中国互联网络信息中心提供的一份调查显示，30.4%的非网上支付用户是因为感觉不安全、担心资金被盗而不使用，还有11.8%的非网上支付用户担心账户信息泄漏。

国务院发展研究中心金融研究所副所长巴曙松认为，经过近10年的发展，国内互联网支付企业，特别是市场份额较大的主要企业在安全方面的大量基础投入，使得网上支付的安全技术不断完善。网上支付的安全技术，诸如控件、UKey、动态口令和证书、钓鱼网站的实时拦截等已经比较完善，国内网上支付的安全总体上是可控的。

全球电子支付管理服务提供商CyberSource的数据也显示，从欺诈率来看，中国网上支付的欺诈率为万分级，远低于国际平均水平。

网络支付目前依然存在四个方面的问题：一是整体产业链上安全防范水平参差不齐，持牌的中小第三方支付机构的安全投入有待提高；二是行业安全联防协作程度有待提高，高风险客户、商户、区域、IP地址等黑名单共享方面有待加强；三是重安全技术手段，轻用户风险教育，用户的安全感不足，安全防范意识不够；四是网上支付及电子商务整体行业基础设施、外部环境管理尚有待加强，业务连续性的保障力有待加大。

网络支付具有互联网和金融的双重特征，风险管理策略跟传统线下支付有所不同。传统线下的支付风险管理特点是高进入门槛和日常监控，需要支付介质、面对面交易，所需成本较高，但最可信。而网络支付是无支付介质的，不可能面对面交易，而且准入门槛较低，在风险管理方面更强调基于行为特征的风险实时监控与风险识别。

“传统金融机构通过增加交易成本来减少风险损失，这同时也降低了交易成功率。在网络支付的风控中，效率与安全的平衡至关重要，风险控制不能以牺牲效率和客户体验为代价。如果牺牲效率换来安全，产业链上的收入无法覆盖成本，企业和服务很快就会在竞争中被淘汰。”巴曙松表示。

网上支付安全

需多方共同完善

专家认为，对于网上支付安全的管理，监管部门应该从关注中国网络支付产业的国际竞争力的前瞻性角度进行规划。网络支付特别是跨境支付发展到一定阶段后，游戏规则及安全要求都会发生变化。华为、中兴等中国企业此前就曾被美国众议院情报委员会认定可能威胁美国国家安全。中国的网络支付企业是否会遇到、如何避免类似问题，关乎中国企业的国际竞争力。

正视支付安全问题需要从社会效益的角度对网络支付风险水平有一个客观认识；积极推进支付企业网络支付的风险管理及业务创新，参照国际惯例建立一个能充分保障消费者权益的风险承担机制；同时也希望政府能够建立一套打击相关网络犯罪的有力机制。

相关专家同时建议，全行业都应关注网络支付的数据信息安全。随着信息技术的发展，筛选分析、统计利用支付信息的需求和能力将越走越近。支付交易产生或沉淀的数据信息分析将成为网络支付领域的下一个“金矿”。支付交易信息分析必须严格遵循数据信息安全的基本规则，切实保护客户信息。

国家金融信息中心总经理焦然预测，未来建立在大数据业务基础之上的信息化金融，将形成一种以信息为主的智慧金融模式。因此，数据业务有可能成为收入的重要来源，掌握和拥有巨大信息流和数据核心技术的企业将面临更广阔的机会和重要竞争优势，这也将为企业的业务创新提供崭新的发展空间和重要方向。

在享受网络支付带来便利的同时，不能忽略其存在的安全漏洞：一方面，需要严防身份信息被盗窃或者是泄露；另一方面，尽量只在网络支付上应用小额支付，避免大额资金被盗取。endprint