移动支付的安全“密码”
2017-05-17董莉
董莉
二维码支付一度因安全性被央行叫停,那么如何在方便快捷的同时保障支付的安全性呢?
二维码是打通线上线下的重要入口,随着行业标准、技术标准的出台以及支付环境不断完善,二维码已经广泛应用于制造业、物流业、零售业、餐饮业等领域。在支付体验方便快捷的同时,风险也相伴而生,解决好安全问题是二维码支付发展的关键。
中国支付清算协会调研显示,安全性是移动支付用户最看重的因素,占比达73.4%。“移动支付产品和服务所涉及到的客户资金规模和信息流量迅速提升,吸引了一些不法分子的关注。”中国支付清算协会副秘书长王素珍说,“这些病毒可以读取、截获手机短信验证码,再结合用户的身份证、银行卡号等信息,截取用户的信息。再有一些不法分子通過钓鱼网站,将木马病毒植入到二维码当中。”
在猎网平台2016年接到的手机端用户举报数量中,有4265人是通过银行转账、第三方支付、手机充值等方式主动给不法分子转账,占比66.4%;扫二维码支付的有107人,占比1.7%。从涉案总金额统计来看,钓鱼网站支付,占比48.4%,累计2098.3万元;扫二维码支付占比0.9%,累计38.0万元。
在王素珍看来,移动支付涉及到用户的隐私和资金安全,移动支付发展越快,应用得越广,安全性就越重要。“要把安全问题放在移动支付发展优先考虑的位置,还要加强产业链上的安全合作,统一安全、技术标准和业务规则,完善信息共享机制,实现风险的联防联控。”
支付闭环内的风险
二维码是一种能存储信息的特定格式图片,可以看作一种秘文形式的信息载体,而二维码支付通常指的就是包含了商户信息和金额的订单信息。从技术来说,二维码支付的本质和网络支付一致,安全性与网站类似,也就是说乱扫二维码就等于乱浏览网站,风险势必随之存在,因此,二维码支付面临的安全质疑并不是新生事物。
随着通过二维码传播钓鱼网站、发布手机病毒等诈骗活动逐渐增多。2014年3月,央行下发的紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,称“条码(二维码)应用于支付领域有关技术、终端的安全标准不明确,相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患”,叫停条码、二维码支付等面对面支付服务。
中国金融认证中心(CFCA)助理总经理张行介绍,二维码只是一种承载信息的载体,可以承载商户信息、交易金额、支付凭证信息等正常的交易信息,也可以承载钓鱼网址或者恶意代码的下载网址等恶意信息。同时,二维码支付是一种创新的互联网支付方式,而对于一些创新型的互联网业务,为了保证业务前期的快速推广,通常业务经营者会在用户体验和业务安全的天平上向用户体验倾斜,在业务安全方面考虑不多,投入不足,从而让一些不法分子有机可乘。
“为了保证二维码能够在支付业务中安全使用,我们需要对二维码支付业务设计完整的安全机制,保证二维码在发码、传输、应用的过程中不被恶意利用,不被装入恶意信息。”张行说。
就刷卡来说,传统的POS刷卡流程是一个四方模式下的循环往复:用户在进行消费的商家POS机上刷卡,收单机构的POS机将读取的刷卡信息通过数据线(通常是电话线或网络接口)发送到清算组织(中国是银联),再通知到用户所用卡片的发卡银行,经银行确认无误,再原路返回到POS终端,即完成了一笔支付流程。
张行认为,传统的POS刷卡流程是在一个相对封闭的环境中完成,卡号、交易密码等敏感信息泄露的风险较小。而互联网支付业务,包括二维码支付,支付过程是在开放的互联网环境中完成的,卡号、交易密码等敏感信息存在很大的泄露风险。通过采用Token技术可以在很大程度上降低持卡人敏感信息泄露的风险。
Token是国际芯片卡标准化组织EMVCo于2014年发布的一种加密技术,在商家和用户在交易过程当中,真实账号被一个虚拟的账号代替。Token由发卡方发行并且读取,在交易过程中,即使截获了Token也无法进行交易。另外,虚拟账号和一款具体的设备绑定在一起。如果手机丢失,用户只需通知银行重新分配一个等电子令牌即可,而无需重新发卡,节约成本的同时也提高了支付的安全性。EMVCo在规范中描述了四种典型场景:在线商户、数字钱包、非接NFC支付、二维码支付,包括了线上支付场景与线下支付场景。
不过,Token技术在降低了个人隐私信息泄露风险的同时,如何保护好Token本身的安全也很重要。“在Token的产生、Token与真实卡号之间的转换、Token的传输、Token的保存等环节,都应该有完善的保护措施。”张行说,“比如引入电子签名技术,从而确保Token自身的安全。”
增加安全认证
如今的扫码支付形式有两种:一种是主扫,即收款码支付,商户提供收款二维码,消费者用手机APP扫码支付。另一种是被扫,即付款码支付,是消费者提供付款二维码,而商户使用扫码枪等设备扫码收款。
在张行看来,基于扫码形式的不同也会带来不同的隐患。二者相较,张行更倾向主扫,主扫模式使用户拥有更多的支付主动权,被扫较适合公信力高的商超,容易有交易纠纷的场景则不适合。
他认为,电子签名技术是目前互联网业务中最成熟可靠的一种技术手段,它可以有效地解决互联网业务中的身份认证、防止交易信息篡改、保证交易信息传输和存储安全的问题。在二维码支付业务中,也可以引入电子签名技术,保证二维码制作、传输发布、验证过程的安全。
具体来说,第三方电子认证机构在二维码发布者的信息通过审核之后,为二维码发布者发放一张具有法律效率的数字证书。在二维码产生的过程中,用发布者的数字证书对二维码信息进行签名,从而保证二维码信息不被篡改和抵赖;在扫码获取信息后通过验证二维码的电子签名信息,从而验证二维码发布者身份的真实性和二维码信息没有被篡改。在支付交易出现问题的时候,也可以通过二维码的电子签名追溯源头。
据了解,目前,支付宝、微信支付、中国银联及多家银行等均已在二维码支付中采用数字签名、安全加密等技术手段,确保二维码生成、传输和解析在各自体系内闭环运行,技术上保障用户资金和信息安全。支付宝在产品功能上做了一些尝试,比如通过收钱码付钱后,商家的手机端都会收到到账语音提示,让商家不用担心少收钱或者款付到别人的二维码中。
另外,去年12月12日,中国银联也推出了二维码的支付标准,包括《中国银联二维码支付安全规范》和《中国银联二维码支付应用规范》两个规范,表明要遵循现有银行卡支付的四方模式,各方现有的利益分配不会收到任何影响,不存在因资金沉淀在虚拟账户带来金融风险。另外一点突出的是采用Token技术对账户敏感信息进行保护,确保账户信息在存储、处理和传输过程中的安全性。
全国政协委员梅兴保也认为,尽管国内二维码支付在市场成熟度上已领先全球,但业务和技术创新性上仍具有很大成长空间,应鼓励市场机构通过业务和技术创新防控风险。通过技术创新对二维码标识加装防伪标识,避免因误扫二维码而导致的欺诈发生,同时在风险事件发生后,可通过商业保险等方式化解消费者和商户风险损失。