移动支付的风险分析及安全策略
2017-07-22米楠
米楠
摘 要:随着电子商务的快速发展,移动支付符合电子商务发展的支付需求,同时也是支付方式发展的主要方向。移动支付有着诸多的优点,但其中存在的安全性问题不容忽视,不仅制约着电子商务的发展,同时也威胁着用户的经济利益。本文将对移动支付存在的安全威胁进行分析、汇总,并对移动支付存在的安全问题提出解决办法和建议。
关键词:移动支付;风险分析;安全策略
1 引言
移动支付也称为手机支付,就是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。
移动支付突破了传统电子商务的载体和地域限制,真正实现随时随地地通过无线方式进行交易,大大增强了买卖双方的灵活性和支付性,从而使大规模用户参与和个性化服务成为可能。2016年是移动支付快速发展的一年,全球市场呈现爆发式增长态势,据专业调研机构分析,2016年全球移动支付用户将突破10亿,移动支付交易额将达到2000亿美元。
根据中国银联近日发布的《2016移动支付安全调查报告》显示,2016年消费者网上消费金额及使用移动支付人数占比呈现双增长。根据报告,去年有超过九成的受访者曾使用手机完成付款(在商户现场支付或远程支付)。约四成的受访者选择“大额支付用卡,小额支付选手机”。
但是,目前在移动支付信息安全保障方面还存在着很多问题,报告显示,2016年电信诈骗案件持续高发,消费者受损比例持续走高。约有1/4的被调查者表示遭遇过电信网络诈骗并发生过损失,较2015年上升11个百分点。据调查,遭受电信网络欺诈的被调查者中,超过八成遭遇过盗用社交账号诈骗,较2015年同比增长了36个百分点。另外,木马链接短信和骗取短信验证码等欺诈手法也是常见的支付欺诈方式,遭遇两类手法的持卡人比例达到63%和51%。因此,保障移动支付安全将是移动支付发展的一大瓶颈。
2 移动支付的风险分析
2.1 基础网络风险隐患
运营商网络通信环境的潜在威胁无处不在。一是手机目前还无法完全验证网络接入点的安全性。黑客从伪基站、恶意WiFi网络可能获取用户信息,发起恶意攻击。二是在无线通信网络中,黑客可通过技术手段窃听无线信道,截获传输消息报文,伪造合法用户身份或篡改数据信息。三是一些不法分子利用伪基站技术发送诈骗短信,利用群呼、透传等技术实施电话诈骗,将主叫号码伪装成虚假的银行、运营商等官方号码,迷惑用户上当受骗。
2.2 移动设备安全漏洞
移动支付业务的实现依托移动设备,而作为最常用的移动设备,智能手机的安全性值得高度关注。一是手机操作系统漏洞不易修复。手机生产商在安卓操作系统上进行个性化定制开发后,难以形成统一的技术标准,尚未形成如个人电脑Windows系统那样全球统一的漏洞发布与补丁更新机制,手机操作系统的安全性面临挑战。二是手机病毒防范能力较弱。手机客户端软件打开的网址往往无法被手机安全软件捕获,二维码扫码工具仅简单地将二维码翻译成网站地址,并不具有识别恶意网址的能力,使得手机被木马程序入侵的几率大增。
2.3 服务提供商重便捷轻安全
第三方支付机构通过抢红包、打车补贴、互联网理财等支付场景积极抢占移动支付市场,往往牺牲部分安全性以提高便捷性。如部分快捷支付功能在绑定银行卡后仅需输入支付密码即可完成网上支付,二维码扫码支付通过手势密码登录客户端后就可进行200元以下的免密小额支付,某些应用程序通过读取通讯录和短信记录可实现免填验证码等,强调了用户体验,却埋下了安全隐患。如何在便捷与安全之间寻求平衡点成为移动支付产业链各方积极探寻的突破口。
2.4 行业制度规范尚不完善
我国移动支付方兴未艾,相关规章制度正在逐步建立和完善中,尚未形成明确的监管框架和体系,在发展过程中难免会出现责任不清、监管缺失的真空地带。当前,互联网上借贷理财、众筹模式、虚拟比特币等新兴金融工具给别有用心的不法分子留下了可乘之机,如红包浪潮中红色“AA收款”诈骗事件再次给我们提出安全警示。完善制度约束,保障信息安全已经成为当务之急。
3 移动支付的风险防范措施
相对于传统的支付方式来说,移动支付的安全问题尤为严峻,产业链上所有部门都必须从技术到信用通力合作。如果要让移动支付更好的为人们提供方便快捷的服务,就必须先保证个人隐私和信息安全,如果人们在第一次认识移动支付时就有很不好的或者不安全的体验,那么以后移动支付想要扭转这个“第一印象”会非常困难。因此手机支付发展的瓶颈是安全问题。根据移动支付的安全问题,可以采取以下措施,从而保证其安全性。
3.1 完善手机支付的安全管理
首先,对于移动应用发行商与移动支付服务商,二者要加强安全管理,通过测试与监管等手段,对恶意应用进行预防,对应用软件进行全面的管理,从而保证应用市场的安全性,提升发布渠道的安全性。其次,要提升安全防护能力,对于智能终端、应用软件与操作系统等进行不断的研发,从而保证其安全能力的逐步提升。最后,可以将手机支付业务也纳入到金融法律法规监管范围,当用户遇到欺诈等安全问题时可以在法律责任上找到明确的判断,明确各方应付的责任和赔付条款。
3.2 强化安全模块的保护功能
安全模块的功能主要是保证应用的实现,同时保障数据的安全存储,并且要提供相应的安全运算服务等。安全模块具有较高的安全性,在手机支付过程中,可以利用手机中的安全模块,即:用户识别卡(SIM),用户识别卡保证着手机支付的安全,是最为基础的安全保障,在其中将用户的私钥与数字证书进行存放,此时,要保證密钥也在卡内,对于加密与解密等操作,均要在卡中实现,从而将实现对用户数据信息的保护。现阶段,在手机支付中,主要的方案是机卡协作,此方案是最为基础的,其原理与Usbkey相似,其主控制芯片便是安全芯片,进而具有了诸多的功能,如:防复制、防篡改、抗攻击等。
3.3 引导客户建立手机支付的安全意识
培养良好的手机使用习惯,譬如只从官方网站或可信任的网站下载软件,安装手机安全防护软件,不点开陌生的彩信,不接收陌生的蓝牙推送程序,不随意扫描二维码.不要随意连接陌生兔费WiFi等。
参考文献
[1]陶凯.红包大战引发对移动支付安全的冷思考[J].中国信用卡,2015(5)
[2]陈钟.移动支付安全保障——挑战与机遇[J].金融电子化, 2012(6)
[3]任国威,刘丽娜.物联网时代移动支付安全策略[J]. 制造业自动化,2011(16)
[4] 刘冠群. 浅谈移动支付的安全性[J].信息工程,2015(3)