快捷支付的原罪 专题库 来源:移动支付网 2017-07-07 12:39:40 快捷支付 金融科技 核心提示因为支付的快捷,才有移动支付的今天,但也是因为快捷支付的快捷,安全漏洞隐患频繁发生。 因为支付的快捷,才有移动支付的今天,但也是因为快捷支付的快捷,安全漏洞隐患频繁发生。 7月5日,中信银行武汉分行专家表示,消费者在使用快捷支付时,一定要保护好个人账户信息,不轻易点击陌生链接以及泄露个人信息,尤其是短信验证码的内容,避免因对快捷支付的不了解而造成资金损失。 在安全与便捷话题不断升级的今天,有必要谈谈快捷支付的原罪了。 快捷支付成银行卡盗刷重灾区,97%通过第三方支付 根据央行今年3月15日公布的数据显示,截至2016年年末,全国银行卡在用发卡数量61.25亿张,同比增长12.54%,增速上升2.28个百分点。其中,借记卡在用发卡数量56.60亿张,同比增长12.96%;信用卡和借贷合一卡在用发卡数量共计4.65亿张,同比增长7.60%。 在全国银行卡发卡数量迅猛增长的同时,银行卡被盗刷的案例却也层出不穷,而所涉及的盗刷金额更是一例高过一例。 今年“3·15”期间,21CN聚投诉发布了《2016年国内银行卡盗刷大数据报告》(以下简称报告)。该报告指出,2016年,全网统计银行卡盗刷共7095次,累计造成客户损失1.83亿元。特别是在线上支付风靡的当下,快捷支付取代传统的伪卡成为盗刷重灾区,而消费者依然普遍面临着遭遇盗刷后理赔困难的现状。 据了解,该报告汇集了2016年全年来自新浪微博、聚投诉网站、新闻网站、论坛及其他投诉网站共7000余条投诉信息。 其中,来自新浪微博的投诉最多,全年共计3341次,占全网总量的47%;投诉量第二大来自于21CN聚投诉,全年接到银行卡盗刷有效投诉1705次,占比24%;来自媒体的新闻报道,全年1566次,占比22%;主流网络论坛全年发布银行卡盗刷投诉469次,占比7%;其他投诉网站可获取的公开投诉量较少,仅采集到14次盗刷投诉,其中9例来自深圳市消费者委员会受理的投诉。 在快捷支付盗刷的投诉中,97%通过第三方支付盗刷。其中,支付宝涉及的银行卡盗刷投诉最多,全年共562次,位列行业第一;京东钱包次之,278次;财付通(含微信支付)245次,位列第三。 据报告统计,2016年聚投诉全网共产生银行卡盗刷投诉负面评价563次。四大行中,工商银行、建设银行、农业银行位列前三。招商银行负面评价超过中国银行、与农业银行并列第三。上述五家银行负面评价量占总量的74%。工商银行被负面评价次数最多,为173次,占行业负面评价总量的30.7%。 报告指出,2016年央行出台的《银行支付机构网络支付业务管理办法》,对第三方支付机构的监管有了长足的进步,但对银行业的相关监管细则,尚未明确,各大银行在银行卡盗刷方面的防范、处理、理赔工作,目前还没有足够的硬约束,甚至落后于第三方支付机构,导致被盗刷客户往往要百般投诉后才可能获得重视。 快捷支付的缺口 快捷支付被银行诟病已久,从开通到每次支付,都与银行传统的风控理念相去甚远。目前快捷支付的开通方式是由第三方支付向银行发送客户输入的银行所预留相关信息和手机号码来核对客户身份进行开通,并不验证银行卡密码。但从银行角度来看,个人客户资金的安全措施最重要的是密码以及本人现场验证,其他信息和方式都仅仅是辅助。而快捷支付所验证的身份资料、预留手机号等都不是银行眼中的关键性安全因素,在实际上打破了银行原有的支付安全体系。即使银行后来为竞争而推出了类快捷支付产品,但开通验证内容中必须有卡密码,这也从一个侧面验证了银行和第三方支付对关键性安全因素的认识差异。 快捷支付实质上是第三方支付在银行以密码为安全核心的“防弹衣”上破坏出的一个缺口,虽然有安全措施,但“杀手”只要被漏过来,资金被盗就是必然的结局。因此,目前通过快捷支付被盗的资金由第三方支付而不是银行进行赔付也是有其道理所在,并不是像某些媒体所说银行店大欺客只有第三方支付才为客户考虑之类。 快捷支付隐私的泄露与黑色产业链 如果仅仅是防弹衣上存在缺口但无人利用,并不会有目前如此猖獗的盗刷行为。然而目前个人隐私泄露的情况可以说是触目惊心,快捷支付与银行方核对的客户相关信息早已经不能作为识别客户身份的完善依据,更不足以成为防范风险的屏障。 4月10日,中央电视台新闻三十分节目中播出了银行卡盗刷的来龙去脉。大概内容说的是犯罪分子通过伪基站发送钓鱼短信、架设免费WIFI、改装POS等方式盗取个人信息、短信验证码和银行卡信息,再通过复杂的黑色产业链最终将资金窃取。 事实上,包括你我在内的绝大多数普通人的隐私早已经在某一群人手中流传。任何一个存储海量个人信息的网站被“拖库”或被内部人卖出后,这群人的饕餮盛宴便随之开始,而依靠这些个人信息和密码来进行客户身份验证的网站自然成为下一轮攻陷的目标,最终他们的数据库将会成为比你我更了解自己的存在。例如某些人仍在津津乐道的“社工库”,暴露在大众面前的不过是冰山一角,多个不同渠道拿到的数据库根据身份证和手机号等关键键值就可以将信息匹配在一起,对每个人的隐私信息都有了完美的画像,在黑色产业链中形成了另外一个意义上的“千人千面”。 除了非法手段之外,很多企业对客户的隐私的漠视也是隐私泄露的重要原因。比如目前移动要求客户更换4G卡时将客户常去的地址提供给电话营销人员、之前爆出的蚂蚁花呗催收通过联系关系人来提醒借款人进行还款的方式等,都是将客户隐私交给组织内权限较低的人员甚至外包人员,大大增加了泄漏的可能和日后追责的难度。 至此,快捷支付与银行所核对的信息已经失去了验证客户本人身份和意愿的能力,只有手机验证码在苦苦抵挡。 躺着也中枪的电信运营商 短信验证码是快捷支付核对用户身份的重要环节。然而手机通讯技术经过了多年的发展,从模拟信号到GSM,再到现在的4G LTE以至未来的5G,技术一直在不断的进步,网速越来越快,通话质量越来越好。但各代技术却有一个共同点:手机号码及短信不作为重要安保措施。即使体量大如移动,也一直是在NFC这条路上前行。 这其实是很正常的思路。对电信运营商来说,主营的电信业务实际上所涉及的客户资金只有话费,而话费提现要经过很复杂的流程且金额并不大,因此没有多少对卡及手机号安全方面保护的想法,若不是国家要求恐怕连实名制的想法也没有。毕竟即使卡丢失或补办,对电信运营商及其客户也不会有什么直接性的损失。直到有一天,他们被绑架到了快捷支付的战车上,才发现自己虽没有从中获得多少利益,却已被千夫所指。 目前,除了常见的伪基站伪造号码以及批量发送钓鱼短信之外,电信运营商所提供的一些服务也成为犯罪分子利用的工具。比如之前的短信保管箱保存短信验证码、最近爆出的通过邮箱发送诈骗短信等等。而虚拟运营商的170号段更是成为了钓鱼短信发送的重灾区。这些问题都在实际上将快捷支付所撕开的缺口越扯越大。然而换个角度看,第三方支付这种“没打招呼就从隔壁邻居家拿根油条当门栓”的方式又有什么立场来指责“油条”不够坚固呢? 监管与未来发展 前面的分析里,银行、第三方支付公司、电信运营商看起来各自有各自的原因和委屈,然而即使谁都没错,用户的钱被盗了也是事实。因此整个链条上的企业都应该主动承担更多的社会责任,毕竟资金的风险问题还是遵循着木桶理论的。目前,银行及电信运营商已在电话号码用户识别、换卡二次验证、伪基站自动排查、钓鱼网站拦截等方面做了大量的工作,但对于快速扩散的网上盗刷案件来说,仍有很长的路要走。 同时,监管方面并没有选择继续等待。 2015年12月底,央行出炉了《非银行支付机构网络支付业务管理办法》。在这个文件中,央行强调了银行是客户资金安全的管理责任主体,应在首笔交易时自主识别客户身份并与客户直接签订授权协议,承诺无条件全额承担此类交易的风险损失先行赔付责任,这其实是对银行提出了对快捷支付特别是开通方面的管理要求,与11年银监会的文件在本质上一脉相承。 另外,《办法》中也规定了支付机构对不能有效证明因客户原因导致的资金损失及时先行全额赔付,并对支付机构进行了风险分类,风控能力较弱的第三方支付每笔200元以上非定期的快捷支付都必须由银行方进行验证,风控能力较好的第三方支付可以与银行通过协议自主约定由支付机构代替进行交易验证,但必须将支付相关信息告知银行。 2016年4月,《非银行支付机构分类评级管理办法》正式出台。结合前面提到的《非银行支付机构网络支付业务管理办法》来看,一些技术能力不足,业务水平有限,风控能力较差的中小型第三方支付公司将逐渐弱化,直至退出舞台;而技术能力较强、业务水平较高、风控能力较强的大型第三方公司将获得优待。 同月,中央十四部委联合印发了《非银行支付机构风险专项整治工作实施方案》,第三方支付包括快捷支付在内的直连银行模式可能将在一段时间后走到终点,取而代之的可能是一个新的网络支付结算平台。 当这些监管文件落实到位的时候,我们可能需要告别原有模式的快捷支付;而迎接我们的,则是一个依然便捷但更加安全的未来。 文章综合自:长江日报、法治周末、虎嗅网,略有删减。