11月中旬的一個(gè)下午,身在上海的王雷(化名)發(fā)現(xiàn)自己的手機(jī)突然失去信號(hào),咨詢運(yùn)營(yíng)商后的答案令人吃驚:他的手機(jī)被掛失重新補(bǔ)辦號(hào)碼了,。此后發(fā)生的事情讓他更摸不著頭腦——自己的銀行賬戶被轉(zhuǎn)走了共計(jì)6萬(wàn)多元。
這是一起盜刷案件,,不法分子獲取王雷的身份和銀行卡信息后,通過(guò)偽造其身份證在廣東補(bǔ)辦了王雷手機(jī)卡號(hào),,再通過(guò)注冊(cè)一個(gè)支付寶賬號(hào)關(guān)聯(lián)了王雷的銀行卡,,從而達(dá)到轉(zhuǎn)賬目的。
這已經(jīng)不是支付寶“快捷支付”第一次爆出盜刷事件,。所謂“快捷支付”,,就是把銀行卡賬戶與“支付寶”等第三方支付平臺(tái)的賬戶相連接,在網(wǎng)購(gòu)時(shí)可以直接輸入后者的密碼進(jìn)行交易,。易觀國(guó)際高級(jí)分析師張萌告訴記者,,快捷支付和網(wǎng)銀支付最大的區(qū)別是不需要像網(wǎng)銀支付一樣跳轉(zhuǎn)到銀行網(wǎng)關(guān)。
昨天(11月18日),,支付寶(中國(guó))網(wǎng)絡(luò)技術(shù)有限公司(下稱“支付寶公司”)相關(guān)負(fù)責(zé)人在接受記者采訪時(shí)強(qiáng)調(diào)了信息安全的保障性,,但并不否認(rèn),,如前述事件中用戶信息大量泄露,其賬戶風(fēng)險(xiǎn)概率會(huì)很高,,“相當(dāng)于表面上的防線被別人全部掌握了,。”
在互聯(lián)網(wǎng)金融日益深入的今天,,支付寶面臨的“快捷隱憂”也是整個(gè)第三方移動(dòng)支付行業(yè)面臨的安全課題——一面是用戶享受到的支付便捷,,另一面卻是為了追求用戶體驗(yàn)而埋下的風(fēng)控隱患。
“目前第三方支付行業(yè),,不能光發(fā)了牌照就好了,,行業(yè)準(zhǔn)入門(mén)檻要提高,例如支付寶平臺(tái)運(yùn)行時(shí),,有快捷支付這樣的創(chuàng)新之舉,,但更加要做好創(chuàng)新過(guò)程中的監(jiān)管問(wèn)題,樹(shù)立行業(yè)的安全標(biāo)準(zhǔn),�,!敝袊�(guó)電子商務(wù)研究中心主任曹磊對(duì)本報(bào)記者說(shuō)。
快捷底線
2011年,,支付寶推出“快捷支付”,。通過(guò)該支付平臺(tái),用戶無(wú)須開(kāi)通網(wǎng)銀,,可以直接通過(guò)輸入卡面信息快速地完成支付,。“換言之,,他們就是通過(guò)一個(gè)賬號(hào)來(lái)實(shí)現(xiàn)支付,�,!币患也辉敢馔嘎缎彰牡谌街Ц稑I(yè)內(nèi)人士對(duì)本報(bào)記者透露,。
這意味著這樣的支付可以繞開(kāi)銀行,首次關(guān)聯(lián)也無(wú)須輸入銀行卡的取款密碼,,這點(diǎn)得到了支付寶客服的確認(rèn),。本報(bào)記者在支付寶上嘗試快捷關(guān)聯(lián)了一張銀行卡,發(fā)現(xiàn)確實(shí)只需要通過(guò)輸入手機(jī)收到的驗(yàn)證碼就可以完成一筆支付,。
也就是說(shuō),,欺詐者只需要掌握了用戶的身份信息和銀行卡號(hào),并且能獲取手機(jī)驗(yàn)證碼,,就可以成功盜取銀行卡中的錢(qián)款,。這也是不法分子首先拿王雷的假身份證去補(bǔ)辦SIM卡的重要原因。
便捷是否讓安全的“邊界”模糊起來(lái),?“支付寶快捷支付存在一些安全隱患,,比如,,第一次驗(yàn)證也不需要輸入銀行密碼,相對(duì)來(lái)說(shuō),,銀行在身份驗(yàn)證上做得更嚴(yán)格許多,。”一家股份制銀行電子銀行部負(fù)責(zé)人透露,。
昨天,,記者致電工商銀行和建設(shè)銀行,這兩家銀行的客服人員均表示,,客戶在使用“快捷支付”時(shí),,不用通過(guò)銀行網(wǎng)銀,所以交易過(guò)程不受銀行保護(hù),。
電子商務(wù)觀察者,、萬(wàn)擎咨詢CEO魯振旺稱:“支付平臺(tái)的風(fēng)險(xiǎn)關(guān)鍵存在于快捷‘支付密碼’的設(shè)置上;當(dāng)手機(jī)和銀行卡綁定后,,撿到手機(jī)的人不需要輸入卡號(hào),,就可以獲取密碼。這是支付平臺(tái)存在的巨大隱患,,而且這個(gè)隱患越來(lái)越嚴(yán)重,。”
近期,,國(guó)內(nèi)部分媒體曾多次報(bào)道,,因“快捷支付”銀行卡遭遇網(wǎng)絡(luò)盜刷的事件。今年8月份,,騰訊旗下第三方支付平臺(tái)財(cái)付通的一些用戶也抱怨賬戶被盜,。
支付寶回應(yīng)
昨日晚間,支付寶公司相關(guān)負(fù)責(zé)人向本報(bào)記者回應(yīng)盜刷事件稱,,事件的起因在于有人使用假身份證在營(yíng)業(yè)廳補(bǔ)辦SIM卡,,這本身是支付寶不可控的;對(duì)于任何起因的快捷支付被盜問(wèn)題,,該支付寶用戶將獲得平安保險(xiǎn)100%的賠償,,本身不會(huì)有任何損失。
2011年,,支付寶就明確表示,,用戶使用快捷支付如果遭遇資金損失,支付寶將全額給予賠付,。2013年10月17日,,支付寶宣布向所有“快捷支付”用戶免費(fèi)贈(zèng)送一份資金保障險(xiǎn),該保險(xiǎn)由中國(guó)平安財(cái)產(chǎn)保險(xiǎn)股份有限公司承保。
但王雷還未享受到這一“福利”,,“支付寶到現(xiàn)在都沒(méi)有任何說(shuō)法,。”王雷告訴本報(bào)記者,,目前距離盜刷事件已經(jīng)過(guò)去了將近一周的時(shí)間,。
使用支付寶快捷支付時(shí),不用輸入銀行卡密碼,,是不是降低了資金的安全性,?上述支付寶公司人士表示,按照互聯(lián)網(wǎng)支付的國(guó)際慣例,,一般不會(huì)直接輸入銀行卡的取款密碼,。原因在于,首先,,銀行卡的6位數(shù)字密碼用在互聯(lián)網(wǎng)上安全強(qiáng)度不夠,;其次,如果遭遇釣魚(yú)網(wǎng)站或黑客攻擊,,銀行卡密碼泄露的風(fēng)險(xiǎn)更大,。
他表示,除了“快捷支付”密碼,、手機(jī)校驗(yàn)碼等,,支付寶還有用戶看不見(jiàn)的后臺(tái)風(fēng)控系統(tǒng),但是,,該人士也承認(rèn),,客觀上說(shuō),上述盜刷事件中受害人身份信息幾乎全部泄露,,其賬戶風(fēng)險(xiǎn)概率會(huì)很高,。
“對(duì)身份證信息驗(yàn)證不足,輸入密碼時(shí)缺少多重認(rèn)證,,正是支付寶快捷支付最大的漏洞,。”一位銀行業(yè)人士分析,,快捷支付是一種創(chuàng)新,,但身份證驗(yàn)證是一種底線,,如果沒(méi)有足夠的風(fēng)控能力,,只是省略程序就當(dāng)做創(chuàng)新,這是對(duì)整個(gè)行業(yè)的一種傷害,。
安全VS快捷
中國(guó)電子商務(wù)投訴與維權(quán)公共服務(wù)平臺(tái)監(jiān)測(cè)數(shù)據(jù)顯示,,在2012年度全國(guó)第三方支付領(lǐng)域投訴中,財(cái)付通占比為23.50%,,國(guó)付寶占比為19.83%,,支付寶占比為16.70%,,易寶支付占比為9.35%,百付寶占比為4.90%,。
“第三方支付的安全問(wèn)題的性質(zhì),,與傳統(tǒng)的信用卡被盜刷等現(xiàn)象類(lèi)似�,!盜BM資深戰(zhàn)略分析師王祺認(rèn)為,,第三方支付平臺(tái)提供增值服務(wù),簡(jiǎn)化交易流程是對(duì)整個(gè)支付模式的改變,,安全問(wèn)題是該模式內(nèi)可控的問(wèn)題,,只是需要找到改進(jìn)和完善的方法。
“銀行的信用認(rèn)證是靠個(gè)人身份證認(rèn)證,,這是唯一的身份認(rèn)證,;支付寶等第三方支付則有多種認(rèn)證方式,如:實(shí)名身份認(rèn)證,、手機(jī),、郵箱等�,!蓖蹯鞣治龇Q,,相較于銀行個(gè)人身份證認(rèn)證的物理性,第三方支付平臺(tái)可以使用手機(jī),、郵箱等虛擬信息進(jìn)行認(rèn)證,;少了實(shí)物認(rèn)證后,用戶交互體驗(yàn)的復(fù)雜度降低,,這就增加了用戶體驗(yàn),。
在王祺看來(lái),這也表明在第三方支付平臺(tái),,用戶體驗(yàn)和安全性的平衡點(diǎn)在于:你是選擇虛擬信息認(rèn)證還是實(shí)物認(rèn)證,。但頗為微妙的是,這個(gè)選擇權(quán)既在第三方支付平臺(tái)手中,,也在每個(gè)用戶自己的手中,。
魯振旺認(rèn)為,快捷和安全之間需要找到一個(gè)均衡點(diǎn),,不能為了快而降低安全水平,。他分析稱,網(wǎng)銀支付之所以麻煩是因?yàn)橐斎胨行畔�,,快捷支付的安全�?wèn)題解決手段可以考慮輸入賬號(hào)的后4位數(shù)或設(shè)置消費(fèi)額度等來(lái)解決,。曹磊稱,首先要確保安全性的前提下,縮短流程再改進(jìn)用戶體驗(yàn),。
前述支付寶人士也表示,,安全與便捷之間需要一個(gè)平衡,安全性越高可能用戶使用更加復(fù)雜,;其內(nèi)部將不斷提高智能風(fēng)控精準(zhǔn)度,,同時(shí)提示用戶注意自己的信息保護(hù)。
僅從技術(shù)角度而言,,王祺認(rèn)為,,目前互聯(lián)網(wǎng)金融的快捷支付暴露出安全問(wèn)題并非全是壞事,“想要兼顧便捷與安全,,必然推動(dòng)新的技術(shù)出現(xiàn),;比如:指紋識(shí)別、虹膜識(shí)別等體感技術(shù)未來(lái)可能運(yùn)用到支付解決問(wèn)題,�,!�
另一個(gè)令外界關(guān)注的是監(jiān)管問(wèn)題,央行金融消費(fèi)權(quán)益保護(hù)局局長(zhǎng)焦瑾璞近日表示,,互聯(lián)網(wǎng)金融給金融消費(fèi)權(quán)益保護(hù)帶來(lái)了挑戰(zhàn),,“互聯(lián)網(wǎng)金融歸誰(shuí)管?是銀監(jiān)會(huì),、證監(jiān)會(huì)還是保監(jiān)會(huì),?誰(shuí)也搞不清楚。出了問(wèn)題怎么辦,?老板拿著錢(qián)跑了怎么辦,?誰(shuí)來(lái)承擔(dān)這個(gè)責(zé)任?”
中國(guó)社科院數(shù)量經(jīng)濟(jì)與技術(shù)經(jīng)濟(jì)研究所副所長(zhǎng)何德旭透露,,互聯(lián)網(wǎng)金融已引起監(jiān)管層重視,,央行成立了專門(mén)研究小組對(duì)全國(guó)互聯(lián)網(wǎng)金融狀況進(jìn)行分析調(diào)研。