李俊良
摘要:信息化建設(shè)在各行各業(yè)的全面推進(jìn)使得網(wǎng)上支付成為現(xiàn)今信息社會(huì)一種重要的支付渠道,極大地方便了人們的工作和生活。但同時(shí),網(wǎng)上支付的安全事件也大量涌現(xiàn)。本文分析網(wǎng)上支付的一般過程及可能存在的身份假冒、交易數(shù)據(jù)泄露與篡改、商家欺詐等風(fēng)險(xiǎn),進(jìn)而從技術(shù)和管理兩方面提出安全對策,防止因網(wǎng)上支付造成用戶的財(cái)產(chǎn)損失和個(gè)人信息泄露。
關(guān)鍵詞:網(wǎng)上支付 電信詐騙 手機(jī)木馬
中圖分類號: TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2016)12-0193-02
隨著信息技術(shù)的飛速發(fā)展,以及人們對工作、學(xué)習(xí)、娛樂、消費(fèi)的便捷性要求越來越高,各種信息技術(shù)產(chǎn)品層出不窮。尤其是因特網(wǎng)普及后,消費(fèi)者和服務(wù)商之間面對面的交易不再是必須,網(wǎng)上支付帶來了極大的便捷性,交易各方利用銀行所支持的數(shù)字金融工具,通過因特網(wǎng)進(jìn)行交融交換,實(shí)現(xiàn)用戶到金融機(jī)構(gòu)、商家之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等過程,為電子商務(wù)和其他服務(wù)提供金融支持[1]。
現(xiàn)金轉(zhuǎn)帳、購物支付、網(wǎng)上繳費(fèi)等網(wǎng)上支付業(yè)務(wù)極大地方便了人們的生活和工作,這種新穎快捷的支付方式被越來越多的消費(fèi)者接受。足不出戶,就可以實(shí)現(xiàn)輕松生活,網(wǎng)上支付成為許多人日常生活不可缺少的支付方式。
但與此同時(shí),網(wǎng)上支付的安全事件不時(shí)發(fā)生,給用戶造成了或多或少的財(cái)產(chǎn)損失和大量的個(gè)人信息泄露,令人們在使用網(wǎng)上支付時(shí)難以真正放心。
1 網(wǎng)上支付過程
通過分析網(wǎng)上交易參與各方的活動(dòng),網(wǎng)上支付的組成要素有:因特網(wǎng)(Internet),客戶,商家,開戶銀行,支付網(wǎng)關(guān),銀行網(wǎng)絡(luò),認(rèn)證中心。其工作流程如圖1所示??蛻敉ㄟ^個(gè)人計(jì)算機(jī)或者移動(dòng)終端訪問商戶的網(wǎng)站,登錄時(shí)與認(rèn)證中心交互,取得自己的個(gè)人信息用于身份鑒別;客戶選擇商品或服務(wù)后,確認(rèn)下單,其信息及購物款項(xiàng)信息就會(huì)被加密發(fā)送到支付網(wǎng)關(guān),支付網(wǎng)關(guān)與客戶的購物支付卡發(fā)卡銀行通信,驗(yàn)證其合法性;通過后,確認(rèn)支付和購物交易合法有效;其后,物流將商品送至客戶處,客戶確認(rèn)收貨后,交易完成。
目前,網(wǎng)上支付方式包括通過網(wǎng)上銀行進(jìn)行的轉(zhuǎn)賬支付(即銀行網(wǎng)關(guān)模式)、通過第三方平臺完成的支付(即第三方支付平臺模式)[2],銀聯(lián)模式和電子現(xiàn)金等。其工作原理分別如下:
(1)銀行網(wǎng)關(guān)模式:商家與銀行簽約,其網(wǎng)站平臺直接鏈接到銀行網(wǎng)銀系統(tǒng),客戶購物交費(fèi)實(shí)際上就是將現(xiàn)金直接轉(zhuǎn)帳到商家。
(2)第三方支付平臺模式:電子商務(wù)平臺先鏈接到第三方支付平臺,支付平臺再和銀行鏈接而完成支付手段的一種方式。我國的第三方支付行業(yè)發(fā)展迅猛,有獨(dú)立的支付企業(yè)諸如快錢、易寶、首信易等,而作為電子商務(wù)平臺延伸的在線支付工具如淘寶的支付寶、騰訊的財(cái)付通、百度的百付寶等[3]。
(3)銀聯(lián)模式:在銀聯(lián)在線支付的網(wǎng)站完成的支付模式。
(4)電子現(xiàn)金。在支付機(jī)構(gòu)注冊虛擬賬戶,通過向虛擬賬戶充值進(jìn)行相關(guān)支付業(yè)務(wù),如購買游戲幣、QQ幣等。
這些支付模式既可以通過PC機(jī)支付,也可以通過手機(jī)、平板等移動(dòng)智能終端完成。分析網(wǎng)上支付過程和支付形式,客戶端、網(wǎng)絡(luò)協(xié)議、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、支付網(wǎng)關(guān)等處都可能存在風(fēng)險(xiǎn)。網(wǎng)絡(luò)支付安全是一個(gè)系統(tǒng)工程,需要銀行、支付機(jī)構(gòu)、安全廠商、商戶、網(wǎng)絡(luò)管理部門以及消費(fèi)者共同努力。
從目前網(wǎng)絡(luò)支付的發(fā)展水平和出現(xiàn)的網(wǎng)絡(luò)支付案例來看,各個(gè)銀行針對網(wǎng)上支付采用的安全技術(shù)和手段(如一次性口令、USB KEY、短信驗(yàn)證碼等)都較成熟,達(dá)到了很高的安全性。而網(wǎng)上支付安全事件的發(fā)生在大多數(shù)情況是用戶安全防范意識薄弱和相應(yīng)的安全技能不足所致。下面列出網(wǎng)上支付可能存在的一些風(fēng)險(xiǎn)。
3 網(wǎng)上支付的風(fēng)險(xiǎn)分析
3.1 用戶的身份冒充
這種攻擊基于用戶身份信息被盜用。攻擊者通過非法手段(如植入木馬、釣魚等)盜取合法用戶的身份信息,仿冒其身份進(jìn)行轉(zhuǎn)帳或與他人交易,或?qū)嵤┰p騙以獲得非法利益。
已發(fā)生的諸多案例都表明,國內(nèi)很多網(wǎng)站都存儲了用戶的基本信息(包括姓名、銀行卡號等),但其都或多或少存在安全漏洞,容易被入侵而導(dǎo)致大量完整的用戶信息被泄露。國內(nèi)外都有復(fù)制信用卡,盜刷的事件報(bào)道。除此之外,電信詐騙、二維碼含惡意鏈接、釣魚網(wǎng)站、手機(jī)木馬等威脅也會(huì)造成大量銀行卡信息的泄露。而目前正在快速發(fā)展的很多帶有閃付功能的銀行卡,還能在近距離非接觸的情況下通過特定終端讀取用戶信息,這種讀取方式靜默,很難發(fā)現(xiàn)。
3.2 敏感數(shù)據(jù)泄露
網(wǎng)上支付的敏感數(shù)據(jù)一般包括個(gè)人信息(姓名、銀行卡號、通信地址等)和購物信息(商品名稱、價(jià)格、數(shù)量、購買時(shí)間等)。這些數(shù)據(jù)有可能在傳輸中泄漏、丟失或被篡改,如攻擊者利用電磁泄漏或搭線竊聽等方式截獲還原傳輸?shù)倪@些敏感信息,或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析,探測和分析有用信息。
3.3 交易數(shù)據(jù)篡改
攻擊者通過在客戶的計(jì)算機(jī)上植入木馬、制作釣魚網(wǎng)頁或截獲傳輸中的信息,篡改其交易數(shù)據(jù),如修改消息次序、時(shí)間、數(shù)量、金額,注入偽造消息、重放交易等,使信息失去真實(shí)性和完整性。
3.4 商家假冒或欺詐
商家被別人假冒,提供假貨或者收到付款后抵賴交易。
4 網(wǎng)上支付的安全對策
為加強(qiáng)網(wǎng)上支付的安全,需參與各方從技術(shù)和管理兩方面同時(shí)著手,在技術(shù)上提高安全性,同時(shí)在規(guī)范管理上防范非法行為。技術(shù)上包括:
4.1 個(gè)人計(jì)算機(jī)或移動(dòng)終端安全
一般來說,作為公共基礎(chǔ)設(shè)施的支付網(wǎng)關(guān)和電子商務(wù)網(wǎng)站等的安全性都是較高的。而個(gè)人使用的計(jì)算機(jī)和移動(dòng)終端的安全性堪憂。因此,個(gè)人計(jì)算機(jī)要及時(shí)安裝和更新病毒木馬查殺軟件,及時(shí)升級操作系統(tǒng)和應(yīng)用軟件,不輕易打開不明文件和訪問安全性未知的網(wǎng)站,不下載安裝安全性未知的軟件,不接入公共wifi和使用公共計(jì)算機(jī)進(jìn)行登錄和支付,以防止計(jì)算機(jī)被黑客攻擊,導(dǎo)致個(gè)人信息泄露。
4.2 密碼技術(shù)
一方面,采用密碼相結(jié)合的多因子身份認(rèn)證技術(shù),加強(qiáng)身份認(rèn)證的強(qiáng)度,防止身份信息被竊取、盜用和假冒,如數(shù)字證書、短信驗(yàn)證碼、動(dòng)態(tài)口令、USB Key等。另一方面,采用加密技術(shù)對用戶信息和支付數(shù)據(jù)進(jìn)行加密,防止敏感信息泄露和被篡改。計(jì)算機(jī)或手機(jī)上安裝基于密碼技術(shù)的數(shù)字證書后,即使賬戶支付密碼被盜,也需要在已經(jīng)安裝了數(shù)字證書的計(jì)算機(jī)上才能支付,保障資金安全。
4.3 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全
采用多種措施保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全,包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫、硬件設(shè)施等,這與技術(shù)的發(fā)展緊密相關(guān)。
管理方面的措施,主要針對組織和人而言。其主要工作是加強(qiáng)網(wǎng)上支付的監(jiān)管,要求監(jiān)管機(jī)構(gòu)、銀行和商家做好安全措施,并教育消費(fèi)者樹立安全意識,養(yǎng)成良好的安全習(xí)慣。
4.4 建立與完善網(wǎng)上支付的法律法規(guī)
隨著網(wǎng)上業(yè)務(wù)在我國的發(fā)展,國家相繼出臺了多部法律法規(guī),如《中華人民共和國電子簽名法》明確了電子簽名的法律有效性,使得網(wǎng)上業(yè)務(wù)受到法律保護(hù);《電子認(rèn)證服務(wù)管理辦法》、《電子支付指引》、《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》等法律法規(guī)針對網(wǎng)上業(yè)務(wù)領(lǐng)域給出了一些具體的指導(dǎo)意見。但違法交易所要承擔(dān)的法律責(zé)任,法定的電子貨幣發(fā)行人、合理的貨幣識別制度以及電子貨幣使用中各方隱私權(quán)保護(hù)制度等法律問題[4]上還需要進(jìn)一步明確。而作為金融監(jiān)管機(jī)構(gòu)的中央銀行則要結(jié)合我國國情并借鑒國外發(fā)展經(jīng)驗(yàn),嚴(yán)格技術(shù)標(biāo)準(zhǔn),強(qiáng)化業(yè)務(wù)監(jiān)管。
今年11月,國家出臺《中華人民共和國網(wǎng)絡(luò)安全法》,在網(wǎng)絡(luò)安全各方面將做出指導(dǎo)性規(guī)定。而在這部法律出臺后,各領(lǐng)域相關(guān)配套的法律法規(guī),包括網(wǎng)上支付方面的法規(guī)也會(huì)隨后推出,以規(guī)范網(wǎng)上支付活動(dòng),打擊違法犯罪,保護(hù)合法權(quán)益。
4.5 加強(qiáng)法制和安全意識宣傳
通過多種途徑宣傳和公開典型案例,警示用戶樹立安全意識,培養(yǎng)良好的安全習(xí)慣,比如電信詐騙案例、短信二維碼惡意鏈接案例、網(wǎng)絡(luò)釣魚案例、其他社工案例等。通過宣傳,促使用戶采用銀行等機(jī)構(gòu)提供的安全產(chǎn)品和采納銀行等機(jī)構(gòu)的安全建議,提高安全防護(hù)能力,如密碼強(qiáng)度足夠,并與其它密碼不同,支付卡專用,金額隨用隨存等。在網(wǎng)絡(luò)支付發(fā)現(xiàn)情況有異時(shí),如頁面跳轉(zhuǎn)、不停要求輸入信息或彈出無關(guān)提示等時(shí),停止操作以止損,并報(bào)警和保護(hù)現(xiàn)場。同時(shí),加強(qiáng)對網(wǎng)絡(luò)不法行為的追查處罰力度,威懾不良企圖者,減少違法行為發(fā)生的可能性。
4.6 網(wǎng)絡(luò)實(shí)名制
今年電信實(shí)名制也真正落實(shí)實(shí)施,將對電信詐騙起到很強(qiáng)的防范作用。
同樣,通過網(wǎng)絡(luò)實(shí)名制,使得網(wǎng)絡(luò)上的虛擬身份能與現(xiàn)實(shí)社會(huì)的身份對應(yīng),防止交易抵賴,方便追究和落實(shí)相關(guān)責(zé)任人。同時(shí),網(wǎng)絡(luò)實(shí)名制也將對攻擊者形成強(qiáng)大的威懾力,利用網(wǎng)上支付實(shí)施的違法犯罪行為也將大大減少。
5 結(jié)語
網(wǎng)絡(luò)支付應(yīng)用已非常廣泛,只有保證其安全性才能健康穩(wěn)定發(fā)展。本文基于網(wǎng)絡(luò)支付可能存在的風(fēng)險(xiǎn),從技術(shù)、管理等方面提出了相應(yīng)的安全對策,防止用戶的財(cái)產(chǎn)損失和個(gè)人信息泄露。
參考文獻(xiàn)
[1]劉亞軍.網(wǎng)上支付系統(tǒng)的安全性研究[J].現(xiàn)代電子技術(shù),2013,36(8):74-76.
[2]王淦銀.我國網(wǎng)上支付六大瓶頸待破[J].中國銀行業(yè),2015,(1):85-87.
[3]張艷冀.信息化時(shí)代下的電子支付產(chǎn)業(yè)發(fā)展研究[J].電子技術(shù)與軟件工程,2013,(23):250-251.
[4]周莉婷.我國電子商務(wù)網(wǎng)上支付業(yè)務(wù)存在問題及對策[J].淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2008, 7(4):41-42.