移動支付的潛在安全風險包括以下幾個方面:
移動支付有哪些風險?
1.傳統服務帶來的安全風險
手機終端的固有服務包括短信、彩信、語音等。當用戶使用短信/彩信完成信息傳輸和移動支付時,黑客可能會利用先進的技術手段竊取關鍵信息。同時,不法分子還利用詐騙電話、群發短信等方式誘騙用戶,從而達到騙取用戶錢財的目的。
2.移動終端丟失帶來的安全隱患。
移動設備的獨特威脅是容易丟失和被盜,無論是出於個人原因還是被盜。丟失意味著別人會看到電話、數字證書等重要數據,得到移動設備的人可以進行移動支付、訪問內網和文件系統,給用戶帶來嚴重的經濟損失。
3.手機操作系統和app應用軟件的漏洞導致的安全風險。
操作系統是移動終端最重要的部分,終端中的很多安全隱患都與操作系統有關,尤其是發達的Android系統。黑客可以利用操作系統的漏洞輕松獲取用戶的機密信息,以root權限控制終端,冒充合法用戶使用應用軟件完成移動支付。而app應用軟件的很多漏洞,可以讓黑客實時監控手機界面,在支付應用安全界面運行時,截圖攔截重要賬戶信息。
4.免費無線網絡帶來的安全風險
移動支付需要手機聯網。現在很多地方都部署了免費網絡。然而,這些網絡很容易被犯罪分子劫持和監控。通過分析軟件盜取用戶的個人資料、銀行賬號、網上支付賬戶密碼,盜取資金。2015央視3.15晚會展示了WiFi破解、釣魚、欺詐WIFI等相關無線網絡安全問題。
5.用戶登錄支付認證方式的缺陷導致的安全風險。
目前,大多數金融支付機構采用單壹因素進行身份認證,無論是短信驗證碼認證、指紋認證、人臉識別等認證方式,由於認證因素過於單壹,安全性無法得到有力保障。
6.二維碼支付的安全風險
作為目前主要的移動支付方式,二維碼支付的安全風險主要存在兩個問題:壹是二維碼的信息存儲容量是條形碼的幾十倍甚至上百倍,這意味著二維碼可以作為特洛伊病毒或釣魚網站的載體,即使掃碼後沒有任何操作,也可能導致賬戶密碼等信息泄露,財產損失。其次,二維碼還具有制作簡單、成本低廉、易於解讀的特點,使得二維碼很容易被復制、篡改或直接使用。
二、如何防範這些風險?
從國家、運營商、個人意識三個層面來保障移動支付的安全。
在國家壹級:
1,完善移動支付的法律法規。
在《非金融機構支付服務管理辦法》、《電子支付指引(第1號)》、《電子簽名法》、《電子銀行管理辦法》等現有部門規章的基礎上,制定統壹的移動支付法,完善配套法律法規和司法解釋。在立法過程中,應加強移動支付的安全立法,強化相關責任,明確當事人的權利義務,明確舉證責任。
2.明確監管主體,加強監管。
負責移動支付的支付結算、市場準入、資金安全和金融安全的監管。
從操作員層面來看:
移動支付產業鏈的所有參與者應該共同努力,確保支付安全。移動支付產業鏈涉及眾多參與者,如通信運營商、應用提供商、設備提供商、支付服務商、系統集成商等。沒有壹個機構可以主導整個產業鏈。在運營模式、安全標準、技術方案等方面,相關各方應加強溝通合作,采取合作的態度,提高移動支付的安全性。在支付過程中,銀行、電信企業和第三方支付公司應在統壹的安全框架下設計安全支付流程,提高支付終端設備、加密認證、應用程序等軟硬件的兼容性,整合安全管理體系,完善協同處理機制,應對移動支付安全事件。
建立健全舉報機制,及時停止使用標記為詐騙的電話和短信。同時保護機主的信息安全,防止其移動通訊信息泄露。
第三方支付已經與保險聯手,為損失提供補償。事實上,很多第三方支付機構為了打消消費者對網上支付和移動支付的疑慮和擔憂,壹直對快捷支付、移動支付、余額寶等產品進行全額支付。去年4月,支付寶開始以保險的形式為用戶提供資金保障。支付寶的資金安全由平安保險全額承保。如果用戶被盜,平安保險會全額賠付。支付寶承諾賠付金額不設上限,保費全部由支付寶承擔。
事實上,許多第三方支付公司都表示,無論是PC支付還是移動支付,風險最大的地方是在特洛伊釣魚網站,尤其是手機。99%的盜竊都與此有關,剩下的都是用戶被騙,而不是因為丟了手機。
就個人而言。
3.提高用戶的風險意識。
用戶要提高風險意識,註意個人信息的保密性,不要將身份證號、交易密碼、手機號、動態密碼等重要信息告訴陌生人或壹些不可信的網絡鏈接。謹防假冒偽劣郵件,以免因誤點郵件中的鏈接或附件而感染特洛伊病毒。
4.加強移動終端本身的安全性。
用戶在使用綁定移動支付時要註意壹些安全事項,比如兩到三個月定期更換密碼,避免長時間使用同壹個密碼;設置單獨的密碼,安全級別高;使用數字證書、u盾等安全產品;綁定手機,使用手機動態密碼等。
註意保護好自己的電腦、手機、平板電腦等使用手機銀行的設備的安全,盡可能安裝安全軟件,及時升級設備系統,避免使用已經“越獄”、“破解”、“獲得root”的設備操作移動支付,防止病毒、木馬等惡意程序的危害。
3.增強網絡通信的安全性。
雖然無線網絡還存在很多安全隱患,但毫無疑問,無線網絡給我們的生活帶來了極大的便利,我們應該想辦法解決這些安全問題。壹方面,無線網絡的管理者應該肩負起提高無線網絡安全水平的主要責任。另壹方面,無線網絡的用戶應該具備基本的安全知識,遵守基本的安全規則,比如不要隨便訪問不熟悉的AP,不要隨便訪問沒有密碼的無線網絡,不要在公共場所進行移動支付操作。
4.小心二維碼
如果用戶想使用二維碼支付掃碼,首先要確認自己使用的二維碼掃描軟件的真實性,這就要求消費者通過正規渠道下載掃碼軟件,不要隨意在不熟悉的渠道下載安裝。建議安裝壹個二維碼檢測工具。消費者掃描二維碼後,檢測軟件會自動檢測二維碼是否含有特洛伊病毒、惡意鏈接、扣費軟件等安全情況,從而為消費者建立防火墻,降低手機感染風險,保障消費者安全。
用戶自己養成良好的支付習慣,可以大大降低資金被盜的風險。建議消費者看到碼不要掃,要多加註意。壹些正規商家制作的二維碼壹般都是安全可靠的。不要盲目掃描壹些來歷不明、有優惠活動的二維碼,比如街頭廣告、傳單、網站彈窗上的二維碼。在掃碼之前,確保它們是真實和合理的,以及它們是否來自正規商家。啟用二維碼支付時,應設置壹定的交易限額,並對賬戶資金進行短信提醒,提高資金安全性。在掃碼支付時,要註意識別掃碼後跳轉的鏈接是否為正常頁面,確認後再對外提交支付。
目前,壹些網站和電視媒體已經陸續開通了二維碼購物功能,掃描屏幕上的二維碼即可輕松完成支付。消費者在支付前,要提高警惕,看清商家交易的真實性和商家本身的合法性,是否有合格的第三方平臺為交易提供保障,以免造成錢貨兩空。
5、不要安裝軟件。
將軟件安裝到正規手機店下載,下載後及時進行病毒查殺,確保下載的軟件安全無毒。不要隨意下載安裝來歷不明的軟件,防止壹些詐騙軟件冒充其他軟件加載到手機中。及時舉報壹些來源不明的軟件,防止病毒傳播。
法律依據:
非銀行支付機構網上支付業務管理辦法
第二條本辦法適用於從事網上支付業務的支付機構。本辦法所稱支付機構,是指依法取得支付業務許可證,獲準辦理互聯網支付、移動電話支付、固定電話支付、數字電視支付等網絡支付業務的非銀行機構。本辦法所稱網絡支付服務,是指收款人或付款人依托公共網絡信息系統,通過計算機、移動終端等電子設備遠程發起支付指令,付款人電子設備不與收款人特定專屬設備進行交互,支付機構為收款人提供貨幣資金轉賬服務的活動。本辦法所稱收款人專用專屬設備,是指專門用於交易歸集的電子設備,與支付機構的業務系統進行交互,參與交易過程中支付指令的生成、傳輸和處理。