⽤户使⽤移动⽀付的风险与防范策略
移动⽀付是指运⽤⼿机、掌上电脑以及其他⼿持数字设备等移动终端设备,通过⽆限通信技术⽅式完成货币资⾦转移的活动。移动⽀付终端使⽤最⼴泛的是⼿机,本⽂所探讨的移动⽀付风险主要以⼿机⽀付为例。移动⽀付全球使⽤率不断上升,根据 Kantar TNS 公司最新调查结果显⽰,我国荣居榜⾸。2016 年,我国⼿机⽹上⽀付的⽤户规模达 4.69 亿⼈,相⽐于 2015 年的全年增长率达到了 31%.⽤户在选择移动⽀付时会考虑⽀付⽅式的安全性、便捷性、易⽤性等,根据中国⽹财经 2016 年 9 ⽉ 8 ⽇报导提供的数据显⽰,安全性仍然是⽤户选择移动⽀付⽅式最看重的因素,占⽐达 73.4%.
⼀、⽤户使⽤移动⽀付的风险。
  1.移动设备的管理风险。
  移动⽀付⽤户需在⼿机中绑定银⾏卡、存储购物记录和⽀付平台⽤户名、密码信息,⼀旦⼿机被盗抢或不慎遗失,很可能造成恶意转账、泄露隐私信息等风险。⽤户在使⽤移动⽀付 APP客户端时,图⽅便实时处于登录状态,他⼈若拿到该⼿机可直接进⼊⽀付平台进⾏操作。有些⽤户不设置开屏密码,致使⼿机⼜缺少⼀道安全防护。多数⽤户在处置旧⼿机时风险意识不强,只将⼿机卡拔出,内存没有彻底拆除,即使已经刷机,也有⼈⽤软件恶意恢复⼿机信息,导致⽤户隐私泄露。很多⼿机⽤户没有定期给⼿机杀毒和清理垃圾的习惯,让病毒有机可乘。
  2.交易过程管理风险。
  我国移动⽀付的简易流程如下图所⽰。移动⽀付的⽤户购买⼿机等移动⽀付设备终端后,到银⾏申请办理银⾏卡并绑定到移动设备终端,下载由软件开发商开发的⽀付客户端 APP,在移动通信运营商提供的⽆线⽹络环境下,运⽤第三⽅⽀付平台就可以完成向合作商户付款业务,也可以通过移动⽀付进⾏转账。该移动⽀付流程看起来⾮常完整并且相对封闭,但是在该交易管理过程的多个环节都存在风险。
  (1)绑定银⾏卡的风险。
  选择信⽤卡账号⽀付时,只需输⼊卡号和预留银⾏的⼿机号码,并输⼊⼿机中接收的验证码就能完成⽀付。第⼆次应⽤时点击使⽤上次的账号,不需再输⼊账号。如果⼿机和银⾏卡同时丢失,拾到者通过输⼊银⾏卡号和⼿机验证码⽽进⾏恶意付款。第三⽅付款平台提供⼩额快捷付款服务,⽤户只需输⼊银⾏卡号,不⽤输⼊密码,就可付款。如果违法者获得⽤户⽀付平台⽤户名和密码、银⾏卡号和其他个⼈信息,就可以盗取银⾏卡内存款。
  (2)下载 APP 客户端的风险。
  由于⽤户所使⽤的⼿机多种多样,不同品牌的⼿机应⽤系统不同,对下载 APP 客户端安全性的识别
能⼒也不同。⼿机⽤户的⽂化程度和信息技术⽔平参差不齐,不能准确辨别⽹站的真假,容易误⼊钓鱼⽹站,点击带病毒的链接,导致⼿机被安装⽊马,有关移动⽀付信息和其他个⼈隐私被盗。犯罪分⼦通过短信或电⼦邮件发送虚假信息,诱使⽤户进⼊虚假⽹站,然后⽤户输⼊的账号和密码由伪造的后台数据库记录,从⽽在短时间内给⽤户造成很⼤损失。
  (3)Wifi 接⼊的风险。
  绝⼤多数⽤户都会在有免费⽹络选⽤的情况下,为节约费⽤⽽关闭⼿机流量。智能⼿机会⾃动搜索免费 wifi 接⼊点,然后⾃动申请接⼊,第⼀次输⼊密码成功接⼊后,第⼆次⽆需再输⼊密码即可接⼊。商家为给顾客提供连⽹便利,在餐饮、旅游、商场等公共场所都提供免费 wifi 热点。违法⼊侵者经常设置具有钓鱼性质的 wifi 热点,设置这种接⼊点的成本很低,只需⼀台电脑和⼀个路由器,⼏分钟就可设置完毕,⽤户只要接⼊该热点,输⼊的⽤户名和密码就统统显⽰在该⾮法站点的电脑上。
  (4)⽀付平台的运营管理风险。
  第三⽅⽀付平台为提⾼移动⽀付效率,提供快捷⽀付服务。以⽀付宝为例,⽤户可以⽤绑定的银⾏卡完成快捷⽀付,即,如果⽀付宝账户的余额不⾜,⽤快捷⽀付直接输⼊⽀付宝账户的⽀付密码,就从绑定的银⾏卡付款到⽀付宝。⼿机⽀付宝为⽤户提供⼩额免密⽀付服务,免密⽀付⾦额上限可以设置为 200 ⾄2000 元不等。笔者的体验是下载⽀付宝 APP 后,200 元⼩额免密⽀付功能⾃动开启。⽀付
平台的运营管理应兼顾效率与安全,⼆者不可得兼时,应该优先考虑⽀付安全。
  3.宏观监督管理的不⾜。
  我国当前⽀付结算信⽤体系不健全,还没有建⽴系统的⽹上⽀付规则,相配套的法律法规较为滞后。⽤户交易中暂时存放在第三⽅⽀付平台的沉淀资⾦游离于银⾏的监管之外,该资⾦安全隐患或者⽀付风险问题备受关注,因为该资⾦容易成为犯罪分⼦进⾏⾮法活动的⼯具。⽤户在进⾏移动⽀付时,⼀旦感染病毒,或者重要信息被盗取等,导致银⾏卡中的存款丢失,银⾏和⽀付平台互相推诿,没有机构对此负
⽤户在进⾏移动⽀付时,⼀旦感染病毒,或者重要信息被盗取等,导致银⾏卡中的存款丢失,银⾏和⽀付平台互相推诿,没有机构对此负责。
  ⼆、移动⽀付风险的根源。
  1.移动终端⾃⾝的风险。
  ⼤多数⼿机的管理系统不是封闭式的,容易遭受不法分⼦的恶意攻击。相⽐于台式计算机,移动终端的体积⼩,质量轻,但是计算能⼒相对较弱,缺乏硬件扩展性,限制了 U 盾和数字证书的使⽤,也限制使⽤⾼强度、⾮对称的加密算法。移动终端的软件功能简化,导致⼿机浏览器⽆法向电脑浏览器那
样⽀持密码控制。移动终端的⽹速要⽐电脑⽹络低,限制了⼀些防护软件的使⽤。
  2.⽹络通信环境潜在的威胁。
  当前⽹络⽀付的通信环境⾯临多种威胁,安全⽀付技术和标准需要迎接挑战。不法分⼦设置钓鱼⽹站、和虚假⼆维码等拦截⽤户信息;条码、声波、指纹、虹膜等识别技术被尝试应⽤于移动⽀付,但尚⽆统⼀的技术标准和检测认证标准;⽀付指令载体可能被嵌⼊⽊马、病毒等⾮法内容,导致在客户⾝份识别、访问控制、数据保密性、抗抵赖性等⽅⾯存在⼀定的安全隐患。
  3.相关机构的监督管理过于粗放。
  (1)⽀付机构的微观管理。
  效率与安全有时是⽭盾的,⽀付平台希望为⽤户提供快捷的⽀付体验,因此让⽤户绑定银⾏卡,开通快捷⽀付服务,⽤户⽆需输⼊验证码进⾏双向验证,只需输⼊⽀付密码即可完成⽀付,可见⽀付平台运营是以提⾼⽀付效率为⽬标的。
  (2)国家机关的宏观管理。
  境内⾮银⾏⽀付机构⽆证开展⽀付结算业务现象突出,这些游⾛在监管之外的⽆牌“⼆清”机构乱象丛
⽣,不仅对接⼊的商户没有严格的准⼊门槛要求,⽽且清算过程存在发⽣卷款逃跑的风险。当前⽀付机构将客户备付⾦以⾃⾝名义在多家银⾏开⽴账户分散存放,不仅不利于有关部门的监测,也存在被⽀付机构挪⽤的风险。国家相关部门对移动⽀付机构的管理不够细化,相关法律法规滞后并且过于笼统。
  三、应对移动⽀付风险的对策。
  1.⽤户层⾯。
  ⽤户购买⼿机时要选择正规⼚家⽣产和合法渠道销售的产品,这类产品硬件配置的安全技术相对较⾼。使⽤⼿机时尽量设置开屏幕密码,多⼀道防护屏障。⼿机上⽹购物时,在不同⽹站设置的⽀付密码不要相同,不要选择“记住密码”选项。交易中不要向对⽅透漏涉及⾝份、银⾏卡、⽤户名和密码等重要信息。凡是通知中奖、公检法要求汇款、谎称账号出错要求重新输⼊密码等电话⼀律挂断,收到短信带有不熟悉的链接,不要打开。平时出⾏,⼿机、银⾏卡和⾝份证不要放⼀起,降低同时遗失并被恶意利⽤的风险。⽤⼿机绑定的银⾏卡数量不要太多,银⾏卡内的余额不要太⾼,要开通该银⾏卡短信服务功能,出⼊账时会收到短信提醒,以便及时发现问题。要下载杀毒软件,定期对⼿机进⾏安全性检查。下载移动⽀付客户端 APP 时,要从官⽅⽹站进⼊。进⼊⽀付平台完成交易后要安全退出。对于不熟悉的 wifi 热点不要随便接⼊,⽆密码 wifi 热点坚决不要接⼊。在进⾏⽹络购物付款或者⽇常⽣
银行卡和手机绑定活转账时,使⽤移动数据流量更安全。家庭⽤wifi 热点要经常更换密码,清理蹭⽹者,以防家庭成员重要信息和交易记录被⾮法利⽤。
  2.交易平台层⾯。
  随着互联⽹技术和⽣物技术的发展,⼀些⽣物特征识别技术如指纹,掌纹,声⾳,虹膜等具有独特的不可复制和永不丢失的特性,可⽤于移动⽀付。仅采⽤密码认证的安全措施过于单⼀,应将多种认证⽀付⽅式组合运⽤。⼿机⽀付对关键交易信息采⽤数字签名技术、数字摘要技术等保证交易记录的不可抵赖性和完整性;采⽤业务密钥、PSAM 卡密钥、加密机主密钥和 POS服务系统密钥来保证系统信息私密性;通过 USBKey 的双钥加密认证,控制成员对系统资源的访问。⽀付平台应该健全⽤户信⽤评价体系与⽤户交易记录保存机制,提升⽀付双⽅信任度,规避套现风险。注重提⾼员⼯⾃⾝风险意识培训,建⽴风险预警机制和诚信⾃律的企业⽂化。⽀付平台应该实时提醒⽤户注意⽹络环境安全,当⽤户开通⼩额免密⽀付时,提⽰⽤户阅读使⽤须知和安全提醒。
  3.法律监管层⾯。
  进⼀步规范移动⽀付法律关系涉及到的各⽅主体的权利和义务,相关法律应明确界定移动⽀付各⽅当事⼈之间的法律关系,强化交易平台的管理责任。加强第三⽅⽀付机构沉淀资⾦的管理,落实反的管控⼯作。有关主管机构应当对滞留在交易平台上的消费者交易资⾦进
台的管理责任。加强第三⽅⽀付机构沉淀资⾦的管理,落实反的管控⼯作。有关主管机构应当对滞留在交易平台上的消费者交易资⾦进⾏确权,明确其所有权属于⽤户,要求实⾏银⾏专户存放。2010 年,⾮⾦融机构⽀付服务管理办法出台,第三⽅⽀付机构正式被纳⼊监管范围。从 2015 年开始,管理层监管⼒度逐渐加强,⾮银⽀付机构⽹络⽀付业务管理办法、⼆维码⽀付业务规范征求意见稿等政策相继出台。按照年累计移动⽀付⾦额的⼤⼩对账户进⾏分类管理,随着⽀付⾦额的提⾼⾝份验证的程序也越复杂,以降低移动⽀付的风险。
  四、结束语。
  当前我国移动⽀付的发展势头迅猛,移动⽀付的便利性不断提升,客户对移动⽀付的使⽤度、信任度、接受度也不断增强,移动⽀付在我国的应⽤前景⼴阔。可以预见移动⽀付将继续保持⾼速发展态势,在投资理财、消费⽣活等领域发挥重⼤作⽤。