【印联传媒网讯】日前,央行下发紧急文件叫停支付宝、腾讯虚拟信用卡产品,同时叫停的还有条码(二维码)支付等面对面支付服务。暂停虚拟信用卡产品一事影响较小,因为很多产品还未真正推出;真正影响巨大的是暂停二维码支付。有观点认为,若不是央行及时出手,可能会发生潜在的信息安全事件,引发系统性金融支付风险。
通俗地讲,央行认为现在无论是支付宝、微信支付,还是即将推出的虚拟信用卡,在账户安全和支付安全上都是有问题的,一是涉及客户的信息保护,二是涉及客户资金如何防止被盗用。从央行的意见函可知,央行只是暂停线下二维码支付,并非取缔。如果安全风险得以化解,依然可以使用。那么,从纯技术层面看,类似二维码支付、虚拟信用卡等移动互联网金融创新业务的交易安全能否得到保障呢?
移动互联网交易环境存在哪些安全漏洞
二维码支付是一种基于账户体系搭建起来的新一代无线支付方案。在该支付方案下,商家可把账号、商品价格等交易信息汇编成一个二维码,并印刷在各种报纸、杂志、广告、图书等载体上发布。用户通过手机客户端扫拍二维码,便可实现与商家支付宝账户的支付结算。最后,商家根据支付交易信息中的用户收货、联系资料, 就可以进行商品配送,完成交易。二维码支付被叫停主要影响的是线下业务,具体指线下扫码、线下收款及付款环节,而线上二维码不受影响。
从金融监管层面看,央行该项举措符合李克强总理最近关于“政府已经排出时间表加强监管影子银行等金融风险”的讲话精神。从技术角度来看,正如央行发文所称“条码(二维码)应用于支付领域有关技术、终端的安全标准不明确,相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。虚拟信用卡突破了现有信用卡业务模式,在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。” 可以想象,如果身份盗用事件大面积发生,势必造成虚拟信用及虚拟货币的泛滥。
用户身份识别以及交易安全保护问题已成为移动互联网金融亟待解决的瓶颈问题。据调查显示,有75%的非网上银行用户由于担心安全性而不愿尝试;最近发布的《2013年中国手机银行用户调研报告》显示,对安全性存疑的手机用户占比高达61.23%,手机病毒木马、手机遗失造成账户损失、出事后难以找到责任方等问题,令公众对移动互联网安全感到担忧,极大地阻碍了移动互联网金融的发展。
预留手机号进行短信验证的身份认证方式存在很大安全漏洞
移动互联网环境下,现有的身份识别方式基于客户预留手机号的短信验证,一旦手机卡被复制或验证短信被劫持转发等情况发生,犯罪分子就可以非法控制被害人的手机银行,甚至“帮助”被害人注册开通手机银行,进行犯罪活动。从目前主流的电子支付方式看,如果用户办银行卡时有在银行预留手机号,那么只需填写银行卡号、姓名、身份证号和预留手机号就可实现与银行卡的绑定,然后通过设置的支付密码就可实现消费,并不需要银行卡的密码,而姓名、身份证号、银行卡号等信息在网络上很容易泄露,存在较大的互联网身份盗用风险。
在二维码支付的业务流程中,手机产生二维码的第三方账户极易被盗用,同时二维码扫描也给了犯罪分子诱使客户在不知情的情况下,被植入恶意木马窃取关键信息的机会。上述问题的存在,使得互联网金融服务中重大资金被盗及资讯泄密案件频发。
支付指令与验证指令单通道传输容易被篡改
众所周知,银行和第三方公司在提供移动支付服务的同时已做了相应的安全措施,但由于客户与银行之间单通道的通信传输方式(由手机、电脑等终端同时发送支付指令和验证指令到银行服务器),容易被网络中间人、浏览器劫持人所攻击,金融机构难以确认客户端操作者的身份,无法识别网络中间人对支付指令的篡改。消费者面对花样繁多且不断升级的攻击方式,操作稍有不慎即可造成损失。而“U盾”、“电子口令卡”等安全工具,还是存在着对客户安全使用意识要求较高且携带使用不便等诸多问题。
移动互联网安全领域的现状及未来趋势
随着移动互联网的发展,传统的账号+密码+短信验证码的身份验证方式已无法满足商家及消费者的安全需求。而目前新兴的指纹识别技术是通过对生物特征进行取样,提取其唯一的特征并且转化成数字代码,再进一步将这些代码组合成特征模板完成身份识别。但从本质上讲,生物特征识别技术提取的指纹等特征最终仍是转变为静态数据的格式(12345),在认证原理上未有实质性的创新,无异于静态密码保护。由于指纹等生物特征无法修改,黑客一旦窃取数据便可一劳永逸,尚不及可随时修改的静态密码更为安全。
IBM于2013年11月发布的未来5年五大预测中提及:用户密码、身份、设备前所未有的多,但安全却是高度碎片化。即将出现的在线数字卫士技术,通过对用户背景、环境及历史数据分析来验证用户在不同设备上的身份,了解正常活动与潜在危险之间的差异,通过智能终端进行互联网身份认证及安全保护,全方位地保卫用户的数字生活。用户不用再去寻找攻击的迹象,数字卫士会观察设备的操作行为,识别出其中的异常并发出告警。这表明个人在智能终端上的行为数据是身份验证的最有效手段,世界上不存在完全一致的两台智能终端。
IBM的预测并非空谈。值得关注的是,国内已有类似数字卫士的产品出现。例如,来谊电子公司的“小微封”互联网金融安全解决方案。“小微封”是全新一代的独立第三方移动互联网金融安全认证服务,采用了交易支付数据及验证信息数据分离的双通道架构,通过终端设备指纹识别(包括硬件指纹、软件指纹以及个人行为指纹)、地理位置及时间设置等多因素强认证的手段,对用户身份进行认证,将金融机构单方实施的安全措施转化为由金融机构和消费者共同参与的交叉式安全保护,可以全方面防范网络钓鱼、伪卡盗卡、短信劫持、恶意复制手机卡开通网银等身份盗用攻击形式。由于黑客难以同时劫持两个通道,也就无法同时篡改交易指令和验证指令,从而对用户在网银、手机银行、ATM、POS机上的交易安全提供全面保障。“小微封”尤其适用于二维码、条形码、NFC等支付(交易)过程中的身份验证及交易安全保护。
采用“小微封”服务,用户可以自主绑定手机、电脑等个人设备,用于指定银行卡、账户的登录及交易;用户也可以用手机所处的位置来限定允许交易发生的地点或区域;用户还可以设置账户的登录、交易时间,保护包括网络、ATM、POS在内的交易环境下的安全。
可以推断,由于消费者可以在手机界面享受一站式自助式金融服务,资金在储值、理财、支付、信用、保险等产品服务中机动转换,在操作上带来了极大的便捷性。
而互联网安全身份认证与物理环境中的身份认证意义完全不同。当从一家银行网点的认证环境中完成服务走入另一家银行中时,认证又要重新开始,并没有关联性。而互联网安全身份认证可以让金融机构对个人、金融机构对商家、商家对个人、个人对个人之间在网络上交叉关联认证,具有很强的商业黏性。它同时可以为金融服务、版权保护、隐私保护、商品防伪、订票订房、医疗服务等行业需求提供关联认证。美国的四大电信运营商去年开始联手防盗,运用设备指纹认证技术,使得手机一旦被盗或遗失便无法在任何一家运营商使用。
IBM预测的数字卫士技术,已经可以服务于互联网金融。而互联网安全身份认证在金融业与互联网企业的竞争中、在监管机构的眼中尤为突出。银行以前比较依赖传统的门面服务,而互联网企业比较擅长网络营销。在智能终端服务越来越普及的时代,谁先勇于创新,谁先敢于融合新技术,谁就会取得市场上的先发优势。我们可以拭目以待。
本文由印联传媒小新编辑整理