移动支付爆发式增长引黑客"垂涎"
在移动支付用户快速增长的同时,移动交易终端正成为犯罪分子的重点攻击目标。一些黑客甚至从假基站、恶意WiFi网络端等渠道获取用户银行卡等信息,借机发起恶意攻击。
锐观点
移动支付规模不断增长,移动安全形势严峻,这场战役已经到了决战时刻。现有规定大多以部门规章为主,仅有少量的民法规范,对移动支付产业链中相关方的权、责、利没有明确的法律规定;对移动支付过程中的金融风险监管也存在缺位。
□法制网记者 赵丽
7月6日,支付宝首次披露了在商超、餐饮、交通出行、医院等线下支付领域的覆盖情况。数据显示,目前已有超过13万的线下店铺接入了支付宝支付,超过90万出租车和专车可用支付宝付款。在医疗领域,已有200家医院加入了支付宝“未来医院”计划。在这些医院,病人不仅可以在支付宝上挂号,还可以用支付宝进行诊间支付避免重复排队。
随着全球网络经济的迅速发展,我国的互联网金融产品不断与世界接轨,在网络金融、网上购物消费、网络银行等电子商务的发展过程中,第三方支付正在成为支柱。而网络金融的新型犯罪也如魅影一般尾随而至,目前已有业内人士明确表示——移动支付安全已到决战时刻。
“移动支付规模不断增长,移动安全形势严峻,这场战役已经到了决战时刻。”百度首席移动安全专家姜向前在第三届中国网络安全大会上如此坦言。
对此,受访的业内人士均认为,今后移动端或将成为网络诈骗的“重灾区”,而移动支付安全将成为阻止网络诈骗的一道重要安全防线。
爆发式发展同时网络犯罪剧增
根据央行发布的《2014年支付体系运行总体情况》报告显示,2014年,全国共发生电子支付业务333.33亿笔,金额为1404.65万亿元,同比分别增长29.28%和30.65%,其中,移动支付业务45.24亿笔,金额22.59万亿元,同比分别增长170.25%和134.30%。对比2013年数据,移动支付已经连续两年增长超100%。
只要动一下指头,就可以完成一切支付结算交易,移动支付以其移动性、便捷性、及时性对传统金融机构和传统支付结算方式发起了颠覆性的挑战。随着中国网民的爆发式增长,移动支付业务更展示出了其不可估量的增值空间和市场潜力。
数据显示,截至2014年12月,中国网民规模达6.49亿人,手机网民规模达5.57亿人,手机支付用户规模达到2.17亿人。与网民数对比,移动支付潜力客户有4亿多人,与手机网民数相比则有3亿多人。而未来这一数字还会呈现乘数几何式增长。这对于互联网企业而言,绝对是一块奇大无比、分外诱人的蛋糕。
然而,同样也是一组数据,将移动支付存在的安全隐患暴露无遗:
据《中国网络空间安全发展研究报告(2015)》显示,仅2013年1月至10月,百度安全中心通过技术手段监测到的虚假金融网站就达72万余个;
据国家计算机病毒应急处理中心的数据显示,有34.41%使用过网络支付的用户在支付过程中发生过安全问题,其中71.14%遭受到不同程度的经济损失;
据百度手机卫士发布的《2014移动安全报告》显示,截至2014年12月,存在支付风险的用户占比达到21.8%,超过5800万人,平均每5个使用移动支付的用户中就有1个面临支付安全风险。
据中国银联发布的《2014年移动互联网支付安全调查报告》显示,约10%的被调查者遭遇过网上诈骗,而以退款等借口骗取手机动态验证码的诈骗比2013年增加了11个百分点。
同时,《2014年移动互联网支付安全调查报告》调查结果强调:在移动支付用户快速增长的同时,移动交易终端正成为犯罪分子的重点攻击目标。一些黑客甚至从假基站、恶意WiFi网络端等渠道获取用户银行卡等信息,借机发起恶意攻击。
“虚假金融网站利用了人们安全意识薄弱以及金融知识缺乏等现状,以代办信用卡和介绍理财产品为切入口,以零风险、高收益为诱饵实施欺诈。可以说,目前网上欺诈类金融产品层出不穷。”专门从事信息安全战略及技术研究的中国信息安全测评中心总工王军坦言,移动支付正在成为网络犯罪的新目标。随着移动支付市场的不断扩大,其中的利益越来越诱人,以移动支付为目标的犯罪手段不断翻新。
监管立法处于相对滞后状态
“现在移动支付安全问题严重,不仅涉及骚扰用户,还涉及恶意吸费、诱导用户消费,甚至涉及通过木马、病毒等直接盗取用户个人信息或者财物等。”中国互联网协会法律顾问赵占领说。
根据《2015中国移动支付安全绿皮书》显示,从支付安全的角度看,恶意程序、钓鱼网站、诈骗短信和诈骗电话已经成为威胁移动支付安全最主要的4个因素。
“现阶段,移动支付存在的安全问题主要表现在以下几方面:中间环节的攻击,主要是指用户在进行支付过程中,对其通信数据进行拦截,从而窃取或者篡改用户的账户、密码等信息;拒绝服务的攻击,主要是指用户的支付业务不能得到使用,此时利用的是网络防护的漏洞,对网络通道进行阻塞,对目标服务器进行攻击。”360安全中心的技术人员介绍说,钓鱼网络的攻击,则主要是指攻击者利用相关的银行与机构等,对其进行伪装,从而欺骗用户,让用户提供卡号、密码、账户等;恶意软件的攻击,主要是指用户在下载应用程序过程中,含有木马病毒,在其程序安装后,恶意软件将进行费用的扣除、信息的窃取等行为。同时,由于支付者的真实信息不能得到识别,一旦用户的手机丢失,他人极可能利用手机进行支付,从而给用户造成一定的经济损失。
对此,姜向前提出,应从增强安全意识、提高代码安全等级、对移动应用进行安全审计、保护移动应用、持续关注风险数据等方面着手改善移动安全现状。
通过梳理移动支付相关的法律法规,中南财经政法大学金融学院研究人员鲁小兰注意到,相对于产业的加速渗透,目前我国移动支付产业监管立法仍处于相对滞后状态。
“我国现有的关于移动支付的法律法规主要包括《电子支付指引 (第一号)》、《非金融机构支付服务管理办法》、《电子银行业务管理办法》、《电子银行安全评估指引》和《关于规范移动信息服务资费和收费行为的通知》等。”鲁小兰说,虽然2014年3月央行发布了《支付机构网络支付业务管理办法(征求意见稿)》,但最后定稿和具体实施时间还未定。现有规定大多以部门规章为主,仅有少量的民法规范,对移动支付产业链中相关方的权、责、利没有明确的法律规定;对移动支付过程中的金融风险监管也存在缺位,尤其是对第三方支付环节中可能产生的资金沉淀、洗钱等问题,没有进行规范和监管,消费者的利益得不到保护。
“而且我国的消费者权益保护法中也没有明确条款来规范新兴支付业务中消费者权益保护问题。”鲁小兰补充说道。
立法监管第三方支付洗钱风险
在王军看来,我国亟待加强金融领域的立法建设和信息安全管理力度,对现行涉及金融等重要行业领域的法律法规要补充完善信息安全条款,尤其针对金融全球化带来的信息风险要提供法律上的保护。