了解移动支付的安全问题

【任务描述】

雅鹿公司电子商务部总监要求小王使用百度搜索引擎来查找移动支付存在的安全问题。请帮助小王完成这一任务。

【任务分析】

本任务涉及移动支付的概念、原理、特点及其所面临的安全问题，移动支付中安全隐患的预防，移动支付安全标准，移动支付风险的对策等知识点。

【知识准备】

移动支付是一种依托移动设备的互联网支付手段，随着手机的快速普及，移动支付时代已然来临，为了更好地监管第三方支付平台，中国人民银行牵头成立了“网联”这个线上清算平台，以切断第三方支付平台直连银行的模式，这符合支付与清算分开监管的要求。

1.银联和网联的区别

银联是连接各大银行的桥梁，目前主要负责线下的交易；网联与银联具有同等地位，主要负责线上（互联网）的交易。

网联的全称为“非银行支付机构网络支付清算平台”，这个平台在功能上与银联十分相似。《非金融机构支付服务管理办法》（中国人民银行〔2010〕第2号发布）由中国人民银行于2010年6月14日发布，自2010年9月1日起正式施行。

在没有网联之前，支付机构直接与各家银行对接，进行线上支付业务；有了网联后，要求支付机构必须与网联对接，才能在线上接入各家银行。

没有网联前的电子支付流程如图6-8所示。

有了网联后的电子支付流程如图6-9所示。

图6-8　没有网联前的电子支付流程

图6-9　有了网联后的电子支付流程

例如，小李要把平安银行工资卡的5 000元转到中国农业银行的卡中。传统的跨行转账方式：小李在平安银行操作5 000元转账程序，进入银联支付清算系统，再通过银联支付清算系统，将5 000元转入自己的中国农业银行账户。第三方支付平台（以支付宝为例）的转账方式：小李通过支付宝从平安银行转出5 000元，进入支付宝中国农业银行账户，支付宝通过自己的中国农业银行账户，转入5 000元到指定账户。

从小李转钱的过程可以看到，在传统的跨行转账过程中，银行的跨行支付和清算全部在中国人民银行的监管下完成。然而通过第三方支付平台跨行转账，没有通过中国人民银行的清算账户。这样，银行和中国人民银行都无法掌握具体交易信息，无法掌握准确的资金流向。这就给金融监管、货币政策调节、金融数据分析等各项金融工作带来很大困难。更危险的是它也有可能被不法分子利用，成为洗钱、套现、盗取资金的渠道。

银联转接线下支付、网联转接线上支付和第三方支付平台可任意选择接入其中的一种，但不得再继续直连银行的模式。

2.移动支付面临的安全威胁

移动支付的安全问题一直是移动支付快速推广的“瓶颈”。信息的机密性、完整性、不可抵赖性、真实性，支付模式，身份验证，支付终端（手机）等都存在安全保障不健全问题。

移动互联网的主导地位正在强化，手机上网比例明显增加，快速扩张的手机网络成为蠕虫病毒等恶意程序的入侵目标。

数据显示，在中国手机用户常遇到的安全问题中，支付陷阱占比最高，达88.3%。中国互联网协会副秘书长石现升表示，这源于移动支付的高速增长。

【任务实现】

1.移动支付的概念

移动支付也称为手机支付，即允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感设备直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构融合，为用户提供货币支付、缴费等金融业务。移动支付的方式如图6-10所示。

图6-10　移动支付的方式

移动支付主要分为近场支付和远程支付两种。所谓近场支付，就是用手机刷卡的方式坐车、买东西等，很便利。远程支付是指通过发送支付指令（如网络银行、电话银行、手机支付等）或借助支付工具（如邮寄、汇款）进行支付的方式，如掌中付推出的掌中电商、掌中充值和掌中视频等属于远程支付。

2.移动支付的原理

移动支付的原理是将用户移动终端与用户本人的银行卡账号建立一一对应的关系，用户通过发送短信等方式，在系统的引导下完成支付，操作简单，可以随时随地进行。

3.移动支付的特点

移动支付属于电子支付方式的一种，因而具有电子支付的特征，但因其与移动通信技术、无线射频技术、互联网技术相互融合，又具有自己的特征。

1）移动性

移动性消除了距离和地域的限制。结合先进的移动通信技术，用户可以随时随地获取所需要的服务、应用、信息和娱乐。

2）及时性

移动支付不受时间、地点的限制，信息获取更为及时，用户可以随时对账户进行查询、转账或购物消费。

3）定制化

基于先进的移动通信技术和简易的移动终端操作界面，用户可以定制自己的消费方式和个性化服务，账户交易更加简单方便。

4）集成性(www.xing528.com)

以手机为载体，通过与终端读写器近距离识别进行的信息交互，运营商可以将移动通信卡、公交卡、地铁卡、银行卡等各类信息整合到以手机为平台的载体中进行集成管理，并搭建与之配套的网络体系，从而为用户提供十分方便的支付以及身份认证渠道。移动支付业务是由移动运营商、移动应用服务提供商（MASP）和金融机构共同推出的、构建在移动运营支撑系统上的一个移动数据增值业务应用。移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户，其功能相当于电子钱包，为移动用户提供了一个通过手机进行支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统，移动支付系统将交易的要求传送给MASP，由MASP确定交易的金额，并通过移动支付系统通知用户，在用户确认后，付费方式可通过多种途径实现，如直接转入银行、用户电话账单或者实时在专用预付账户上借记，这些都将由移动支付系统（或与用户和MASP开户银行的主机系统协作）来完成。

4.移动支付所面临的安全问题

1）病毒感染

大量手机支付类病毒猖獗爆发，包括伪装淘宝客户端窃取用户账号密码隐私的“伪淘宝”病毒、盗取20多家手机银行账号隐私的“银行窃贼”以及感染中国建设银行APP的“洛克蛔虫”等系列高危风险的手机支付病毒。而移动支付类软件的主要典型病毒又分为电商类APP典型病毒、第三方支付类APP典型病毒、理财类APP典型病毒、团购类APP典型病毒及银行类APP典型病毒。移动支付中各类安全问题占比如图6-11所示。

图6-11　移动支付中各类安全问题占比

由图6-11可知，账户或密码被盗占比最大，达到33.9%，交易过程中木马、钓鱼网站诈骗占比为24%，隐私信息被截取占比为21.4%，商户不诚信造成资金损失占比为11.4%。

2）手机软件漏洞

手机支付安全的状况不容乐观，安卓系统漏洞加剧了这一状况。淘宝和支付宝认证被爆存在安全缺陷，黑客可以利用该漏洞登录他人淘宝/支付宝账号进行操作。对移动支付安全造成较大威胁的相关安卓系统漏洞主要有3个：MasterKey漏洞、安卓挂马漏洞及短信欺诈漏洞。

3）各类诈骗手段

诈骗短信、骚扰电话也带来了一定的移动支付风险。腾讯移动安全实验室监控到，诈骗分子除了通过骚扰电话诱导手机用户进行银行转账之外，还通过发送带钓鱼网址或恶意木马程序下载链接的诈骗短信诱导用户登录恶意诈骗网站等，引导用户进行购物支付。中奖钓鱼类诈骗已呈现多发趋势，其中重点案例有三类：网银升级、U盾失效类诈骗，社保诈骗及热门节目中奖诈骗。常见的诈骗手段如图6-12所示。

图6-12　常见的诈骗手段

5.移动支付中安全隐患的预防

为了使移动支付健康发展，必须预防移动支付中的安全隐患，解决措施如下。

1）完善加密机制

加密的目的是保护数据的机密性，通过加密处理保证只有消息的发送者和预定的接收者才能看懂消息的真正内容。由于受到移动终端计算和存储能力的限制，加密算法最好选择对称加密算法，身份认证是确保消息的接收者能够确认消息的来源，从而使通信双方能够确定对方的真实身份，在对称密码系统中的物理地址（MAC）可提供身份认证的功能。

2）保证数据的完整性

保证数据的完整性的目的是保证消息的接收者能够判断消息在传输过程中是否被篡改。垃圾短信、电话诈骗和资费陷阱问题广泛存在，导致移动增值服务的诚信度较低，影响用户使用移动增值服务的意愿。

3）加强立法和监督工作

移动支付行业起步较晚，目前用来规范相应行为的法律和法规相对较少。因此，立法机构应该着力于建立一套完善的移动支付法律体系，从法律的角度来解决移动支付活动中遇到的问题，为正常的移动支付活动提供必要的法律保障。

6.移动支付安全标准

2017年11月，国家安全标准委已对手机安全标准立项，意在研究制定手机安全标准，其中包括对关键硬件、软件信息基础设施的网络安全防护能力，系统安全等级，APP权限的限定等。

7.移动支付风险的对策

（1）不随意点击来路不明的下载链接，在收到可疑链接时，一定对发信人和账户进行验证。

（2）在登录支付软件、网上商城时，不要使用自动登录方式，以防止不法分子登录账号；身份证、银行卡不要与手机放在一起，这样即使手机丢失，不法分子也很难进入用户的网络银行。

（3）设置单独的、高安全级别的密码。如果邮箱、SNS网站等的登录名和移动支付账户名一致，务必要保证密码不同。移动支付的密码最好使用“数字＋字母＋符号”的组合。另外，移动支付一般有登录和支付两个密码，这两个密码务必不能相同。账户与密码不要保存于联网的计算机中，以防止被木马窃取。

（4）进一步提高身份认证的可靠性，比如对手机进行指纹识别。针对移动智能终端自身的安全问题，可以采取下列措施进行预防：

①从正规渠道或可信赖的资源站点下载应用软件，不随意安装来路不明的应用软件。在手机上安装杀毒软件，养成定期用安全软件查杀病毒的习惯，并及时更新杀毒软件。

②不扫描来路不明的二维码。随着手机支付功能的普及，二维码正逐步融入生活中。

二维码虽然实用，但也隐藏着安全风险。如果扫描到不安全的二维码，手机很容易被植入木马病毒，不但会泄露个人信息，也容易造成信用卡被盗刷或手机被恶意扣费，一些商家还会以此发布非法广告和不良信息。

不法分子通过简单的二维码生成器便可将木马程序隐藏在二维码中，再通过假网购店铺，以较低的商品价格和送红包优惠的手段，吸引用户咨询购买，实际上是推销其吸费二维码，这样一步步将受害者引入吸费陷阱，只要受害者扫了二维码，就有可能钱财不保。

这类吸费二维码实际上是手机木马，受害者只要扫描二维码，木马程序就会在后台自动安装；在进入受害者的手机后，木马就会获取受害者手机号码，由于许多人习惯将手机号码设置为登录账户名，因此不法分子不费吹灰之力就获得了受害者的移动支付账号。

③使用数字证书、宝令、支付盾等安全产品。数字证书、宝令、支付盾等安全产品能够提升账户的安全等级。支付宝的数字证书可以免费安装，在不同的计算机上使用时，通过手机校验码的方式重新安装或删除也很方便，建议用户务必安装。

④绑定手机并使用手机动态密码。通过手机也能保障账户安全。支付宝等移动支付账户都支持绑定手机，并支持设定手机动态密码（手机校验码服务）。用户可以设定每笔付款都需要手机校验码进行验证，从而增强资金的安全性。

⑤进行实名认证。

【动手做一做】

进入阿里巴巴电子商务网站，浏览、查阅、体验网站的安全机制和支付功能，总结阿里巴巴电子商务网站的安全机制和支付机制。

思政元素17