無現金支付致盜用頻發 何以讓消費者愛恨交織?

2018-06-08 08:42:21 來源:法制日報

打印 放大 縮小

資料圖。中新社記者 劉新 攝

無現金支付進入生活方方面面信息泄露導致盜用欺詐頻發

移動支付何以讓消費者愛恨交織

□ 本報記者 趙麗

“呀,沒帶手機,您等會兒,我去車上取。”

 

正準備走出面包店的客人又轉頭回來,手里拿著錢包,笑著自嘲道:“看見錢包居然沒反應過來,可以現金支付。”

上面的一幕,對于在北京市豐臺區嘉園路一家面包店工作的劉暢來說,早已是見怪不怪,“有一次我們店里的電子支付系統發生故障,營業額創下了歷史新低,因為很多年輕人平常只帶手機出門,兜里不裝現金”。

如今,二維碼支付在餐飲門店、超市、便利店等線下小額支付場景得到廣泛應用。然而,在條碼生成機制和傳輸過程中仍存在風險隱患。“在開放環境下,移動支付風險正逐漸成為主要風險類型,并呈現出隱蔽性、復雜性、交叉性等新趨勢,移動手機端發生的賬戶盜用和欺詐呈現高發態勢,給用戶資金造成嚴重損失。”在6月6日由中國支付清算協會舉辦的“2018年移動支付安全便民宣傳周啟動儀式暨移動支付安全與創新研討會”上,中國支付清算協會副秘書長馬國光說。

支持者:生活更便利

作為90后,在過去兩年多的時間里,北京市民張峰僅有兩次機會使用現金。

一次是在一個路邊停車場,張峰需要支付16元給看車的老大爺。當看到老大爺使用的還是老式手機的那一刻,張峰放棄了和他商量,而是乖乖給了100元,并向老大爺道歉說自己沒帶零錢。

另一次是在一家公立醫院的自費藥房,沒有POS機或移動支付選項,只收現金。“我嘗試和收銀員溝通,讓她接受我加她好友,然后我給她發個紅包,這樣我就可以買到一支25元的眼藥膏。那姑娘鄙夷地看了我一眼,說‘如果每個人都像你這樣,我一天要加多少好友啊?錢包提現還要手續費的’。”張峰回憶說,不過,時至今日,那家醫院早已開通了支付寶付款功能,而路邊收停車費的老大爺也拿上了“掌上智能收費機”。

前一陣子路過那個停車場,老大爺對張峰說,老板給他用這個,一是為了避免高峰期間來不及收費等尷尬,二是避免他接觸現金,解決亂收費、截扣停車費的問題。而對他本人的好處,就是再也不需要準備一大把零錢了。

北京某購物中心停車場管理員潘師傅說:“之前車輛進出時,停車、取卡、交費,整個過程至少需要半分鐘,車多的時候會更久;有了‘ETCP停車’后,車輛進出不需要停下等待交費,整個過程只需兩秒,不僅用戶方便了,停車場秩序也更好了,這種技術真應該在每家商場都用上。”

的確,無現金社會越來越多地被提及,甚至已經開始有人進行倒計時。

不過,在這樣的大環境下,也有一批人在“逆勢而行”,拒絕甚至厭惡移動支付。

在北京從事金融工作的郭濤就是堅定的現金使用者。讓他感受到自己成為異類,是在一年前的一次聚會上。

“當時聚會結束,大家爭著結賬。可就在我從錢包里抽出一沓錢做奮勇狀時,卻沒有收獲應有的尊重。同行者已經安靜地掃碼、付款、確認,一切都無比流暢而安靜。最后,同行者看著我說,‘現在誰還用現金啊’。”回憶當時的場景,郭濤說,“那一刻,他看著我,好像阿爾法狗看著一個圍棋初學者一樣。那一刻,我感受到了《三體》中所描述的,高維對低維的降維打擊。”

這次打擊,讓郭濤開始關注身邊的無現金生活,上下班地鐵、公交可以刷卡,吃飯、買東西全部都可以用微信、支付寶以及刷銀行卡來完成。

“我還發現了一個以前被我忽略的事實,幾乎所有的小商販都可以用移動支付完成交易,不管他是賣雞蛋灌餅還是煎餅果子,不管他是手機貼膜還是賣西瓜,都會把微信和支付寶兩個二維碼印得清晰而醒目。”郭濤說,僅有的限制是,有一次孩子幼兒園組織家長捐款,只能用現金,不可以用移動支付。

拒絕者:安全在裸奔

無現金社會,在去年成為一個熱詞。支付寶和微信支付甚至分別推出了“無現金城市周”和“無現金日”,讓這一概念變得如日中天。

所謂無現金社會,概言之,就是移動支付社會。這個概念的興起,代表了中國移動支付市場開始向縱深推進,從商業交易到公共事務,從線上場景到線下場景。

縱使如此,對于一些拒絕移動支付的人來說,他們的理由也比較充分。比如郭濤,安全問題是他拒絕移動支付的主要原因。

近年來,移動支付在快速發展、改進用戶體驗、便利群眾的同時,其風險也隨之發生新的變化和轉移。

“就像某一天,從你出門打車、在地鐵口買早餐、午餐訂外賣、星巴克下午茶、路邊攤買水果,再到露天吃燒烤,這一切的消費行為都無現金,通過移動支付解決,由此產生一批又一批的交易數據。日復一日。通過這些數據,你的消費記錄與生活習慣被相關公司甚至產業牢牢掌控。它們比你的家人和朋友更了解你,甚至比你自己更了解你。在它們面前,我們很可能是裸露的,并且無處可藏。”郭濤說,到目前為止,這些公司掌控數據的行為以及如何合理保護用戶的隱私,似乎并沒有實質性的監管,“這就是無現金社會的另一面。在某種意義上,我們無路可退,也無處可去”。

“有人的地方就有江湖,有錢的地方就有詐騙。”這是作為計算機高級網絡安全研究員蔣興鵬的體會。

隨著移動支付市場的不斷擴大,一些不法分子逐漸將黑手伸向移動支付用戶。其作案手段專業化、團伙化,通過網絡的聯系,甚至一些素未謀面的不法分子也可以分工協作,逐漸形成黑色產業鏈。

拖庫、洗庫、撞庫的“黑客”——這是蔣興鵬對于移動支付中存在的“互聯網幽靈”的表述。

“近年來,國內關于用戶隱私信息被竊取的事件時有發生。網絡黑色產業鏈已經呈現低成本、高技術、高回報的爆發性增長態勢,越來越多的網絡黑產分子通過拖庫、撞庫盜取用戶個人信息,給網民造成了金融資產和個人信息安全等多方面的危害。”蔣興鵬說,在這些泄露的信息中,最容易被網絡黑產集團利用牟利的就是個人姓名、手機號碼、身份證號碼和銀行卡號,這是直接關系賬戶安全的四個要素。這些信息大多會被出售給黑市中的詐騙團伙和營銷團伙,用來進行詐騙和惡意營銷,“黑客通過入侵有價值的網絡站點,盜走用戶數據庫,這個過程在地下產業術語里被稱為拖庫。在取得大量用戶數據后,黑客會通過一系列技術手段清洗數據,并在黑市上將有價值的用戶數據變現交易,這通常被稱作洗庫。最后,黑客將得到的數據在其他網站進行嘗試登錄,叫撞庫”。

蔣興鵬說,因為很多用戶喜歡使用統一的用戶名密碼,“撞庫”也可以使黑客獲得用戶在多個平臺的賬號密碼。最后,黑產人員還會把多個不同類型的數據庫整合成“社工庫”。隨著“社工庫”的日益完善,大量網絡用戶的隱私信息、上網行為以及與個人金融財產安全相關的數據被重新整合,多維度的海量信息讓有強針對性的精準式詐騙場景頻現。

核心問題:技術之痛

除此之外,還有移動支付安全的技術安全問題。

今年以來,通過社交網絡平臺、欺詐App軟件、惡意二維碼等進行詐騙的案件頻發,移動支付安全已經成為用戶最擔心的問題之一。去年,銀聯累計協助公安機關查辦案件3.18萬件,其中涉及銀行卡約92.36萬張,金額4582億元。

“技術問題是存在安全隱患的重要原因。”清華大學數據科學研究院二維碼安全中心副主任沈維說,“掃碼支付的二維碼碼制有國家標準,目前我們使用的QR碼是國際標準,也是我國的國家標準。技術上雖然已經有了國家標準,但二維碼在應用上還沒有相應的規范。公開的二維碼無人監管,且支付前的二維碼管理缺失,而監管缺位的原因在于缺少技術手段。

“手機木馬病毒是移動支付環境中最大的毒瘤,其中支付類病毒行為中占比比較多的為執行反射,也就是黑客為了逃避反編譯,通過某種隱藏方式來調用某些API接口的行為模式。其次是隱私數據也就是手機信息上傳占比比較多。同時,許多支付類病毒還會靜默聯網、靜默刪除和發送短信,主要是將用戶的驗證碼信息轉發到另一終端,從而實現銀行卡的盜刷。”蔣興鵬說,另外,釣魚網站也是網絡黑產竊取用戶信息的一個慣用手段。所謂釣魚網站即域名和頁面都和正常網站非常相似的假網站,通常會模仿銀行或者電信運營商的官方網站,誘導用戶在釣魚網站上輸入個人信息。

近日,某私營企業負責人陳安在不法分子迷惑下泄露了自己的某支付機構付款碼,對方指示將付款條碼上的數字發過去,之后陳安的支付賬戶立刻被劃走499元。陳安說,找客服投訴后,支付機構只說后臺審核,如果對方賬戶存在風險,會采取凍結賬戶的手段。“但現在幾個月過去了,不僅對方賬戶沒有凍結,被騙的欠款也沒能要回來”。

“二維碼犯罪隱蔽性強、傳染性快,但電子證據獲存困難,相關規定不健全,維權成本高。制作和發布的實施主體和責任承擔主體難以明確鎖定,增加了訴訟的不確定因素。”北京律師左勝高認為。

一位網絡安全從業人員稱,近年來涉及二維碼的案件很多,其中包括非法獲取公民信息、詐騙、盜刷等。對于像二維碼這樣的新興技術在多領域的應用,相關監督管理部門還未出臺較為有效的規章和監管機制。

對此,銀聯近日發布一則安全提示稱,隨著經濟領域犯罪活動日益復雜,金融支付違法犯罪活動層出不窮,并呈現出技術含量高、傳播速度快、跨境跨網絡實施等新特點。為防范各類新型欺詐手法,消費者需要做好安全防范,養成謹慎上網、磁條卡要換“芯”以及認真看簽購單等好習慣。

【編輯:周馳】

責任編輯:ERM523

彩客竞彩足球比分直播