国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

誰動了我的支付寶?

2014-08-07 05:28史兆琨
祖國 2014年12期
關(guān)鍵詞:網(wǎng)上支付持卡人攻擊者

史兆琨

上海的余小姐經(jīng)營著一個鋁合金門窗店鋪,一次為了獲取業(yè)務(wù)信息,掃了一下“客戶”提供的二維碼??稍趻咄瓴坏?個小時,余小姐的支付寶和一張綁定支付寶的銀行卡共計5000元被轉(zhuǎn)走。

余小姐第一時間向派出所報案,同時也和支付寶公司取得聯(lián)系。支付寶公司的技術(shù)人員在分析余小姐的經(jīng)歷后,認(rèn)為導(dǎo)致余小姐支付寶賬戶被盜原因系掃“二維碼”惹的禍。

很多人感受到互聯(lián)網(wǎng)支付的快捷和方便,從而對網(wǎng)上支付情有獨(dú)鐘,他們覺得網(wǎng)上支付可以明顯減少到銀行的往來奔波之苦、可以免除排隊(duì)的煩勞;另一方面,一部分人對網(wǎng)上支付退避三舍,不敢輕易嘗試網(wǎng)上支付。經(jīng)調(diào)查分析,不同人群對待網(wǎng)上支付的不同態(tài)度在很大程度上是由于他們對網(wǎng)上支付安全擔(dān)心程度不同所致。

網(wǎng)絡(luò)支付成黑客攻擊“重災(zāi)區(qū)”

網(wǎng)絡(luò)支付是在信息時代誕生的一種全新的支付結(jié)算方式。網(wǎng)上支付和其它新生事物一起,正悄悄地影響著、改變著人們生活方式和生活態(tài)度。任何新生事物剛剛出現(xiàn)的時候,由于人們對其了解甚少,容易產(chǎn)生排斥的心理。隨著時間的推移,隨著對這些新生事物了解的加深,將會逐漸習(xí)慣并接受。當(dāng)前存在的不愿意使用網(wǎng)上支付的現(xiàn)象并不為怪。但是,人們對于網(wǎng)上支付的擔(dān)憂折射出網(wǎng)上支付發(fā)展中還存在缺陷、人們對網(wǎng)上支付安全的心理準(zhǔn)備還不充分。

在線交易系統(tǒng)安全成為黑客攻擊“重災(zāi)區(qū)”。記者日前從2014中國計算機(jī)網(wǎng)絡(luò)安全年會上獲悉,2013年銀行、證券等行業(yè)聯(lián)網(wǎng)信息系統(tǒng)的安全漏洞、網(wǎng)站后門、網(wǎng)頁篡改等各類安全事件超過500起,存在交易信息被篡改、投資信息被泄露等諸多高危風(fēng)險。現(xiàn)階段的支付風(fēng)險主要存在于:

支付密碼泄漏。一旦攻擊者通過某種方式得到支付密碼,可以輕易地冒充持卡人通過互聯(lián)網(wǎng)進(jìn)行消費(fèi),給持卡人帶來損失。這是人們對網(wǎng)上支付安全的主要擔(dān)心所在。

支付數(shù)據(jù)被篡改。在缺乏必要的安全防范措施情況下,攻擊者可以通過修改互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)。譬如,攻擊者可以修改付款銀行卡號、修改支付金額、修改收款人帳號等,達(dá)到謀利目的并制造互聯(lián)網(wǎng)支付事件。

否認(rèn)支付。網(wǎng)上支付是一個通過商業(yè)銀行提供的網(wǎng)上結(jié)算服務(wù)將資金從付款人賬戶劃撥到收款人賬戶的過程。對于資金劃出操作,若付款人否認(rèn)發(fā)出資金劃出指令,商業(yè)銀行將處于被動局面;對于資金劃入操作,若商業(yè)銀行否認(rèn)資金劃入操作,收款人將處于不利境地。

與此同時,地方政府網(wǎng)站也正面臨安全考驗(yàn)。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn),2013年,我國境內(nèi)被篡改網(wǎng)站數(shù)量為24034個,其中政府網(wǎng)站被篡改數(shù)量為2430個;我國境內(nèi)被植入后門的網(wǎng)站數(shù)量為76160個,其中政府網(wǎng)站2425個。

隨著互聯(lián)網(wǎng)和金融行業(yè)的深度融合,以余額寶、現(xiàn)金寶、理財通等為代表的互聯(lián)網(wǎng)金融產(chǎn)品市場持續(xù)升溫,在給人們生活帶來便利的同時也引入新的安全風(fēng)險。

國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn),2013年銀行、證券等行業(yè)聯(lián)網(wǎng)信息系統(tǒng)的安全漏洞、網(wǎng)站后門、網(wǎng)頁篡改等各類安全事件超過500起,存在交易信息被篡改、投資信息被泄露等諸多高危風(fēng)險。

“此類互聯(lián)網(wǎng)公司通過所運(yùn)營的在線交易信息系統(tǒng),掌握大量用戶資金、真實(shí)身份、經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣等信息,系統(tǒng)一旦出現(xiàn)安全漏洞,風(fēng)險會隨之傳導(dǎo)到關(guān)聯(lián)銀行、證券、電商等其他行業(yè),產(chǎn)生連鎖反應(yīng)?!眹一ヂ?lián)網(wǎng)應(yīng)急中心副主任云曉春說。

“他們在盜取銀行賬號和密碼后,再通過仿冒的相應(yīng)手機(jī)銀行安全插件的惡意程序,截取用戶收到的短信驗(yàn)證碼,使黑客進(jìn)一步完成網(wǎng)銀支付、轉(zhuǎn)賬等交易操作,從而牟利?!眹一ヂ?lián)網(wǎng)應(yīng)急中心何能強(qiáng)博士說。

數(shù)據(jù)顯示,去年釣魚網(wǎng)站數(shù)量繼續(xù)迅速增長,我國境內(nèi)網(wǎng)站的釣魚頁面30199個,涉及IP地址4240個,分別較2012年增長35.4%和64.6%。

網(wǎng)絡(luò)攻擊手段多樣 防不勝防

降低風(fēng)險需要根據(jù)風(fēng)險點(diǎn)的不同特征采取不同的風(fēng)險控制措施。攻擊者通常用哪些手段得到支付密碼呢?

騙取手段。攻擊者可以采用“釣魚”方式達(dá)到目的。具體方式有假冒網(wǎng)站、虛假短信(郵件)。這些網(wǎng)站頁面、短信或郵件是他們的“誘餌”。不能識別這些詐騙手段的持卡人容易被攻擊者誘騙,乖乖地向其泄漏自己的銀行卡支付密碼。

支付終端截取。攻擊者可以在持卡人電腦上發(fā)布惡意軟件(如木馬軟件)。這些軟件能在持卡人輸入支付密碼時悄無聲息地捕獲,并偷偷地發(fā)送出去。

網(wǎng)絡(luò)截獲。攻擊者在支付終端和其它網(wǎng)絡(luò)設(shè)備等節(jié)點(diǎn)通過智能識別和密鑰破解手段得到支付密碼。

暴力攻擊。通常支付密碼是由數(shù)字和字母組成的一段字串。由于人類記憶能力的限制,該字串不會太長。當(dāng)前很多發(fā)卡行采用6位數(shù)字密碼方式。借助于具有強(qiáng)大運(yùn)算能力的計算機(jī),攻擊者可以采用密碼詞典(密碼詞典包含了0-9數(shù)字不同字長的各種數(shù)字串組合)方式逐個試探。

其它途徑獲取。攻擊者趁持卡人不注意,在銀行柜臺、ATM或POS終端記下持卡人的支付密碼。

支付密碼泄漏是網(wǎng)上支付案件的主要原因。從上述這些攻擊手段可以看出,我們首先要具有安全意識和基本防范技能。持卡人應(yīng)注意:

識別假冒網(wǎng)站。持卡人需要確認(rèn)支付頁面網(wǎng)站域名的真?zhèn)巍R虼?,持卡人不妨選擇一家商業(yè)銀行或支付平臺作為常用的支付服務(wù)商,熟悉其域名,并在支付操作時細(xì)心即可。有些商業(yè)銀行網(wǎng)上銀行或支付平臺提供了持卡人“預(yù)留信息”方式,可以幫助持卡人識別假網(wǎng)站。

虛假短信(郵件)相對假冒網(wǎng)站而言更易于識別。持卡人在收到任何與銀行卡、支付有關(guān)的短信后,應(yīng)確認(rèn)短信發(fā)送者的真實(shí)身份或短信內(nèi)容。

支付密碼能輕易為攻擊者騙取、竊取或破解,更為一個重要的原因是支付密碼本身缺乏一定的防攻擊、防竊取能力。由于密碼通常是字母、數(shù)字的簡單組合,屬于低安全強(qiáng)度的保護(hù)機(jī)制。目前有很多更適合采用的高安全強(qiáng)度的加密機(jī)制。如采用數(shù)字證書代替或補(bǔ)充支付密碼就是一種有效方式。很多商業(yè)銀行的專業(yè)版網(wǎng)上支付系統(tǒng)就是采用這種方式。數(shù)字證書的使用,大大降低了網(wǎng)上支付事件的數(shù)量。因此,持卡人進(jìn)行網(wǎng)上支付最好選擇使用采用數(shù)字證書安全機(jī)制的支付方式。endprint

防止支付數(shù)據(jù)被篡改需要網(wǎng)上支付平臺采用完善的信息安全措施。當(dāng)前普遍采用數(shù)字簽名來保障支付數(shù)據(jù)不會被篡改。數(shù)字簽名在保護(hù)數(shù)據(jù)完整性方面有兩個功能:

首先,能標(biāo)明支付數(shù)據(jù)特征值。即便是支付數(shù)據(jù)的細(xì)微差異,數(shù)字簽名將產(chǎn)生內(nèi)容迥異的簽名結(jié)果??梢哉f數(shù)字簽名就是支付數(shù)據(jù)的特征值。因此,一旦支付數(shù)據(jù)被篡改,通過對支付數(shù)據(jù)與簽名結(jié)果比對,可以輕易識別支付數(shù)據(jù)是否被人篡改。

其次,能表明特征值是由誰產(chǎn)生的。設(shè)想一種情形,倘若攻擊者篡改數(shù)據(jù)后同時將原簽名結(jié)果替換為攻擊者的簽名,比對支付數(shù)據(jù)和簽名結(jié)果時很難發(fā)現(xiàn)數(shù)據(jù)被人篡改。因此,為了識別支付數(shù)據(jù)究竟是否被修改,還需要驗(yàn)證支付數(shù)據(jù)特征值的真實(shí)產(chǎn)生方。只有確認(rèn)特征值是由持卡人產(chǎn)生且特征值與簽名結(jié)果匹配才能確認(rèn)支付數(shù)據(jù)有效。

國內(nèi)網(wǎng)絡(luò)支付安全總體可控

木馬、病毒、黑客攻擊等風(fēng)險自互聯(lián)網(wǎng)誕生之日起就如影隨形,而網(wǎng)上支付跟錢密切相關(guān),一些不法分子看到有利可圖便千方百計瞄準(zhǔn)了這一領(lǐng)域。

中國互聯(lián)網(wǎng)絡(luò)信息中心提供的一份調(diào)查顯示,30.4%的非網(wǎng)上支付用戶是因?yàn)楦杏X不安全、擔(dān)心資金被盜而不使用,還有11.8%的非網(wǎng)上支付用戶擔(dān)心賬戶信息泄漏。

國務(wù)院發(fā)展研究中心金融研究所副所長巴曙松認(rèn)為,經(jīng)過近10年的發(fā)展,國內(nèi)互聯(lián)網(wǎng)支付企業(yè),特別是市場份額較大的主要企業(yè)在安全方面的大量基礎(chǔ)投入,使得網(wǎng)上支付的安全技術(shù)不斷完善。網(wǎng)上支付的安全技術(shù),諸如控件、UKey、動態(tài)口令和證書、釣魚網(wǎng)站的實(shí)時攔截等已經(jīng)比較完善,國內(nèi)網(wǎng)上支付的安全總體上是可控的。

全球電子支付管理服務(wù)提供商CyberSource的數(shù)據(jù)也顯示,從欺詐率來看,中國網(wǎng)上支付的欺詐率為萬分級,遠(yuǎn)低于國際平均水平。

網(wǎng)絡(luò)支付目前依然存在四個方面的問題:一是整體產(chǎn)業(yè)鏈上安全防范水平參差不齊,持牌的中小第三方支付機(jī)構(gòu)的安全投入有待提高;二是行業(yè)安全聯(lián)防協(xié)作程度有待提高,高風(fēng)險客戶、商戶、區(qū)域、IP地址等黑名單共享方面有待加強(qiáng);三是重安全技術(shù)手段,輕用戶風(fēng)險教育,用戶的安全感不足,安全防范意識不夠;四是網(wǎng)上支付及電子商務(wù)整體行業(yè)基礎(chǔ)設(shè)施、外部環(huán)境管理尚有待加強(qiáng),業(yè)務(wù)連續(xù)性的保障力有待加大。

網(wǎng)絡(luò)支付具有互聯(lián)網(wǎng)和金融的雙重特征,風(fēng)險管理策略跟傳統(tǒng)線下支付有所不同。傳統(tǒng)線下的支付風(fēng)險管理特點(diǎn)是高進(jìn)入門檻和日常監(jiān)控,需要支付介質(zhì)、面對面交易,所需成本較高,但最可信。而網(wǎng)絡(luò)支付是無支付介質(zhì)的,不可能面對面交易,而且準(zhǔn)入門檻較低,在風(fēng)險管理方面更強(qiáng)調(diào)基于行為特征的風(fēng)險實(shí)時監(jiān)控與風(fēng)險識別。

“傳統(tǒng)金融機(jī)構(gòu)通過增加交易成本來減少風(fēng)險損失,這同時也降低了交易成功率。在網(wǎng)絡(luò)支付的風(fēng)控中,效率與安全的平衡至關(guān)重要,風(fēng)險控制不能以犧牲效率和客戶體驗(yàn)為代價。如果犧牲效率換來安全,產(chǎn)業(yè)鏈上的收入無法覆蓋成本,企業(yè)和服務(wù)很快就會在競爭中被淘汰?!卑褪锼杀硎尽?/p>

網(wǎng)上支付安全

需多方共同完善

專家認(rèn)為,對于網(wǎng)上支付安全的管理,監(jiān)管部門應(yīng)該從關(guān)注中國網(wǎng)絡(luò)支付產(chǎn)業(yè)的國際競爭力的前瞻性角度進(jìn)行規(guī)劃。網(wǎng)絡(luò)支付特別是跨境支付發(fā)展到一定階段后,游戲規(guī)則及安全要求都會發(fā)生變化。華為、中興等中國企業(yè)此前就曾被美國眾議院情報委員會認(rèn)定可能威脅美國國家安全。中國的網(wǎng)絡(luò)支付企業(yè)是否會遇到、如何避免類似問題,關(guān)乎中國企業(yè)的國際競爭力。

正視支付安全問題需要從社會效益的角度對網(wǎng)絡(luò)支付風(fēng)險水平有一個客觀認(rèn)識;積極推進(jìn)支付企業(yè)網(wǎng)絡(luò)支付的風(fēng)險管理及業(yè)務(wù)創(chuàng)新,參照國際慣例建立一個能充分保障消費(fèi)者權(quán)益的風(fēng)險承擔(dān)機(jī)制;同時也希望政府能夠建立一套打擊相關(guān)網(wǎng)絡(luò)犯罪的有力機(jī)制。

相關(guān)專家同時建議,全行業(yè)都應(yīng)關(guān)注網(wǎng)絡(luò)支付的數(shù)據(jù)信息安全。隨著信息技術(shù)的發(fā)展,篩選分析、統(tǒng)計利用支付信息的需求和能力將越走越近。支付交易產(chǎn)生或沉淀的數(shù)據(jù)信息分析將成為網(wǎng)絡(luò)支付領(lǐng)域的下一個“金礦”。支付交易信息分析必須嚴(yán)格遵循數(shù)據(jù)信息安全的基本規(guī)則,切實(shí)保護(hù)客戶信息。

國家金融信息中心總經(jīng)理焦然預(yù)測,未來建立在大數(shù)據(jù)業(yè)務(wù)基礎(chǔ)之上的信息化金融,將形成一種以信息為主的智慧金融模式。因此,數(shù)據(jù)業(yè)務(wù)有可能成為收入的重要來源,掌握和擁有巨大信息流和數(shù)據(jù)核心技術(shù)的企業(yè)將面臨更廣闊的機(jī)會和重要競爭優(yōu)勢,這也將為企業(yè)的業(yè)務(wù)創(chuàng)新提供嶄新的發(fā)展空間和重要方向。

在享受網(wǎng)絡(luò)支付帶來便利的同時,不能忽略其存在的安全漏洞:一方面,需要嚴(yán)防身份信息被盜竊或者是泄露;另一方面,盡量只在網(wǎng)絡(luò)支付上應(yīng)用小額支付,避免大額資金被盜取。endprint

猜你喜歡
網(wǎng)上支付持卡人攻擊者
基于微分博弈的追逃問題最優(yōu)策略設(shè)計
第三方網(wǎng)上支付風(fēng)險控制研究
——以支付寶為例
惡意透支型信用卡詐騙罪持卡人界定的辨析
正面迎接批判
論信用卡詐騙案件催收效力問題的認(rèn)定
——以惡意透支信用卡詐騙為例
網(wǎng)上支付對消費(fèi)者行為的影響
有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
招行聯(lián)合騰訊推出QQVIP聯(lián)名信用卡
视频| 鄂尔多斯市| 蓬溪县| 搜索| 于田县| 昭觉县| 郑州市| 临高县| 霞浦县| 兴化市| 图木舒克市| 保亭| 平原县| 景泰县| 孟州市| 华池县| 松原市| 泰州市| 蓝山县| 景泰县| 文化| 东丽区| 湖南省| 冷水江市| 丹江口市| 梅河口市| 玉溪市| 卢氏县| 临汾市| 沙田区| 英德市| 太谷县| 岑巩县| 明溪县| 泸西县| 平和县| 仙桃市| 广水市| 驻马店市| 昭通市| 永平县|