商紅云

（湖北警官學院偵查系，湖北武漢430034）

未來移動支付犯罪探究及預(yù)防

商紅云

（湖北警官學院偵查系，湖北武漢430034）

移動支付成為電子商務(wù)不斷發(fā)展的有力推手。我國目前移動支付正處于上升時期，移動支付規(guī)模不斷擴大，各種移動支付犯罪也層出不窮。未來移動支付犯罪主要從基于移動網(wǎng)絡(luò)支付系統(tǒng)的詐騙APP和支付公司用戶數(shù)據(jù)泄露與支付公司內(nèi)部員工違法違規(guī)操作兩個方面進行，移動支付犯罪的預(yù)防需要建立相應(yīng)的準入制度和標準，設(shè)置非法詐騙App的防火墻，需要支付相關(guān)聯(lián)企業(yè)加強內(nèi)部制度建設(shè)以及強化對數(shù)據(jù)安全的控制。

移動支付；APP準入標準；數(shù)據(jù)安全

移動支付（Mobile Payment），是指用戶使用其移動終端（手機、平板等）對所消費的商品或服務(wù)進行賬務(wù)支付的一種服務(wù)方式。移動支付將移動終端設(shè)備、互聯(lián)網(wǎng)、應(yīng)用提供商以及金融機構(gòu)相融合，為用戶提供貨幣支付、繳費甚至虛擬物品交易等金融業(yè)務(wù)。

一、我國移動支付的現(xiàn)狀以及犯罪模式

（一）我國移動支付的現(xiàn)狀

目前，移動支付成為我國電子商務(wù)不斷發(fā)展的有力推手。各種電商根據(jù)不同的購物人群，開發(fā)出了眾多的網(wǎng)絡(luò)購物支付方式，例如網(wǎng)上購物并利用網(wǎng)上支付工具付款。隨著社會對網(wǎng)絡(luò)支付便捷性的認可，移動支付的實際成交金額不斷擴大，例如2013年淘寶“雙十一”的總交易額達350.19億，相當于當年9月份中國社會零售總額的一半，支付寶成功支付1.88億筆，其中無線移動支付達到4518萬筆，最高每分鐘支付79萬筆；基金理財產(chǎn)品的支付寶總成交金額9.08億元；而在2014年的“雙十一”，淘寶的這一數(shù)據(jù)總額則增長到了571億，移動端交易額達到243億元[1]。移動支付被譽為未來網(wǎng)商利潤的增長點，具有強大的便利性，各大商家積極進行網(wǎng)絡(luò)支付產(chǎn)品的開發(fā)和推進。短短幾年時間，支付寶、微信支付、京東支付等第三方支付，以及傳統(tǒng)金融機構(gòu)網(wǎng)上移動端支付迅猛發(fā)展。移動支付的發(fā)展?jié)摿薮?，電信運營商、互聯(lián)網(wǎng)企業(yè)、支付廠商、銀行等紛紛進軍手機支付領(lǐng)域，推動產(chǎn)業(yè)發(fā)展壯大。尤其隨著手機APP應(yīng)用的日益豐富，移動支付的功能也在不斷推陳出新。例如，支付寶、財付通等推出第三方支付、各大銀行爭相推出手機支付客戶端，二維碼支付、指紋支付、掃碼支付、語音支付等支付方式層出不窮，將購物、理財、生活服務(wù)等交易類應(yīng)用與移動支付相嵌套，大大豐富了移動支付的市場應(yīng)用環(huán)境。

移動網(wǎng)絡(luò)支付在方便了社會大眾購物和理財?shù)耐瑫r，也給一些不法分子造成了可乘之機，一些專門針對移動網(wǎng)絡(luò)支付的犯罪行為正在不斷涌現(xiàn)。2014年3月份曾經(jīng)出現(xiàn)過連續(xù)幾起掃描二維碼感染病毒、手機錢包賬戶被盜、錢財損失的事件，移動支付安全問題不容忽視。在2014年國慶前夕，廣發(fā)銀行就針對網(wǎng)絡(luò)支付對廣大消費者發(fā)布了一個提醒：《廣發(fā)銀行溫馨提醒：謹防網(wǎng)絡(luò)支付常見七大騙局》[2]，對掃二維碼、虛假客服、賬戶密碼安全、網(wǎng)絡(luò)社交陷阱、惡意公用WiFi和低價陷阱等七種網(wǎng)絡(luò)支付詐騙做了提醒。社會大眾對這些比較常見的網(wǎng)絡(luò)支付犯罪已經(jīng)有一定的認識，只需要在移動支付的時候注意識別、不貪圖小利就可以預(yù)防。

（二）我國目前移動支付犯罪模式

總的來說，我國目前移動支付犯罪的模式主要有以下幾種：

1.利用手機病毒攔截支付驗證信息，再利用第三方快捷支付功能進行盜取。央視《每周質(zhì)量報告》就曝光了一起典型的移動支付詐騙案例：受害用戶不小心掃描到惡意二維碼，中了木馬病毒，“短信盜取”木馬病毒可以盜取用戶接收到的所有短信，包括銀行、支付寶等發(fā)來的驗證信息。不法分子截取驗證碼短信后，就可以修改支付賬戶的登錄密碼和交易密碼，從而竊取用戶支付寶和綁定銀行卡內(nèi)的資金。廣東、江蘇等地警方也相繼破獲多個手機木馬欺詐犯罪案件。該類案件中，不法分子利用微信等平臺的身份認證漏洞，通過偽裝APP、發(fā)送微信圖片和二維碼等方式把手機木馬軟件植入用戶手機，并通過劫持手機短信、賬戶信息等方式最終達到盜竊用戶賬戶資金等目的。

2.欺詐短信鏈接“釣魚”網(wǎng)站，非法獲取用戶支付信息。此類詐騙手段多是首先向智能手機用戶發(fā)送中獎短信，或是“釣魚”廣告，用戶只要點擊，就立即鏈接到“釣魚”網(wǎng)站，然后采取各種詐騙手段直接套取受害人的支付賬號和密碼，盜竊其賬戶中的資金。

3.克隆、假冒移動支付終端。這類模式主要是在一些非官方的移動應(yīng)用市場，設(shè)置一些類似于“釣魚”的虛假移動應(yīng)用，騙取用戶的支付信息，從而盜取用戶的資金。

4.通過QQ、微信、阿里旺旺等與支付相關(guān)聯(lián)的及時通訊軟件騙取用戶的支付信息，從而盜取用戶的資金。

5.冒充官方客服，騙取用戶支付信息，盜取用戶資金。

6.利用相應(yīng)企業(yè)和公司的信息泄露，獲取用戶個人信息，然后結(jié)合以上五種方式，對用戶進行移動支付詐騙。

二、未來移動支付犯罪的途徑

隨著科技的進步，移動支付也會變得更加便捷，但是正如一個硬幣有正反兩面，移動支付犯罪的技術(shù)也會隨著科技的發(fā)展而提升，并且犯罪方式會更加隱蔽和難以預(yù)防。基于目前軟硬環(huán)境的設(shè)定及其發(fā)展，未來移動支付犯罪的途徑主要有以下兩種：

（一）基于移動網(wǎng)絡(luò)支付系統(tǒng)的詐騙APP

網(wǎng)絡(luò)支付特別是目前風頭正勁的移動支付與網(wǎng)絡(luò)技術(shù)的發(fā)展息息相關(guān)。移動支付依附于各銀行自有的網(wǎng)銀系統(tǒng)和現(xiàn)行的三大手機操作系統(tǒng)：蘋果公司的iOS、谷歌公司的Android和微軟公司的WindowsPhone。這三大手機操作系統(tǒng)針對移動支付，都有各自的解決方案，但都是依托于各自的APP（APPlication）應(yīng)用規(guī)范。三大手機操作系統(tǒng)為了吸引用戶，對各自的APP開發(fā)都制定了公開的開發(fā)規(guī)范，三大手機系統(tǒng)的官方APP市場非常規(guī)范，任何人都可以依據(jù)相應(yīng)的手機操作系統(tǒng)開發(fā)APP應(yīng)用并上傳至相應(yīng)的應(yīng)用市場。三大手機系統(tǒng)的官方APP市場對開發(fā)者制作的APP要進行審核才可以上架，原則上，官方APP市場里面的各種應(yīng)用都是安全的，不會對移動支付有什么影響。由于APP開發(fā)是開放的，任何人都可以開發(fā)特定目的的APP，因此專門針對移動支付詐騙的APP有可能被開發(fā)出來。具體來說，可以分為以下兩類：

1.嵌套官方應(yīng)用的APP

目前國內(nèi)各大移動支付機構(gòu)均開發(fā)有相應(yīng)的官方APP應(yīng)用，如支付寶、財付通以及各大銀行的APP等等。此類APP好比現(xiàn)實生活中的ATM取款機，用戶輸入相應(yīng)的信息即可進行各種金融交易。針對傳統(tǒng)的ATM取款機，有一種詐騙手段是在真正的ATM機器上套上一個收集數(shù)據(jù)的設(shè)備，該設(shè)備類似于ATM機器的外殼，用戶在這種套殼ATM機器也可以進行真正的取款或是轉(zhuǎn)賬的操作，但是用戶的銀行卡的信息就被截收盜錄了（包括賬戶信息、取款或是查詢密碼等），犯罪分子可以用取得的信息復(fù)制用戶的銀行卡，進而盜走用戶的資金。這種針對傳統(tǒng)ATM機器的犯罪，實施的限制條件比較多，例如，需要ATM機器無人值守，銀行不會頻繁檢查等等，所以這種犯罪方式一出現(xiàn)，各大銀行紛紛采取補救措施，加大對ATM機器的巡查和檢查或是將ATM機器設(shè)立在銀行可以監(jiān)控的范圍之內(nèi)等等，因此，此類型的犯罪行為在銀行有了一定的防范意識之后，就沒有流傳開來。

移動支付的目的是為了讓用戶能隨時隨地地使用、而且各大支付機構(gòu)的APP都很容易地獲得，因此，在移動支付活動中APP適用成為交易中的關(guān)鍵環(huán)節(jié)。根據(jù)上述針對傳統(tǒng)ATM機器的犯罪形式，犯罪分子可以開發(fā)一個APP套嵌或依附于正版的支付APP，通過非官方的渠道進行傳播，例如可以通過病毒后臺安裝或是發(fā)布一些非法二維碼，用一些優(yōu)惠或是低價商品引誘用戶安裝，從而獲得用戶的各種數(shù)據(jù)進而騙取用戶的資金。而這些披著官方移動支付應(yīng)用的詐騙APP，一般用戶是完全無法識別的。

2.自動截獲用戶獲取的移動支付的驗證信息或確認信息并上傳至指定接受端的APP

當今大部分移動端的支付APP，在登陸時或是在支付時都要求輸入確認信息，這些確認信息有的是為了驗證用戶使用設(shè)備的合法性，有的是確認支付的，有的是確認用戶信息的。此類驗證碼或確認信息有兩種類型：一是通過用戶移動設(shè)備發(fā)送一條確認短信獲得的回執(zhí)信息，二是用戶自設(shè)的密碼。移動支付犯罪分子主要針對的就是這兩類的確認信息和驗證碼。類似于臺式電腦的密碼盜取軟件，一些犯罪分子也有可能開發(fā)一種專門盜取用戶驗證碼或確認信息的APP。這種APP配合一些在線上或是線下獲得的用戶的基礎(chǔ)支付數(shù)據(jù)，就可以順利地盜取到用戶電子賬戶的資金。已經(jīng)有一些跡象反映出這類APP的危害，在安卓系統(tǒng)里面已經(jīng)出現(xiàn)了一些在后臺運行的可以記錄用戶操作行為的進程，一些大型公司的產(chǎn)品甚至默認會收集用戶的操作過程數(shù)據(jù)，例如小米公司的手機系統(tǒng)，在特定情況下會自動記錄用戶的某些操作數(shù)據(jù)并上傳到指定的服務(wù)器；例如，在2014年7月11日中央電視臺新聞頻道（CCTV13）播出的“新聞直播間”欄目中，央視報道稱蘋果公司iOS系統(tǒng)會記錄用戶曾去過的地點，有泄露用戶隱私的可能。

以安卓系統(tǒng)為例，用戶在使用中國民生銀行的官方移動客戶端時，如果用戶使用的是預(yù)留手機操作，民生銀行的客戶端可以直接讀取客戶的短信并自動填寫支付確認信息，當然官方應(yīng)用的目的是為了方便用戶，節(jié)約用戶另行查看短信并輸入驗證信息的時間。這種類似的技術(shù)很多官方支付APP已經(jīng)在使用，可見APP截獲移動設(shè)備內(nèi)的短信信息已經(jīng)不是一個難題。如果這些技術(shù)和方式被黑客成功掌握并加以利用，并開發(fā)出自動截獲用戶的移動支付信息的APP，通過病毒或是惡意安裝程序在用戶的移動終端上安裝，盜取用戶的各種身份驗證和確認信息并上傳至指定接受端，相關(guān)支付危機爆發(fā)的可能性將大大增加。

（二）支付公司用戶數(shù)據(jù)泄露與支付公司內(nèi)部員工違法違規(guī)操作

這個世界沒有完美的事物，移動支付系統(tǒng)也一樣。2014年3月22日下午18:18分，烏云漏洞平臺發(fā)布消息稱，國內(nèi)的攜程系統(tǒng)存在技術(shù)漏洞，可導(dǎo)致用戶個人信息、銀行卡信息等泄露[3]。據(jù)彭博社2014年10月3日消息，摩根大通周五（2014年10月3日）表示，公司電腦系統(tǒng)最近發(fā)生數(shù)據(jù)泄露。此次數(shù)據(jù)泄露將影響7,600萬家庭和700萬小企業(yè)。被竊取的信息包括客戶姓名、地址、電話號碼和電子郵箱地址，此外與這些用戶相關(guān)的內(nèi)部銀行信息也遭到泄露。但是摩根大通表示，目前還沒有證據(jù)顯示客戶的賬戶信息，包括賬戶號碼、密碼、用戶名、生日和社會安全號碼在此次攻擊中被竊取。2015年5月一家全球知名成人約會網(wǎng)站AdultFriendFinder的用戶信息也被黑客竊取，390萬用戶的個人詳細信息，包括電子郵件地址、用戶名、郵政編碼、生日、IP等信息被泄露。支付公司及其關(guān)聯(lián)系統(tǒng)的數(shù)據(jù)泄露對網(wǎng)絡(luò)支付安全的打擊是非常巨大的，特別是如果一些不法之徒利用這些數(shù)據(jù)，結(jié)合本文第一點中提到的APP，將會給廣大移動支付用戶帶來非常巨大的損失。

支付公司內(nèi)部員工的違法操作也是移動支付的一大危機。例如，1992年巴林銀行的內(nèi)部人員違法違規(guī)操作導(dǎo)致巴林銀行倒閉的事件[4]，對移動支付公司有很大的借鑒意義。如何制定嚴格的操作流程，盡可能地規(guī)避公司內(nèi)部運行和操作的弊端，將是未來移動支付公司的一項重大課題，如果這類問題不解決好，未來將會出現(xiàn)若干起類似于巴林銀行倒閉事件而且還會嚴重影響個人用戶的移動資金安全。

移動支付相關(guān)公司的數(shù)據(jù)泄露，一般來說，不會直接對移動支付造成影響，但是如果結(jié)合前述第一點中的兩個詐騙途徑，將會對移動支付造成非常大的危機。國內(nèi)現(xiàn)行移動支付一般的支付安全保障主要通過兩個方式同時驗證得以實現(xiàn)，其一是實時的移動支付驗證，主要通過短信來實現(xiàn)；其二是用戶在支付公司注冊時預(yù)留的支付密碼或是支付信息。移動支付公司數(shù)據(jù)泄露主要針對第二點：用戶在支付公司注冊時預(yù)留的支付密碼或是支付信息，如用戶的姓名、身份證號碼、賬戶名稱、支付密碼等等。而且，由于現(xiàn)在已經(jīng)進入網(wǎng)絡(luò)時代，很多用戶為了方便，將自己多個注冊密碼設(shè)為同一個，所以即使非移動支付的企業(yè)或是網(wǎng)站的用戶數(shù)據(jù)泄露，也會對移動支付安全造成非常大的危險。例如，前述的成人約會網(wǎng)站Adult FriendFinder的用戶信息被黑客竊取，390萬用戶的個人詳細信息，包括電子郵件地址、用戶名、郵政編碼、生日、IP被泄露，如果犯罪分子再通過一些詐騙APP獲取到了用戶的實時支付驗證信息，盜取用戶的資金簡直是易如反掌。

以上兩種類型的移動支付危機以及其引發(fā)的犯罪行為，已經(jīng)引起很多網(wǎng)絡(luò)技術(shù)人員對其從技術(shù)上進行論述及探討，但是并未引起犯罪預(yù)防和偵查人員的重視。

三、未來移動支付犯罪的預(yù)防

當前，移動支付犯罪正成為越來越多犯罪分子首選的犯罪途徑，例如，和移動支付犯罪密切相關(guān)的網(wǎng)絡(luò)和電話詐騙案件就充分利用了移動支付的便捷手段，快速轉(zhuǎn)移詐騙所得資金。移動支付領(lǐng)域，由于具有較高的進入門檻，所以目前犯罪發(fā)案率并不是很高。但是隨著社會的進步，移動支付科教的普及，此類型的犯罪將同網(wǎng)絡(luò)和電話詐騙案件一起，給社會造成巨大的損害。為此，我們需要未雨綢繆，從以下兩個方面進行預(yù)防：

（一）要制定相應(yīng)的移動支付準入標準和審核機制，設(shè)置非法詐騙APP的防火墻

針對本文提出的移動支付犯罪APP的出現(xiàn)，我們應(yīng)從源頭上對其進行預(yù)防。應(yīng)該從多個渠道設(shè)置隔離非法詐騙APP的防火墻:國家應(yīng)該制定相應(yīng)的移動支付準入標準，并制定相應(yīng)的審核機制；公布官方的移動支付指南及安全的移動支付軟件的名錄，從源頭上遏制各種移動支付犯罪軟件及APP出現(xiàn)的機會；規(guī)范各種軟件市場的進入及發(fā)布流程，嚴格制止各種非官方的軟件市場的經(jīng)營，及時公布各種非法詐騙APP的詳細情況等。國家對移動支付犯罪應(yīng)有足夠的重視以及前瞻性，要加強移動支付技術(shù)層面的信息安全研究，移動支付相關(guān)各方要始終把信息安全問題放在首位，及時保證資金和信息安全，尤其是國家層面要有專門的機構(gòu)來協(xié)調(diào)移動支付安全研究的事宜。同時，移動支付連接多個網(wǎng)絡(luò)、包含多個平臺，只有整合運營模式，做到數(shù)據(jù)共享、安全措施相互配合，各參與主體才能充分發(fā)揮作用，共筑安全屏障，避免發(fā)生目前電信和網(wǎng)絡(luò)詐騙犯罪造成的嚴重社會后果。

（二）移動支付相關(guān)聯(lián)企業(yè)必須加強內(nèi)部制度建設(shè)以及強化對數(shù)據(jù)泄露的控制

正如社會的和諧運行需要道德和法律的雙重保護，支付系統(tǒng)漏洞和違規(guī)或失誤操作需要相關(guān)的支付公司從公司內(nèi)部管理制度和系統(tǒng)軟件安全的雙重角度進行相互協(xié)作，才能把不可預(yù)見的損失降到最低。從技術(shù)上來說，這個世界沒有完美的數(shù)據(jù)系統(tǒng)，任何數(shù)據(jù)系統(tǒng)都存在被攻破以及數(shù)據(jù)泄露的可能，但是我們可以從公司內(nèi)部制度設(shè)置來盡可能地克服這些危機的出現(xiàn)，如同公司賬務(wù)的處理遵循相互制約、相互監(jiān)督的制度設(shè)計，數(shù)據(jù)安全的監(jiān)管及控制也應(yīng)設(shè)計相應(yīng)的流程，制定相應(yīng)的應(yīng)急預(yù)案，結(jié)合數(shù)據(jù)安全的特點，做到既有監(jiān)控，又可及時處理突發(fā)事件。此外，移動支付公司，應(yīng)當加大對數(shù)據(jù)安全的科技資金投入，及時升級優(yōu)化系統(tǒng)，做到防患于未然。

移動支付犯罪行為的形成和實施，也要有諸多要素的緊密配合。本文所提及的兩種犯罪途徑，如果引起國家和相關(guān)移動支付機構(gòu)的重視并設(shè)立相應(yīng)的對策，將會有利于遏制和打擊移動支付犯罪，并且會對其他相關(guān)電信及網(wǎng)絡(luò)詐騙案件起到很好的遏制效果。

[1]周裔斌.2014年淘寶雙11數(shù)據(jù)571億[EB/OL].http://club.1688. com/article/55725625.html.

[2]新華財經(jīng).廣發(fā)銀行溫馨提醒：謹防網(wǎng)絡(luò)支付常見七大騙局[EB/ OL].http://news.xinhuanet.com/fortune/2014-09/29/c_1270495 25.htm.

[3]i黑馬.燙手的大數(shù)據(jù)：攜程為何泄露數(shù)據(jù)？[EB/OL].http://tech. 163.com/14/0323/11/9O15CIG500094ODU.html.

[4]百度百科.巴林銀行事件[EB/OL].http://baike.baidu.com/view/ 96297.htm?fr=aladdin.

DF792.6

A

1673―2391(2015)12―0106―04

2015-09-07 責任編校：周文慧