網(wǎng)絡(luò)支付中的風(fēng)險隱患

假冒用戶身份信息

傳統(tǒng)交易支付中，買賣雙方可以在面對面觀察的過程中確認(rèn)對方身份的真實性。但在線交易時，買賣雙方均相距甚遠。支付方對于商家的身份并不知曉，而商家對于何人支付、資金如何入賬以及網(wǎng)上支付工具是否真實等亦不確定。這就給某些違法分子利用非面對面的網(wǎng)絡(luò)交易進行欺詐提供了可趁之機。通常，違法分子會利用非法手段來攻擊、盜用合法用戶的身份信息，并冒用合法用戶的身份與他人交易，從而獲取非法利益。在此過程中，不法分子對數(shù)據(jù)信息的竊取、使用，對于重要資料的修改、刪除，也極大程度地干擾了合法用戶對于網(wǎng)絡(luò)支付的正常使用。

遭遇“網(wǎng)絡(luò)釣魚”

某些違法分子會利用用戶安全意識較為薄弱的漏洞，采用虛假網(wǎng)站、虛假網(wǎng)絡(luò)支付界面等“釣魚”手段，來竊取用戶的銀行資金信息。一般而言，違法分子會事先建立一個虛假的電子商務(wù)網(wǎng)站，并在網(wǎng)站上發(fā)布各類虛假的商品信息。當(dāng)用戶點擊這一網(wǎng)站購買商品時，即會被鏈接到虛假的銀行支付界面。一旦用戶在該虛假支付界面上輸入銀行卡號、密碼等信息，這些信息就會立即被違法分子所竊取。

植入“木馬程序”

除了“網(wǎng)絡(luò)釣魚”之外，“木馬程序”也是網(wǎng)絡(luò)支付中的一項常見風(fēng)險隱患。違法分子會利用“木馬程序”等網(wǎng)絡(luò)技術(shù)，來盜取用戶的銀行賬號、密碼，或者客觀的文件證書。

通常情況下，違法分子會將“木馬程序”捆綁在一些軟件與程序文件中，并發(fā)布至網(wǎng)站供人下載。用戶一旦下載并安裝了這些帶有“木馬程序”的軟件后，計算機即中了木馬病毒。用戶一旦在該臺計算機上登錄自己的網(wǎng)銀，并通過鍵盤輸入銀行賬號與密碼后，“木馬程序”即會獲取鍵盤輸入信息，并自動通過郵件形式發(fā)送至違法分子郵箱，從而導(dǎo)致客戶的網(wǎng)上銀行賬號與密碼被竊取。

支付密碼泄露或支付數(shù)據(jù)被篡改

部分用戶安全防范意識較弱，在設(shè)置銀行卡密碼時，往往將密碼設(shè)置得過于簡單或特征過于明顯。譬如，有些網(wǎng)銀用戶習(xí)慣將自己的密碼設(shè)置為出生日期、身份證號后幾位，或類似于“123456”、“888888”等簡單數(shù)字。這些設(shè)置過于簡單的密碼，非但不能起到有效保護之作用，反而容易被違法分子所竊取。一旦違法分子獲取了用戶的銀行卡號，其就可以有意識地破解用戶設(shè)置的密碼，進而輕而易舉地進入資金賬戶，盜取用戶資金。

此外，在缺乏必要的安全防護措施的情形下，違法分子可以極為輕松地對互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)予以篡改。通常，違法分子會利用各種黑客技術(shù)來篡改銀行卡號、收款方賬號以及支付金額等，從而達到獲取不法利益之目的。

為賬戶資金增添安全屏障的網(wǎng)絡(luò)支付工具

各類網(wǎng)絡(luò)支付安全工具的普及，無疑可以為用戶資金賬戶的安全性增添一道堅實的屏障。用戶利用安全工具來實現(xiàn)在線交易，不僅可以降低網(wǎng)絡(luò)支付的風(fēng)險，亦可令支付活動更具保障性。當(dāng)前，市場上較為主流的網(wǎng)絡(luò)支付安全工具有以下幾種：

短信驗證碼

短信驗證碼服務(wù)，是網(wǎng)上銀行為了強化安全技術(shù)手段，保障用戶賬戶安全而推出的一項安全支付工具。所謂短信驗證碼，即是銀行等企業(yè)給予用戶某一具有唯一性的憑證，并通過短信內(nèi)容來驗證用戶身份。作為一項安全驗證活動，短信驗證碼整合了網(wǎng)上銀行、電話銀行以及手機短信等相互協(xié)調(diào)互動的優(yōu)勢，從而為網(wǎng)銀用戶的網(wǎng)絡(luò)支付提供安全屏障。

網(wǎng)絡(luò)支付中所使用的短信驗證碼服務(wù)大多涉及活期轉(zhuǎn)賬匯款、跨行轉(zhuǎn)賬、批量轉(zhuǎn)賬、向企業(yè)轉(zhuǎn)賬等多種交易類型。網(wǎng)銀用戶開通短信驗證碼服務(wù)后，其在使用網(wǎng)絡(luò)支付時，系統(tǒng)即會向用戶此前綁定的手機號碼發(fā)送短信驗證碼，用戶需要在規(guī)定的時間，如五分鐘以內(nèi)準(zhǔn)確輸入接收到的驗證碼，并啟用校驗認(rèn)證。當(dāng)前，網(wǎng)絡(luò)支付中還可對短信驗證碼的最低交易限額予以設(shè)定。如果某次在線交易的資金額度大于用戶設(shè)定的短信驗證碼限額，系統(tǒng)就會要求用戶進行短信驗證。反之，如在線交易的金額小于用戶設(shè)定的短信驗證碼限額，系統(tǒng)則不會要求用戶予以短信驗證。

數(shù)字證書

數(shù)字證書類似于現(xiàn)實生活中的身份證件，但其并非嚴(yán)格意義上的紙質(zhì)證照，而是一個經(jīng)過證書授權(quán)中心數(shù)字簽名，且包含公開密鑰與公開密鑰擁有者信息的電子文件。除了前述內(nèi)容外，數(shù)字證據(jù)的另一大特點，是其僅在特定時間段內(nèi)有效。數(shù)字證書可應(yīng)用于網(wǎng)上銀行、網(wǎng)上證券交易、安全站點訪問、網(wǎng)上簽約、網(wǎng)上采購等電子商務(wù)、電子交易安全處理活動。其得以在電子商務(wù)中的廣泛運用，關(guān)鍵在于作為數(shù)字證書核心內(nèi)容的加密技術(shù)，可以對通過網(wǎng)絡(luò)傳輸?shù)男畔⒂枰詳?shù)字簽名、數(shù)字驗證與加密、解密，從而保證網(wǎng)絡(luò)傳輸信息的完整性、秘密性與不可抵賴性。

數(shù)字證書內(nèi)存儲有大量字母與數(shù)字，當(dāng)需要應(yīng)用其進行身份認(rèn)證時，數(shù)字證書即會隨機生成128位各不相同的身份碼。這如同密碼般極為復(fù)雜，且各不相同的身份碼，可以有效保障網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩?。用戶如果使用了?shù)字證書這一網(wǎng)絡(luò)支付安全工具，即使其發(fā)送的信息在網(wǎng)絡(luò)上被違法分子所截獲，甚至造成個人銀行賬戶、密碼等信息丟失，數(shù)字證書仍可以保證用戶的個人賬戶與資金安全。簡單來說，用戶在其電腦或手機上安裝數(shù)字證書后，即使其網(wǎng)絡(luò)支付密碼被盜，違法分子也只能在用戶先前安裝有數(shù)字證書的設(shè)備上才能支付，從而有效保障用戶的賬戶資金安全。

動態(tài)口令

動態(tài)口令是根據(jù)特定算法而生成的隨機數(shù)字組合，該口令僅可使用一次，且具有不可預(yù)測性。根據(jù)這一特點，動態(tài)口令也已成為網(wǎng)絡(luò)支付中的一項重要身份認(rèn)證技術(shù)。當(dāng)前，網(wǎng)絡(luò)支付中使用較多的動態(tài)口令，主要有動態(tài)口令卡與動態(tài)口令牌。

動態(tài)口令卡是類似于銀行卡片大小的網(wǎng)銀安全工具?？ㄆ趁嬗袡M向、縱向坐標(biāo)，以矩陣形式印有80個字符串。用戶申領(lǐng)的新卡，在動態(tài)口令卡背面均有保護覆膜覆蓋。當(dāng)用戶使用動態(tài)口令卡進行網(wǎng)上交易支付時，網(wǎng)上銀行系統(tǒng)會隨機跳出一組坐標(biāo)，用戶必須從卡片中找到對應(yīng)坐標(biāo)，并準(zhǔn)確輸入坐標(biāo)內(nèi)的字符組合，才可完成網(wǎng)絡(luò)支付。這一動態(tài)密碼組合只能使用一次，一旦交易結(jié)束后即失效，能夠防止交易密碼被違法分子所盜取。

動態(tài)口令牌從技術(shù)角度劃分存在多種形式，而當(dāng)前最為主流的則是基于時間同步的動態(tài)口令硬件令牌。該安全工具與服務(wù)器的時間同步，通過特定算法來生成相互一致的六位或八位數(shù)字的動態(tài)口令。其一般每60秒鐘更換一次新口令，且口令僅為一次有效。該同步技術(shù)的關(guān)鍵在于國際標(biāo)準(zhǔn)時間，這要求服務(wù)器與令牌必須保持嚴(yán)格同步，以確保動態(tài)口令牌的正常使用。因而，在實際使用過程中，用戶對于基于時間同步的動態(tài)口令牌的保護也就顯得尤為重要。一方面，用戶在使用時，應(yīng)當(dāng)避免在高溫、高壓、震動、磁場、水浸等環(huán)境下使用動態(tài)口令牌，以防其時鐘脈沖受損。另一方面，用戶應(yīng)保護好動態(tài)口令牌的系統(tǒng)時鐘，不隨意更改，以防止時間同步出現(xiàn)問題。

優(yōu)盾

優(yōu)盾，又稱U盾、USB Key、USB Token，適用于安全級別較高的用戶在網(wǎng)上交易支付時使用。優(yōu)盾外形接近于普通優(yōu)盤，其安全性能則如同盾牌一般防護，因而得名。在網(wǎng)絡(luò)支付中，優(yōu)盾可以保護用戶網(wǎng)銀資金的安全，并避免虛假網(wǎng)站、黑客以及木馬病毒所帶來的各類風(fēng)險。

從優(yōu)盾的原理而言，其是一種帶有USB接口的硬件設(shè)備。優(yōu)盾內(nèi)部置有智能芯片或者單片機，且有一定的儲存空間，可以存放用戶的數(shù)字證書以及私鑰，并可利用優(yōu)盾內(nèi)置的公鑰算法來對用戶的身份進行安全認(rèn)證。從設(shè)計原理而言，用戶的私鑰并存放于密碼鎖之中。這使得該私鑰無法被其他方式所讀取，進而有效保證了用戶身份認(rèn)證的安全系數(shù)。

在使用優(yōu)盾時，用戶首先需要到相應(yīng)銀行網(wǎng)點申請并辦理優(yōu)盾業(yè)務(wù)。當(dāng)優(yōu)盾第一次在電腦上使用時，用戶需要下載相應(yīng)網(wǎng)銀控件，并安裝優(yōu)盾驅(qū)動程序。隨后，用戶需根據(jù)計算機系統(tǒng)的安全提示，下載個人客戶證書至優(yōu)盾內(nèi)。完成這些操作步驟后，用戶即可利用這一安全工具來保障轉(zhuǎn)賬、繳費、匯款等網(wǎng)絡(luò)支付的安全性。

網(wǎng)絡(luò)支付中的安全防范措施

網(wǎng)站信息甄別與核對

用戶在登錄網(wǎng)站進行網(wǎng)上購物時，應(yīng)當(dāng)選擇運營時間長久，且信譽良好的大型電商網(wǎng)站進行購物。切勿在某些不明網(wǎng)站或虛假網(wǎng)站上進行購物，在訪問這些網(wǎng)站時，應(yīng)當(dāng)仔細核對網(wǎng)站的網(wǎng)址，以防進入釣魚網(wǎng)站后造成自身的賬號、密碼以及其他重要信息被違法分子所盜取。

當(dāng)用戶選擇購買購物網(wǎng)站上的商品后，電商網(wǎng)站會轉(zhuǎn)入網(wǎng)銀支付界面。用戶在輸入用戶名與密碼，進入網(wǎng)上銀行支付頁面后，應(yīng)當(dāng)仔細核對先前由用戶自行設(shè)置的“預(yù)留信息”是否準(zhǔn)確。

謹(jǐn)慎設(shè)置網(wǎng)絡(luò)支付交易密碼

支付密碼，是網(wǎng)絡(luò)支付的一項重要憑證。違法分子在實施其不法行為時，往往會采用各種黑客攻擊手段來獲取這一密碼?，F(xiàn)實生活中，不少用戶設(shè)置的網(wǎng)絡(luò)支付交易密碼過于簡單或特征性過于明顯，也給違法分子提供了可趁之機。因此，為了保障網(wǎng)絡(luò)支付的安全性，應(yīng)當(dāng)謹(jǐn)慎設(shè)置網(wǎng)絡(luò)支付密碼。較為有效且安全的方法則是將密碼設(shè)置為數(shù)字、符號與字母相互混合的組合，且避免使用手機號碼、證件號碼、出生日期等容易被破解的數(shù)字作為自己的網(wǎng)絡(luò)支付密碼。此外，當(dāng)前不少網(wǎng)絡(luò)支付工具，均設(shè)置有登錄密碼與支付密碼兩項密碼。這一設(shè)計的初衷即是為了給網(wǎng)絡(luò)支付提供“雙重保險”。因而，用戶在設(shè)置這些密碼時，不應(yīng)為了貪圖方便而將登錄密碼與支付密碼設(shè)置為相同的密碼組合，而應(yīng)當(dāng)分別設(shè)置兩個獨立的密碼，以增強網(wǎng)絡(luò)支付的安全性。

保證計算機與手機安全

用戶對經(jīng)常用于網(wǎng)絡(luò)支付的計算機或手機，應(yīng)當(dāng)及時安裝、更新防病毒軟件和防火墻，并下載安裝最新的瀏覽器、操作系統(tǒng)安全程序和補丁，定期對計算機和手機進行殺毒，以保證網(wǎng)絡(luò)支付環(huán)境的安全性。當(dāng)前，手機的便捷性，令越來越多人傾向于使用手機進行網(wǎng)絡(luò)支付。但在享受這一便捷的同時，違法分子也利用偽基站來冒充正規(guī)的電信運營商，向用戶發(fā)送各類短信鏈接并要求用戶予以下載。但實際上這些鏈接的背后均是“釣魚網(wǎng)站”，用戶一旦上當(dāng)，即會造成財產(chǎn)損失。因而，對于當(dāng)前計算機與手機安全的保障與維護，也是網(wǎng)絡(luò)支付中的一項重要安全防范措施。

切勿在公共上網(wǎng)場所、公用WiFi環(huán)境下進行網(wǎng)絡(luò)支付

完全開放的公共上網(wǎng)場所以及公用WiFi，極有可能成為違法分子的犯罪工具。用戶在公用網(wǎng)絡(luò)環(huán)境下進行網(wǎng)絡(luò)支付所輸入的賬戶、密碼等信息，易被違法分子利用黑客技術(shù)所盜取。此外，公共網(wǎng)絡(luò)如被違法分子利用后，即使用戶輸入的是正確網(wǎng)址，也會跳轉(zhuǎn)至違法分子事先設(shè)定好的高仿真虛假網(wǎng)站。用戶如在這一“釣魚網(wǎng)站”上輸入賬號和密碼，即會導(dǎo)致自身信息的泄露。因此，用戶在使用網(wǎng)絡(luò)支付之前，應(yīng)當(dāng)確保網(wǎng)絡(luò)環(huán)境的安全性。無論是使用公用電腦，抑或家用電腦，均應(yīng)在網(wǎng)絡(luò)支付之前，開啟防火墻功能，以保障自身的交易安全。

妥善保存自己的網(wǎng)絡(luò)支付安全工具

當(dāng)前，諸如動態(tài)口令卡、動態(tài)口令牌、優(yōu)盾、電子密碼器等網(wǎng)絡(luò)支付安全工具的引入，無疑有效提升了用戶網(wǎng)絡(luò)支付的安全系數(shù)。因而，用戶在使用這些網(wǎng)絡(luò)支付安全工具時，應(yīng)當(dāng)妥善保存，切勿將各類網(wǎng)絡(luò)支付安全工具交給其他人員。如果用戶不慎遺失了網(wǎng)絡(luò)支付安全工具，應(yīng)當(dāng)盡快至銀行網(wǎng)點辦理掛失與補辦，以防網(wǎng)絡(luò)支付安全工具被他人所利用，對用戶自身的賬戶資金安全帶來危害。

欄目主持人：黃靈 yeshzhwu@foxmail.com