卜士矩

手機支付值得看好有關難題亟待攻關

卜士矩

隨著移動支付市場的不斷擴大，手機網民數量的高速增長，以及移動電子商務相關產業(yè)鏈的日趨成熟，我國網上支付和手機支付的總體規(guī)模迅速擴大。統(tǒng)計顯示截至2013年12月末，使用網上支付的用戶規(guī)模達到2.6億，使用率達到42.1%。其中手機在線支付增長更為迅猛，用戶規(guī)模達到1.25億，使用率超過 25%，較2012年底提升了11.9個百分點。互聯(lián)網支付交易規(guī)模超過5.3萬億元，同比增長46.8%。手機支付交易規(guī)模超過1.2萬億元，同比增速超過了700%。

最近一段時間阿里巴巴旗下的支付寶平臺，與騰訊微支付平臺在手機支付市場展開了貼身廝殺，通過互聯(lián)網理財產品、春節(jié)紅包、手機打車軟件等燒錢搶盤，競爭得異常激烈，幾場戰(zhàn)役下來讓網民對手機支付的認知度迅速擴大提高，對于推進市場普及教育，改變支付行業(yè)格局帶來了積極變化，在國內手機支付市場中，支付寶錢包、各大銀行網銀客戶端、拉卡拉、微信支付形成了第一軍團，占據了超過90%的市場份額。支付寶錢包遙遙領先，占據了約60%的市場。騰訊的微支付增長迅猛蓄勢待發(fā)下一輪，成為沖擊支付寶錢包老大地位的有力競爭者。

看好手機支付理由很充足

美國移動支付公司Square的出現(xiàn)，引領了一場支付方式革命——拋卻繁瑣的現(xiàn)金交易和各種名目繁多的銀行卡，只需要一部智能手機或平板電腦即可完成付款；正如Square的宣傳語一樣，整個交易過程“無現(xiàn)金、無卡片、無收據”。包括Square在內 GoogleWallet、PayPal以及其他NFC支付技術，正在引領市場走向無紙質貨幣時代。通過其iPhone等智能手機，用戶就能完成存取款、轉賬等各種操作，存取票據用手機拍照保存即可，再也不用跑去銀行取號排隊辦理業(yè)務。

隨著3G技術的興起和發(fā)展，帶來了移動電子商務的興起，使手機成為更為便捷的交易終端。最近幾年我國互聯(lián)網高速發(fā)展普及率不斷提高，為電子商務的發(fā)展打下了堅實基礎。物流業(yè)發(fā)展是電子商務得以運行的保障，手機支付有賴于互聯(lián)網技術支撐及物流業(yè)興旺發(fā)達，雖然物流業(yè)發(fā)展存在這樣那樣的問題，但是隨著市場的不斷發(fā)展和完善，政府出臺政策解決物流業(yè)問題，物流業(yè)的健康發(fā)展將為手機支付帶來豐富的業(yè)務。

國內眾多第三方支付企業(yè)以及運營商，都在加緊布局手機支付應用。如今通過手機支付完成消費正逐漸成為人們的習慣，其中增長潛力最大的就是手機銀行的使用。手機支付這一新興的購物模式，不僅是網絡購物的延伸，而且成為都市年輕人群快節(jié)奏生活方式的象征。未來在手機支付業(yè)務中支付額度將逐漸向大額支付領域延伸，通過移動支付購買實體商品的種類逐漸豐富，支付業(yè)務種類逐漸從手機錢包擴展到移動借記卡、移動信用卡等信用媒介。預計未來幾年我國手機支付將迎來爆發(fā)式增長。

隨著網上商務活動不斷發(fā)展壯大，國家加強政策法規(guī)規(guī)范網上交易。相繼出臺了《電子簽名法》、人民銀行電子支付指引（第一號）。我國金融機構在加緊發(fā)展電子支付業(yè)務的同時，吸收融合先進的國際規(guī)范與慣例，加緊建立較為完善的電子支付和結算的同業(yè)規(guī)范。進一步消除制約網上結算業(yè)務發(fā)展的不利因素。

手機支付風險分析

自2013年下半年以來，隨著互聯(lián)網金融概念的火熱，越來越多的網民加入了使用手機支付和手機理財的人群，與之相隨的是針對手機支付的惡意攻擊也愈演愈烈日趨突出，受害者損失超過了以往的互聯(lián)網詐騙造成的損失程度。從國內移動支付業(yè)務的開展情況看，仍然缺乏統(tǒng)一的被廣泛認可的支付安全標準。亟待形成一個相對完善的行內標準，給用戶提供誠信的支付環(huán)境。經分析惡意攻擊手機支付呈現(xiàn)以下幾種形式：

1.手機驗證碼大盜。該病毒的特點是非常簡單的低成本病毒，開發(fā)門檻很低掌握社會工程學技巧就能夠輕易得手。病毒的主要功能是攔截短信，驗證碼大盜病毒有的攔截所有短信，有的只攔截與驗證碼有關的短信，病毒將攔截下來的短信通過電子郵件或短信轉發(fā)傳遞給犯罪嫌疑人，犯罪嫌疑人用偷來的驗證碼和從受害者處得到的身份證號、密保信息、銀行卡號等個人信息即可重置密碼。得到登錄和支付權限之后就可以立刻轉出余額、進入消費（一般是買游戲點卡和手機充值卡），或是通過快捷支付消費關聯(lián)銀行卡的活期存款、申請?zhí)詫氋J款，受害者損失可以高達數十萬元。

2.網購退款釣魚。網民正常交易之后騙子假冒網購賣家，謊稱交易失敗聯(lián)系要買家退款。聊天中發(fā)送釣魚網站騙取受害者銀行卡、身份證及驗證碼信息。得手后通過互聯(lián)網支付工具迅速轉移受害者網銀資金。受害者除通過網絡購買一般商品會上當外，一些預訂機票的客戶在起飛前被犯罪嫌疑人撥通電話，借口航班取消或改簽欺騙受害者退款，聊天過程中讓受害者通過網銀或ATM轉賬的，類似案例大量出現(xiàn)成為目前的熱點。

3.以辦信用卡騙取信息。以辦理大額信用卡為幌子，欺騙受害者提供個人信息，辦理銀行卡開戶，將新儲蓄卡關聯(lián)犯罪嫌疑人手機號，犯罪嫌疑人迅速通過互聯(lián)網支付工具，采用和類似的補辦手機SIM卡方法，將受害者新辦儲蓄卡里的所有資金轉走。除此之外還有犯罪嫌疑人制作了各種山寨的網銀、支付類應用客戶端誘騙用戶下載使用，獲取用戶信息。讓用戶在不經意間泄露個人信息，給賬戶財產安全造成極大威脅。

4.以假身份證翻新詐騙短信。通過非法購買個人信息偽造他人身份證，在管理不嚴的電信運營商營業(yè)廳補辦手機卡，謊稱受害人的手機SIM卡失效，致使新SIM卡直接落入犯罪分子手中，其后的結果和驗證碼大盜中毒，犯罪嫌疑人可輕易通過重置密碼來獲得受害者資金的支配權。為了獲得用戶的手機號、銀行賬號、銀行卡密碼，不法分子設計話費中獎類詐騙短信，誘騙用戶點擊短信的“釣魚網站”兌取獎金。該短信采用“偽基站”的手段，將發(fā)送號碼偽裝成中國移動的服務號碼10086，增加詐騙短信的迷惑度。用戶一旦進入釣魚網站，就會被要求填寫的手機號、銀行賬號、密碼等信息，并且下載看似“中國移動客戶端”正規(guī)的軟件，實則是新型手機病毒，攔截了來自銀行正真驗證短信。

專家建議及解決方案

發(fā)生手機風險案件有兩個條件：第一是各種原因導致的個人信息泄露；第二是手機支付依賴的手機驗證碼信息到了犯罪嫌疑犯手中。要阻止網絡犯罪發(fā)生須同時滿足兩個基本條件，建議如下：

1.研制通用標準，提供技術支撐。加強手機支付安全保障基礎和通用標準研制，為移動支付的安全提供基礎性技術支撐；加強支撐手機支付業(yè)務應用的RFID標準研制，突破RFID空中接口安全保障技術，加快RFID空中接口協(xié)議的制定；移動支付產業(yè)鏈中各部門加強合作，制定通用移動支付安全保障流程、協(xié)議、安全標準，保障手機支付業(yè)務系統(tǒng)的互聯(lián)互通，促進手機支付產業(yè)的安全、快速、健康發(fā)展。

2.認識密碼重要性。用戶在沒有意識到賬戶安全風險的情況下杜絕主動泄密，主動泄露往往伴隨著不法分子精心設計的各式“釣魚陷阱”。近日百度手機衛(wèi)士就識破了一個以“釣魚”手段騙取用戶信息的移動支付“連環(huán)陷阱”。重要的、關鍵的網絡服務（比如常用郵箱、B2C網站賬號、QQ、微博等），必須確保不重復使用密碼。重復使用密碼如同一把鑰匙能開所有的門，只要任意一個網站被黑客入侵，就會危及所有關鍵網絡服務的安全。手機支付者可以選擇在電腦上使用密碼管理軟件，生成復雜密碼將生成的密碼加密存儲在本地計算機，注意定期更換重要服務密碼。

3.協(xié)同保護個人信息。相關企業(yè)、協(xié)作單位共同保護個人信息。掌管用戶個人信息的企業(yè)、單位、國家機關防止黑客入侵，加強信息系統(tǒng)安全管理，司法機關加強對非法倒賣個人信息犯罪的查處，依法打擊黑客非法入侵；廠商、媒體、銀行等機構對網民進行持續(xù)性的安全常識教育，讓手機支付使用者養(yǎng)成自覺保護個人信息的習慣。

使用安全軟件攔截手機應用軟件，存在的權限濫用問題，阻止手機軟件非法收集個人信息。

亟待解決的技術難題

手機支付方式存在兩個明顯的技術弊端：一是大多數手機受到SIM卡容量的限制，發(fā)送的信息全部為明碼致使支付安全性較低；二是通過短信支付即時性較差，難免造成資金流和物流的停滯。若要使手機支付達到理想的快捷、安全的層面，至少還要從技術角度解決兩個方面的問題。

首先是如何實現(xiàn)SIM卡與STK卡的融合。STK卡是小型編程語言軟件，可以固化在SIM卡中接收和發(fā)送GSM的短信數據，起到SIM卡與短信之間的接口作用。允許SIM卡運行自己的應用軟件。其次是如何通過技術手段保障信息傳輸的及時性。利用手機支付一般設計要求短信手段在遇到存儲等問題，使其不能及時轉發(fā)而有一定的時延。解決物品購買不能用短消息而需用語音實現(xiàn)導致的交易成本增加。如何通過語音回撥等方式對SMS、WAP、GPRS等傳輸手段機型綜合比較、擇優(yōu)定型。

2014年騰訊管家發(fā)布“移動支付安全升級版”，在業(yè)內創(chuàng)新了移動支付“前、中、后”閉環(huán)保護，為移動支付的支付終端安全性提供保障。隨之而來的是國家法律保障不健全，交易安全問題仍未得到妥善解決。譬如電子支付方面的法律規(guī)范，需要明確電子支付的當事人之間，包括付款人、收款人和銀行之間的法律關系，制訂相關的電子支付制度。同時還應出臺對于電子支付數據的偽造、變造、更改、涂銷問題的相關規(guī)則。從加強交易安全的角度，需要交易主體資格的確認、確立信用制度立法、其他相關的電子商務法律，諸如加強數據保護、保證用戶個人隱私權、保證用戶具有對互聯(lián)網信息進行控制的自主權等，以解決電子商務發(fā)生的種種糾紛，防止詐騙等案件的發(fā)生，保證當事人在電子支付中的合法權益不受侵犯。

鏈接：

移動支付也稱為手機支付，就是允許用戶使用其移動終端（通常是手機）對所消費的商品或服務進行賬務支付的一種服務方式。單位或個人通過移動設備、互聯(lián)網或者近距離傳感直接或間接向銀行金融機構發(fā)送支付指令產生貨幣支付與資金轉移行為，從而實現(xiàn)移動支付功能。移動支付將終端設備、互聯(lián)網、應用提供商以及金融機構相融合，為用戶提供貨幣支付、繳費等金融業(yè)務。移動支付主要分為近場支付和遠程支付兩種，所謂近場支付，就是用手機刷卡的方式坐車、買東西等，很便利。遠程支付是指：通過發(fā)送支付指令（如網銀、電話銀行、手機支付等）或借助支付工具（如通過郵寄、匯款）進行的支付方式，如掌中付推出的掌中電商，掌中充值，掌中視頻等屬于遠程支付。目前支付標準不統(tǒng)一給相關的推廣工作造成了很多困惑。