理财周报互联网金融实验研究员 张星/文
近期,关于支付产品的讨论十分激烈,而其中最关键的就是安全问题。支付产品给用户日常销售等支付带来便利,但是其随之而来的是安全问题,支付安全事件常见于报端。
理财周报互联网金融实验室从支付产品的安全措施,主要第三方支付企业安全体系雷达模型以及常出现的风险事件对支付安全进行评测。
开通认证
用户在使用互联网支付必然需要开通相关业务,而在这一过程中,支付机构对于用户的信息采集就十分重要,这也是支付安全的第一步。
银行:用户若需要开通网上银行或者手机银行,必须携带身份证到银行柜台办理,向银行提供银行卡、身份证、手机号码等信息并签约才能够完成。
第三方支付:由于第三方支付是互联网公司,其注册和开通相关服务,均是通过互联网进行,用户并不需要面签,而提供的资料实姓名,手机号码、邮箱号码、身份证等个人信息。比如支付宝注册开通,主要有两种方式,一是手机注册,通过手机验证码来完成注册;另一种是邮箱注册,通过邮箱激活来注册成功。在注册成功后,需要身份认证,绑定身份证和银行卡进行认证。财付通有四种方式,分别是:QQ号码快速激活、Email注册、手机号码注册及银行卡快捷注册财付通。
分析结论:在用户信息的采集上,银行信息更真实性,由于面签,用户资料在一般情况下不可能出现虚假、冒用等行为,从而了资料和意愿的真实性。第三方支付由于属于互联网注册和认证,其存在着信息不真实的情况,冒名认证就时常存在,因此在支付宝的认证过程中对出现冒名认证都有特别的流程处理。在这种情况下,如果用户的信息不慎泄露,存在着被冒名注册认证第三方支付,从而对资金产生安全,特别是对于有些,采取与技术结合,通过第三方支付盗取用户资金。还有就是第三方支付的银行卡快捷注册,一旦用户银行卡号和密码被盗取了,就能够被快捷注册,从而产生资金损失,并且在提取资金时候并不再需要银行密码。
可见,目前第三方支付在用户注册认证上对信息真实性的把握存在着一定程度的瑕疵,必然需要提供这方面的工作,做好第一道防护网,比如与央行征信系统数据对接等方式。
支付安全技术
为了保障支付安全,银行和第三方支付公司均积极在研发支付安全技术进行支付交易过程中的安全。
目前主要第三方支付企业采取了较多技术手段保障用户支付的安全,安全产品体系包括OTP和PKI体系。OTP体系主要包括手机动态口令技术和宝令技术。PKI体系主要包括数字证书和支付盾技术。两大体系从技术层面保障用户支付安全。
安全性评价:从技术安全性上来看,支付盾技术属于安全级别最高的,其实物理介质存在的安全证书,级别可以定为五星。接下来则是数字证书技术,绑定了公钥及其持有者的真实身份(若拥有实名认证机制,则同等于五星安全级别)。宝令技术,的物理介质,随机显示密码(若拥有实名认证机制,则同等于五星安全级别)。这三项技术属于安全级别最高的技术,也就是对用户的保障程度最高。
目前用户在手机支付的时候,最常用的一种技术为手机动态口令技术,向绑定手机发送随机产生的动态密码,无密码不能支付。这种技术对用户来说最为方便,但是其安全程度不高,只有三星。主要存在的问题如果手机丢失或者手机号码被他人办卡,存在口令被窃取的可能,这样的安全问题时常发生。
支付企业除了上述四种技术,还有一些其他方式用于安全。比如常用的安全控件,安装后,安全控件会实时您的密码及账号不被窃取,并及时发现交易风险,有效仿冒网站的交易欺诈。另外就是设置多重密码进行。
而除了支付企业提供的安全技术外,安全厂商提供的安全支持也是必不可少的,这主要在安装杀毒软件或防火墙。
安全产品效果
支付企业提供了各类安全措施提供用户选择,但是这些措施的效果是不同的,正如前部分提及安全保障星级,在实际的使用过程中,其差别也体现出来了。
安装网银或者支付平台提示的数字证书和使用U盾或动态密码的程度最高,用户在使用了这两项安全技术的情况下,发生风险事件的概率大概在25%左右,而不发生的概率在75%左右。所以从实际的使用过程中也发现这两项技术安全程度最高,因此在银行的支付交易中基本要求用户使用,现在第三方支付企业也逐渐开发类似的安全产品。
手机动态口令以及绑定手机动态消息对支付安全也具有保障,但是相比前述两项技术则在风险事件上发生的概率和比例增大。如果使用了这两项技术,发生风险事件的概率在35%左右,而不发生的概率在65%左右。
安装杀毒软件和系统更新升级是每台电脑必须的操作,也是为了防止整个电脑使用的安全。不过这两项技术,虽然也很重要,但是对支付交易的安全保障并不是十分理想。在使用了这些技术的情况下,发生风险事件的比例仍然高达近50%左右。
从中可以看出,用户在使用安全生产商产品的基础上,为了保障资金的安全,一定要选择支付企业提供的安全产品。
安全体系雷达模型
通过参考其他研究机构,选择了八个指标对主要地方支付企业的安全体系进行评价,包括组织架构、安全体系、安全产品、安全服务、资源投入、赔偿机制、安全宣传以及联盟合作。通过综合的打分,描述出主要第三方支付企业的雷达模型图。
通过雷达模型图可以发现,各主要第三方支付企业均注重系统建设,一是说明支付企业对系统安全的要求高,另一个方面也在于遵守监管要求,在这个方面,这几家第三方支付企业的差别不大。支付宝和快钱在资源投入上的力度都较为明显,组织架构体系也较为完整。
目前主要第三方支付企业在安全产品的开发上,相差不是很大,能够使用的技术手段基本都采纳了。不过在联合合作上,支付宝走在最前,腾讯主要依靠内部资源的整合,而其他机构多数与安全厂商进行相关的合作。
用户最关心的赔付方面,支付宝的快捷支付有72小时全额赔偿承诺,这个相比其他企业的赔偿机制具有优势。
主要企业简评
支付宝
组织架构:董事会下设风险管理委员会,全面负责支付风险管理,下辖风险管理部、合规部以及内控部三个一级部门,以及技术安全管理中心和安产产品开发团队。
系统安全:符合央行标准的安全系统,“智能实时风险系统”。
安全产品:密码安全控件、图片验证码、防钓鱼解决方案、数字证书、支付盾、宝令、双密码、个人隐私认证系统等。
信息安全服务:资金变动短信通知、邮件通知、异常情况人工提醒、旺旺提醒等。
赔偿机制:快捷支付“72小时全额赔偿承诺”。
安全宣传:专门网页安全提醒页面,交易安全介绍等。
安全合作:联合银行业、第三方支付、安全生产商等成立电子支付安全联盟。
分析简评:支付宝目前属于国内一流的第三方支付企业,在多个方面表现突出。智能实时风险系统集风险分析、预警和控制为一体,实时全天候的风险。打造支付安全联盟,从整个安全生态链上对安全进行把控。另外就是其承诺全额赔偿机制。
财付通
组织架构:腾讯集团设有安全中心,财付通下设风险管理部和合规部等。
系统安全:符合央行标准的安全系统、风控系统和资金管理制度。
安全产品:动态口令卡、财付盾、数字证书、短消息验证码、安全控件、电子令牌、登陆问候语、交易等。
信息安全服务:资金变动短信通知、QQ邮件通知、实时QQ管家提醒。
赔偿机制:引导用户报案,遇到钓鱼用户及时反馈可拦截并退款,责任赔偿机制。
安全宣传:专门网站安全提醒页面、QQ提醒宣传、交易安全介绍。
安全合作:主要与QQ管家、腾讯安全中心以及金山合作,同时与业界和监管层合作。
分析简评:财付通的主要优势就在于其依靠腾讯强大的系统,腾讯安全中心、QQ管家对风险的预警都有着重要作用,不过财付通在自身资源投入和安全合作方面存在提升空间。
快钱
组织架构:专设风险管理部、合规部、安全中心和内部审计部四个一级部门。
系统安全:符合央行标准的安全系统,每年第三方机构检测和评估,风险平台。
安全产品:安全控件、口令卡、快钱盾、数字证书、第三方数字、消息验证码等。
信息安全服务:资金变动短信通知、邮件通知,后台服务。
赔偿机制:赔偿机制。
安全宣传:专门网站安全提醒页面,交易安全介绍以及安全主题活动。
安全合作:与银行、安全生产商合作。
分析简评:快钱在资源投入和安全宣传方面较为突出,其采取线上线下的安全宣传教育,更加有利于用户加强对支付安全的重视。不过,在安全合作和组织架构对安全的重视存在一定的不足。
汇付天下
组织架构:专设副总裁负责的风险管理委员会以及风险管理部、合规部两个一级部门。
系统安全:符合央行标准的安全系统、风控系统和资金管理制度。
安产产品:口令卡、U盾、文件证书、短消息验证码、安全控件、电子令牌、二次认证等。
信息安全服务:资金变动短信通知、邮件通知、异常情况人工提醒。
赔偿机制:合同约定,赔偿机制。
安全宣传:专门网站安全提醒页面,交易安全介绍。
安全合作:与银行、安全生产商合作。
分析简评:汇付天下在组织架构上对安全较为重视,但是在安全宣传和安全资源投入上有待提升。采用二次验证,可以一定程度防止钓鱼网站的欺诈。
易宝支付
组织架构:管理中心下设风险管理部和合规部,运营中心下设信息。
系统安全:符合央行标准的安全系统、风险系统,通过PCI认证、国家信息安全认证。
安全产品:动态令牌、易宝盾、数字证书、安全控件、验证码、电子令牌、多因子密码验证、风险系统等。
信息安全服务:资金变动短信通知。
安全宣传:公司网站安全中心宣传,安全厂商等联合宣传等。
安全合作:与银行、安全生产商合作。
分析简评:在安全资源投入和联盟合作具有一定的优势,但是在组织架构对于安全的重视不足。同时,其为商家提供了可定制化奉献解决方案服务,这点比较突出。
环迅支付
组织架构:专设风控部、合规部和客服部三个一级部门。
系统安全:符合央行标准的安全系统、风险系统和资金管理制度。
安全产品:安全控件、动态口令卡、数字证书、验证码等。
信息安全服务:资金变动短信通知、邮件通知。
赔偿机制:赔偿机制。
安全宣传:专门网站安全提醒页面以及315投诉网站宣传等。
安全合作:与银行、安全生产商合作。
分析点评:环迅支付在各项指标上并没有突出表现,不过其利用国际技术,自主研发了反欺诈系统。
支付企业存在的问题
虽然支付企业在支付安全上下了不少功夫,投入了大量的人力物力等资源,但是,目前支付企业在支付安全上仍然存在着一些问题有待解决和提升。根据中国金融认证中心介绍,可以看出支付企业存在以下问题:
承载支付业务的IT系统存在漏洞:一是开发运营方面,包括开发测试同生产未严格分离;数据未经清洗即交由开发测试使用;系统版本变更流程界面不清晰。二是IT系统基础方面,包括身份验证薄弱;逻辑访问控制不严;应用身份鉴别机制存在缺陷;WEB安全引起的服务器被及前端用户信息泄露;数据存储及备份安全。
互联网支付本身业务控制薄弱:数据分级控制不严格导致用户数据外流;促销活能模块逻辑不严格引发的漏洞;涉及线下票据处理的状态不一致。
开展支付业务公司管理控制存在疏忽:客户备付金管理无审核控制机制;差错处理流程无审核控制机制;商户审核及风险分类机制不够健全。
用户主要面临的安全问题
虽然银行和第三方支付企业采取了多种安全措施对用户进行安全保障,然而,在支付交易过程中,安全事件频繁。目前,主要的问题有以下几类:
木马,盗取密码:使用户感染综合性木马,综合性木马具有屏幕查看、远程控制、键盘记录等功能。黑客利用键盘记录功能记录账号,密码、交易密码,再利用远程控制功能用户计算机进行转账。
钓鱼网站,支付:冒充卖家,在用户准备交易时谎称网络有问题,发给用户一个网址链接,用户点击该链接后往往与支付页面类似。用户在该页面进行支付后,卖家说没有收到付款。当用户从通过正常登录网银查询时,也没有显示付款信息。实际是通过钓鱼网站,诱使用户支付到其他账户,导致资金损失。
冒充客服,骗取信息:冒充客服或卖家,诱使用户登录钓鱼网站,获取用户名、密码、安全问题及答案,然后利用安全问题及答案撤销手机绑定,同时避开手机动态口令,或者获取用户手机动态口令,盗取资金。
U盾不拔,远程:用户使用完U盾,尤其是在公共电脑支付完后,没有及时拔出支付盾,被远程控制“借用”。
QQ求助,贸然支付:利用用户对好友的熟悉信任度,盗取QQ、MSN、阿里旺旺等即时通信号码后发送求助信息,要求汇款或支付资金,用户没有核实是否本人后就使用网上支付进行资金传递。或者通过QQ发来有的链接,用户由于对好友信任,贸然点击钓鱼网站或者木马病毒。
扫二维码,暗藏:二维码木马诈骗是2013年新出现的一种诈骗方式,冒充买家,以订货等要求给卖家发送二维码,卖家一旦扫描二维码就中了木马,手机收到的各种验证码短信都会被拦截,并发到手中,从而盗刷。