电子商务>> 支付安全

从用户体验看电子支付安全

                                                                                   2011-12-2009:50                                    中国信息产业网官方微博

随着电子商务的兴起,电子银行支付因方便、快捷等优点,成为人们购物交易的心头爱。而电子支付方式的日益增多,也让支付安全问题日渐凸显。日前,中国人民银行支付结算司副司长樊爽文在“2011年中国电子银行年会”上称,目前国内针对网上银行的攻击行为十分猖獗,电子银行支付安全的最大漏洞源于网络第三方。那么,电子银行支付究竟面临着哪些来源于网络第三方的安全威胁?创造安全的支付环境,个人、第三方支付、银行又该从何处入手?

用户体验颠覆支付生活

如今,去银行办理柜台业务,往往要在银行门口领取一张排队等待的号码单:运气好的,在你之前等位的人数会在50-100之间;运气不好的,会很不幸地看到自己前面至少有200人在等位。不过,为了解决这个头疼的问题,银行也在想办法——很多银行的网点,利用电子银行做了大量的分流,以此来解决银行网点排队的问题。例如,在银行网点摆放的自动存取款机,和用于缴纳水、电、煤气等费用的机器。显而易见,能用机器完成的业务越多,到柜台等号办理业务的人就会越少。

电子银行功能的不断优化和日趋完善,让个人对网银的使用深度也不断增加。据《2011中国电子银行调查报告》显示,2011年个人网银用户比例为27.6%,个人网银用户发展态势呈连年持续增加状态。而在企业网银方面,企业用户对网银的使用率和活跃度也得到了进一步普及,网银越来越成为众多企业日程运营的首选。相关数据显示,2011年,平均每家活动用户使用企业网银替代了60.3%的柜台业务。在全国企业网银用户中,活动用户比例达到了87.6%;企业网银交易用户比例为75.9%,同比增长了8.6个百分点。

电子银行除了对银行网点分流有一定作用,也使得人们的网络购物过程更加便捷:一次点击,就能将商品加入购物车,一次点击,就能完成在线支付。

如此低碳节能的消费方式,让人爱不释手的同时,更推动了电子银行网上支付业务的崛起。

据艾瑞咨询的统计数据显示,2011年第三季度,我国电子银行网上支付业务交易规模达6197亿元,同比增长高达130.7%,环比增长34.8%。其中,第三方互联网在线支付市场交易规模达5643亿元,占据电子支付业务的九成以上。

另外,手机银行业务也初绽蓓蕾。据不完全统计,截止2011年6月末,中国工商银行手机银行客户比上一年末增长30.8%,交易金额同比增长3.9倍;中国建设银行手机银行客户比上年末增长32.93%;招商银行手机银行交易金额同比去年增长574.17%。这些数据表明,手机银行业务的增长之快速,远超过其他电子银行业务。

然而,通过第三方支付平台以及手机银行实现的支付行为,并非电子支付的全部。根据中国人民银行对电子支付的解释,电子支付是指单位、个人直接或授权他人通过电子终端发布支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式,分为网上支付、电话支付、移动支付、自动柜员机交易等。今后,移动支付或将成为电子支付行业的新宠儿。

支付安全成难题

作为建立在虚拟网络技术上的电子支付手段,虽然省去了与柜台业务员面对面的繁琐对接,但是,互联网和计算机的开放性,也给电子支付带来了安全隐患。

日前,央行支付结算司副司长樊爽文在“2011中国电子银行年会”上表示,近年来,在中国金融认证中心和各个商业银行的共同努力下,电子银行信息安全工作不断加强,放心安全使用网银的意识渐入人心。

“电子银行实现可持续健康发展的前提是安全。”樊爽文指出,电子银行的支付安全漏洞主要来源于三个方面:一是来源于电子银行内部,二是来源于电子银行消费者本身,三是来源于网络第三方。“目前最突出的,主要是来源于网络第三方的安全威胁,包括网络钓鱼、黑客攻击、植入木马程序等,这些风险事件严重影响了客户使用电子银行的信心,威胁着客户资金安全和银行资金安全,成为制约电子银行发展的重要因素。”

近两年,由于电子商务的蓬勃发展,致使病毒集团和黑客们把网购用户当成了主要攻击对象。根据国家互联网应急中心的统计,从2010年开始,网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要模仿对象。

据了解,2011年,电子银行安全案件主要集中在网银“钓鱼网站”和借记卡、信用卡盗刷两项中,这些案件的相同之处都在于信息的泄露,导致客户的网银、借记卡、信用卡信息被复制,从而被盗刷。另外,网络诈骗集团还会采用低价商品为诱饵进行一对一的诈骗,通过即时通信工具给网购用户发送虚假链接或图片的方式,诱骗网购用户进行支付,从而非法获取资金或者用户的银行卡账号、密码等信息。

对于电子支付的安全担忧,银行也在加强电子银行安全性控制,如电子密令、USBKey的使用以及多环节的身份验证,但这些措施并没有解决电子银行安全的根本问题。一位在央行做过支付系统开发的工作人员曾表示,硬加密要优于软加密,就是用U盾要比普通认证安全,但是U盾同样存在被病毒攻破的可能。

多方合力 促支付产业安全

据易观国际日前发布的《中国第三方网络支付安全调研报告》显示:目前,“账户密码被盗”和“遭遇木马钓鱼”已成为电子支付的“头号大敌”,造成资金损失的占比分别达33.9%和24%。

虽然目前开发出了诸多技术上的电子支付安全措施,但仍有不少用户的电子信息还处在危险边缘。例如,犯罪份子通过十分低级的钓鱼网站就能把客户的口令骗到手的情况经常出现。由此可见,央行支付结算司副司长樊爽文在“2011中国电子银行年会”所说的来源于网络第三方的电子银行安全问题,单纯靠技术保证是难以满足的,或许,国家加大对于电子支付行业监管力度,排除不安全因子,会是一个不错的举措。

其实,监管已经在发力。2011年,为了保障电子银行的安全,国家相关机构除了在技术上推出相关的电子支付安全工具之外,最重要的是对第三方支付加大了监管力度。如今,从事第三方支付的企业要通过申请、公示、审核等流程获得支付牌照,才能合法运营,这也加强对支付企业在运营过程中的约束和监督。但是,目前我国还没有一套针对造成危害较轻的网络犯罪进行惩治的法律法规,这是在今后仍需继续完善的地方。

那么,当前该如何保护用户的网上“钱包”呢?最重要的,是要提高用户自身对电子支付安全的防范意识。

用户在使用电子银行支付时,应注意使用安全工具。根据易观国际发布的《中国第三方网络支付安全调研报告》显示,今年9月份,针对中国内地和香港品牌的钓鱼网站数量达到5734个,而1月时这一数字仅为18;第二季度,针对中国品牌的钓鱼攻击次数已占到全球总量的10%,仅次于美国的58%和英国的15%。目前,担心会遭遇“木马钓鱼”和“账户被盗”的电子支付用户,分别占55.7%和55.6%。然而,安装数字证书的用户仅占14.9%,申请使用手机动态口令的占21.4%,用支付账户绑定手机账户动态提醒的占24%,使用比例最高的U盾和动态密码的总安装比例仅为47.2%。

那么,对于那些尚未使用安全工具的电子支付用户来说,又该如何避免自己的网上“钱包”被盗呢?

看好自己的账户密码。如果没有技术性的安全工具,那么保护“钱包”的手段就只剩设置密码了。但就在不久前,瑞星云安全平台公布了“国人最常用的弱密码”集锦,其中分析表明,国人最常用的密码通常过于简单,甚至有75%以上的用户不会主动改变初始密码,致使像admin、root、administrator这样的系统默认密码被广泛使用,这种行为是导致电子银行存在安全漏洞的又一重要因素。

面对互联网日新月异的变化,网络诈骗集团技术手段的不断提升,以及诈骗方式的不断翻新,国家相关机构、电子支付企业、网络运营商以及支付用户都不能掉以轻心,应多方合力,共同打造安全的支付环境。

(来源:网络导报    作者:康佳奇)

相关文章

更多>> 论坛精华                                                                                            通信公社官方微博

更多>> 精彩博文

信息化趋势

产业圈动态

运营业要闻