资料图。中新社记者 刘新 摄
无现金支付进入生活方方面面信息泄露导致盗用欺诈频发
移动支付何以让消费者爱恨交织
□ 本报记者 赵丽
“呀,没带手机,您等会儿,我去车上取。”
正准备走出面包店的客人又转头回来,手里拿着钱包,笑着自嘲道:“看见钱包居然没反应过来,可以现金支付。”
上面的一幕,对于在北京市丰台区嘉园路一家面包店工作的刘畅来说,早已是见怪不怪,“有一次我们店里的电子支付系统发生故障,营业额创下了历史新低,因为很多年轻人平常只带手机出门,兜里不装现金”。
如今,二维码支付在餐饮门店、超市、便利店等线下小额支付场景得到广泛应用。然而,在条码生成机制和传输过程中仍存在风险隐患。“在开放环境下,移动支付风险正逐渐成为主要风险类型,并呈现出隐蔽性、复杂性、交叉性等新趋势,移动手机端发生的账户盗用和欺诈呈现高发态势,给用户资金造成严重损失。”在6月6日由中国支付清算协会举办的“2018年移动支付安全便民宣传周启动仪式暨移动支付安全与创新研讨会”上,中国支付清算协会副秘书长马国光说。
支持者:生活更便利
作为90后,在过去两年多的时间里,北京市民张峰仅有两次机会使用现金。
一次是在一个路边停车场,张峰需要支付16元给看车的老大爷。当看到老大爷使用的还是老式手机的那一刻,张峰放弃了和他商量,而是乖乖给了100元,并向老大爷道歉说自己没带零钱。
另一次是在一家公立医院的自费药房,没有POS机或移动支付选项,只收现金。“我尝试和收银员沟通,让她接受我加她好友,然后我给她发个红包,这样我就可以买到一支25元的眼药膏。那姑娘鄙夷地看了我一眼,说‘如果每个人都像你这样,我一天要加多少好友啊?钱包提现还要手续费的’。”张峰回忆说,不过,时至今日,那家医院早已开通了支付宝付款功能,而路边收停车费的老大爷也拿上了“掌上智能收费机”。
前一阵子路过那个停车场,老大爷对张峰说,老板给他用这个,一是为了避免高峰期间来不及收费等尴尬,二是避免他接触现金,解决乱收费、截扣停车费的问题。而对他本人的好处,就是再也不需要准备一大把零钱了。
北京某购物中心停车场管理员潘师傅说:“之前车辆进出时,停车、取卡、交费,整个过程至少需要半分钟,车多的时候会更久;有了‘ETCP停车’后,车辆进出不需要停下等待交费,整个过程只需两秒,不仅用户方便了,停车场秩序也更好了,这种技术真应该在每家商场都用上。”
的确,无现金社会越来越多地被提及,甚至已经开始有人进行倒计时。
不过,在这样的大环境下,也有一批人在“逆势而行”,拒绝甚至厌恶移动支付。
在北京从事金融工作的郭涛就是坚定的现金使用者。让他感受到自己成为异类,是在一年前的一次聚会上。
“当时聚会结束,大家争着结账。可就在我从钱包里抽出一沓钱做奋勇状时,却没有收获应有的尊重。同行者已经安静地扫码、付款、确认,一切都无比流畅而安静。最后,同行者看着我说,‘现在谁还用现金啊’。”回忆当时的场景,郭涛说,“那一刻,他看着我,好像阿尔法狗看着一个围棋初学者一样。那一刻,我感受到了《三体》中所描述的,高维对低维的降维打击。”
这次打击,让郭涛开始关注身边的无现金生活,上下班地铁、公交可以刷卡,吃饭、买东西全部都可以用微信、支付宝以及刷银行卡来完成。
“我还发现了一个以前被我忽略的事实,几乎所有的小商贩都可以用移动支付完成交易,不管他是卖鸡蛋灌饼还是煎饼果子,不管他是手机贴膜还是卖西瓜,都会把微信和支付宝两个二维码印得清晰而醒目。”郭涛说,仅有的限制是,有一次孩子幼儿园组织家长捐款,只能用现金,不可以用移动支付。
拒绝者:安全在裸奔
无现金社会,在去年成为一个热词。支付宝和微信支付甚至分别推出了“无现金城市周”和“无现金日”,让这一概念变得如日中天。
所谓无现金社会,概言之,就是移动支付社会。这个概念的兴起,代表了中国移动支付市场开始向纵深推进,从商业交易到公共事务,从线上场景到线下场景。
纵使如此,对于一些拒绝移动支付的人来说,他们的理由也比较充分。比如郭涛,安全问题是他拒绝移动支付的主要原因。
近年来,移动支付在快速发展、改进用户体验、便利群众的同时,其风险也随之发生新的变化和转移。
“就像某一天,从你出门打车、在地铁口买早餐、午餐订外卖、星巴克下午茶、路边摊买水果,再到露天吃烧烤,这一切的消费行为都无现金,通过移动支付解决,由此产生一批又一批的交易数据。日复一日。通过这些数据,你的消费记录与生活习惯被相关公司甚至产业牢牢掌控。它们比你的家人和朋友更了解你,甚至比你自己更了解你。在它们面前,我们很可能是裸露的,并且无处可藏。”郭涛说,到目前为止,这些公司掌控数据的行为以及如何合理保护用户的隐私,似乎并没有实质性的监管,“这就是无现金社会的另一面。在某种意义上,我们无路可退,也无处可去”。
“有人的地方就有江湖,有钱的地方就有诈骗。”这是作为计算机高级网络安全研究员蒋兴鹏的体会。
随着移动支付市场的不断扩大,一些不法分子逐渐将黑手伸向移动支付用户。其作案手段专业化、团伙化,通过网络的联系,甚至一些素未谋面的不法分子也可以分工协作,逐渐形成黑色产业链。
拖库、洗库、撞库的“黑客”——这是蒋兴鹏对于移动支付中存在的“互联网幽灵”的表述。
“近年来,国内关于用户隐私信息被窃取的事件时有发生。网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势,越来越多的网络黑产分子通过拖库、撞库盗取用户个人信息,给网民造成了金融资产和个人信息安全等多方面的危害。”蒋兴鹏说,在这些泄露的信息中,最容易被网络黑产集团利用牟利的就是个人姓名、手机号码、身份证号码和银行卡号,这是直接关系账户安全的四个要素。这些信息大多会被出售给黑市中的诈骗团伙和营销团伙,用来进行诈骗和恶意营销,“黑客通过入侵有价值的网络站点,盗走用户数据库,这个过程在地下产业术语里被称为拖库。在取得大量用户数据后,黑客会通过一系列技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,这通常被称作洗库。最后,黑客将得到的数据在其他网站进行尝试登录,叫撞库”。
蒋兴鹏说,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客获得用户在多个平台的账号密码。最后,黑产人员还会把多个不同类型的数据库整合成“社工库”。随着“社工库”的日益完善,大量网络用户的隐私信息、上网行为以及与个人金融财产安全相关的数据被重新整合,多维度的海量信息让有强针对性的精准式诈骗场景频现。
核心问题:技术之痛
除此之外,还有移动支付安全的技术安全问题。
今年以来,通过社交网络平台、欺诈App软件、恶意二维码等进行诈骗的案件频发,移动支付安全已经成为用户最担心的问题之一。去年,银联累计协助公安机关查办案件3.18万件,其中涉及银行卡约92.36万张,金额4582亿元。
“技术问题是存在安全隐患的重要原因。”清华大学数据科学研究院二维码安全中心副主任沈维说,“扫码支付的二维码码制有国家标准,目前我们使用的QR码是国际标准,也是我国的国家标准。技术上虽然已经有了国家标准,但二维码在应用上还没有相应的规范。公开的二维码无人监管,且支付前的二维码管理缺失,而监管缺位的原因在于缺少技术手段。
“手机木马病毒是移动支付环境中最大的毒瘤,其中支付类病毒行为中占比比较多的为执行反射,也就是黑客为了逃避反编译,通过某种隐藏方式来调用某些API接口的行为模式。其次是隐私数据也就是手机信息上传占比比较多。同时,许多支付类病毒还会静默联网、静默删除和发送短信,主要是将用户的验证码信息转发到另一终端,从而实现银行卡的盗刷。”蒋兴鹏说,另外,钓鱼网站也是网络黑产窃取用户信息的一个惯用手段。所谓钓鱼网站即域名和页面都和正常网站非常相似的假网站,通常会模仿银行或者电信运营商的官方网站,诱导用户在钓鱼网站上输入个人信息。
近日,某私营企业负责人陈安在不法分子迷惑下泄露了自己的某支付机构付款码,对方指示将付款条码上的数字发过去,之后陈安的支付账户立刻被划走499元。陈安说,找客服投诉后,支付机构只说后台审核,如果对方账户存在风险,会采取冻结账户的手段。“但现在几个月过去了,不仅对方账户没有冻结,被骗的欠款也没能要回来”。
“二维码犯罪隐蔽性强、传染性快,但电子证据获存困难,相关规定不健全,维权成本高。制作和发布的实施主体和责任承担主体难以明确锁定,增加了诉讼的不确定因素。”北京律师左胜高认为。
一位网络安全从业人员称,近年来涉及二维码的案件很多,其中包括非法获取公民信息、诈骗、盗刷等。对于像二维码这样的新兴技术在多领域的应用,相关监督管理部门还未出台较为有效的规章和监管机制。
对此,银联近日发布一则安全提示称,随着经济领域犯罪活动日益复杂,金融支付违法犯罪活动层出不穷,并呈现出技术含量高、传播速度快、跨境跨网络实施等新特点。为防范各类新型欺诈手法,消费者需要做好安全防范,养成谨慎上网、磁条卡要换“芯”以及认真看签购单等好习惯。(赵丽)