無(wú)卡支付是銀行或第三方支付機(jī)構(gòu)向客戶(hù)推出的一種便捷支付服務(wù),目前在網(wǎng)購(gòu)市場(chǎng)非常受追捧。但值得注意的是,部分無(wú)卡支付產(chǎn)品因過(guò)度追求客戶(hù)體驗(yàn)和業(yè)務(wù)的便捷性,往往忽視了支付安全,尤其是當(dāng)無(wú)卡支付遇上非實(shí)名賬戶(hù),就存在一定的支付風(fēng)險(xiǎn)。
未來(lái)主流支付方式
“無(wú)需登錄網(wǎng)銀,只需提供卡號(hào)和相關(guān)信息即可完成支付的無(wú)卡支付將是未來(lái)的主流支付方式之一。”艾瑞咨詢(xún)分析認(rèn)為,無(wú)卡支付具有方便、快捷、安全的特性和跨終端、跨系統(tǒng)平臺(tái)、跨瀏覽器的使用兼容性?xún)?yōu)勢(shì),是未來(lái)發(fā)展趨勢(shì)。
支付寶統(tǒng)計(jì)數(shù)據(jù)顯示,在快捷支付剛推出的半年時(shí)間內(nèi),交易筆數(shù)占比已經(jīng)達(dá)到支付寶整體的30%,增速可觀(guān)。另外,隨著用戶(hù)對(duì)手機(jī)支付需求的增加,快捷支付與移動(dòng)終端的結(jié)合具備優(yōu)勢(shì),這些都表明無(wú)卡支付具有較強(qiáng)的市場(chǎng)需求及良好的發(fā)展前景。
看到美好的發(fā)展前景,各金融機(jī)構(gòu)都加大了無(wú)卡支付業(yè)務(wù)的布局。目前,大家耳熟能詳?shù)臒o(wú)卡支付產(chǎn)品除了支付寶推出的“快捷支付”、中國(guó)銀聯(lián)推出的“在線(xiàn)支付”和“互聯(lián)網(wǎng)手機(jī)支付”外,還有建行推出的“賬號(hào)支付”、中行聯(lián)合支付寶推出的“中銀淘寶卡”等。它們各具特色,擁有不同的客戶(hù)群體,在競(jìng)爭(zhēng)與合作中共享電子商務(wù)的繁榮生態(tài)。
支付風(fēng)險(xiǎn)不容忽視
雖然無(wú)卡支付業(yè)務(wù)給廣大用戶(hù)帶來(lái)了諸多便利,但是其安全性不容忽視。今年7月,廣東某市人民檢察院公布的一起銀行卡詐騙案件,就給無(wú)卡支付敲響了警鐘。
分析這起案件,主要與客戶(hù)信息泄露有關(guān)。不法分子竊取客戶(hù)身份證號(hào)、銀行卡號(hào)、有效期、CVN2 等銀行卡敏感信息后,通過(guò)開(kāi)設(shè)非實(shí)名網(wǎng)絡(luò)支付賬戶(hù)與客戶(hù)銀行卡賬戶(hù)進(jìn)行綁定,在客戶(hù)不知情的情況下,開(kāi)通互聯(lián)網(wǎng)無(wú)卡支付業(yè)務(wù),隨后在電子商務(wù)網(wǎng)站購(gòu)買(mǎi)大額或虛擬商品,盜支客戶(hù)銀行卡資金。
據(jù)網(wǎng)絡(luò)安全部門(mén)披露,目前不法分子可以利用的網(wǎng)絡(luò)支付漏洞主要有三種:安卓后門(mén),不法分子在安卓軟件中暗置手機(jī)后門(mén),其中一些后門(mén)具有攔截手機(jī)短信的功能,盜賊可以借此重置用戶(hù)支付寶或銀行賬號(hào)的支付密碼;山寨客戶(hù)端,不法分子通過(guò)推送山寨客戶(hù)端獲取用戶(hù)信任,從而獲得用戶(hù)的密碼信息,而在支付環(huán)節(jié)直接轉(zhuǎn)移用戶(hù)資金;釣魚(yú)網(wǎng)站,比較多見(jiàn)的釣魚(yú)形式是假冒銀行身份群發(fā)短信,內(nèi)容涉及用戶(hù)銀行賬戶(hù)等私密信息。
但是,客戶(hù)信息泄露并不是無(wú)卡支付風(fēng)險(xiǎn)的唯一起因,相關(guān)支付機(jī)構(gòu)在無(wú)卡交易流程中的安全缺失,亦難辭其咎。
安全驗(yàn)證機(jī)制過(guò)于簡(jiǎn)單是無(wú)卡支付的“軟肋”。一些支付機(jī)構(gòu)在開(kāi)通和交易階段,以向客戶(hù)預(yù)留在商業(yè)銀行的手機(jī)號(hào)發(fā)送動(dòng)態(tài)驗(yàn)證碼的方式,作為主要交易驗(yàn)證手段,驗(yàn)證手段單一。不法分子通過(guò)更改客戶(hù)預(yù)留手機(jī)號(hào)或補(bǔ)辦SIM卡等手段,就可以截取短信驗(yàn)證碼,從而闖過(guò)“安全驗(yàn)證”關(guān)。
網(wǎng)絡(luò)支付賬戶(hù)管理松懈為不法分子打開(kāi)綠燈。一些支付機(jī)構(gòu)對(duì)網(wǎng)絡(luò)賬戶(hù)實(shí)名制落實(shí)力度不足,非實(shí)名支付賬戶(hù)占比較大,并且在無(wú)卡支付業(yè)務(wù)中,對(duì)非實(shí)名賬戶(hù)關(guān)聯(lián)銀行卡未作限制,致使不法分子盜取客戶(hù)銀行卡敏感信息后,即可通過(guò)開(kāi)設(shè)非實(shí)名支付賬戶(hù)進(jìn)行關(guān)聯(lián)銀行卡操作,從而利于無(wú)卡支付渠道竊取客戶(hù)資金。
風(fēng)險(xiǎn)提示不足為無(wú)卡支付預(yù)埋隱患。部分支付機(jī)構(gòu)缺乏對(duì)客戶(hù)的風(fēng)險(xiǎn)教育和權(quán)益保障工作,在客戶(hù)注冊(cè)、關(guān)聯(lián)銀行卡、交易等關(guān)鍵環(huán)節(jié)以及敏感信息保管等方面,未向客戶(hù)充分告知和提醒風(fēng)險(xiǎn),客戶(hù)風(fēng)險(xiǎn)防范意識(shí)薄弱。
亡羊補(bǔ)牢不晚
快捷與風(fēng)險(xiǎn)同行,便利和安全并重。無(wú)卡支付作為支付機(jī)構(gòu)為客戶(hù)提供的一種便捷支付服務(wù),無(wú)論何種原因引發(fā)客戶(hù)糾紛或資金損失,支付機(jī)構(gòu)都很難擺脫責(zé)任。“亡羊而補(bǔ)牢,猶未遲也”,銀行和支付機(jī)構(gòu)要審慎推敲該類(lèi)交易的流程和細(xì)節(jié),查缺補(bǔ)漏,未雨綢繆,不給覬覦之徒留下可乘之機(jī),確保無(wú)卡支付在安全地帶暢通運(yùn)行。
堵住客戶(hù)敏感信息泄露的源頭。支付機(jī)構(gòu)應(yīng)健全信息安全防護(hù)體系建設(shè),通過(guò)提升技術(shù)手段實(shí)現(xiàn)信息傳輸過(guò)程中的安全性、保密性、完整性,確保業(yè)務(wù)運(yùn)作全過(guò)程中,客戶(hù)的銀行卡卡號(hào)、 有效期、驗(yàn)證碼、身份證件號(hào)碼等敏感信息得到安全處理。支付機(jī)構(gòu)不得通過(guò)互聯(lián)網(wǎng)傳送特約商戶(hù)營(yíng)業(yè)執(zhí)照及其他實(shí)名制證件材料,避免發(fā)生信息泄露事件。支付機(jī)構(gòu)要遵守職業(yè)道德,確??蛻?hù)信息僅用于本公司提供的支付服務(wù),切實(shí)保障客戶(hù)信息安全。
完善無(wú)卡支付安全認(rèn)證機(jī)制。支付機(jī)構(gòu)要強(qiáng)化支付安全認(rèn)證管理,使用硬件加密、頁(yè)面加密、 安全控件、數(shù)字證書(shū)等多種技術(shù)手段提高驗(yàn)證安全性,特別是對(duì)于金額大、涉及虛擬物品交易等較高風(fēng)險(xiǎn)業(yè)務(wù)的交易,應(yīng)采取高級(jí)別的安全認(rèn)證制度。
強(qiáng)化支付賬戶(hù)實(shí)名制管理。支付機(jī)構(gòu)應(yīng)嚴(yán)格對(duì)客戶(hù)的真實(shí)性身份核查,落實(shí)支付賬戶(hù)實(shí)名制,與關(guān)聯(lián)銀行卡賬戶(hù)建立實(shí)名校驗(yàn)機(jī)制,通過(guò)限制非實(shí)名支付賬戶(hù)交易功能和交易金額、開(kāi)展存量非實(shí)名賬戶(hù)清理等手段,逐步引導(dǎo)客戶(hù)注冊(cè)實(shí)名賬戶(hù),禁止通過(guò)非實(shí)名支付賬戶(hù)關(guān)聯(lián)銀行卡開(kāi)通無(wú)卡支付業(yè)務(wù),全面落實(shí)支付賬戶(hù)實(shí)名制。
加強(qiáng)無(wú)卡支付交易監(jiān)控。支付機(jī)構(gòu)應(yīng)完善無(wú)卡支付商戶(hù)風(fēng)險(xiǎn)監(jiān)控管理,建立健全網(wǎng)絡(luò)交易監(jiān)測(cè)機(jī)制,加強(qiáng)對(duì)異常、可疑交易的監(jiān)控、分析和預(yù)警,特別是要加強(qiáng)對(duì)二級(jí)商戶(hù)的交易監(jiān)控。支付機(jī)構(gòu)要加強(qiáng)商戶(hù)風(fēng)險(xiǎn)評(píng)估,建立商戶(hù)風(fēng)險(xiǎn)等級(jí)制度,規(guī)范網(wǎng)絡(luò)商戶(hù)上送信息的管理。支付機(jī)構(gòu)要設(shè)置交易控制,根據(jù)不同的業(yè)務(wù)模式、交易認(rèn)證強(qiáng)度、商戶(hù)類(lèi)型設(shè)置交易額度、頻率,并能夠進(jìn)行動(dòng)態(tài)管理和及時(shí)調(diào)整。
創(chuàng)新風(fēng)險(xiǎn)提示方式。對(duì)客戶(hù)注冊(cè)、支付等關(guān)鍵環(huán)節(jié),要以多種方式充分告知客戶(hù)相關(guān)風(fēng)險(xiǎn)點(diǎn)和注意事項(xiàng),定期或不定期通過(guò)電子郵件、手機(jī)短信等方式,向客戶(hù)主動(dòng)推送近期發(fā)生的典型風(fēng)險(xiǎn)案件,提醒客戶(hù)加強(qiáng)防范。
廣州寶屹商貿(mào):http://www.POSjipay.com/
未來(lái)主流支付方式
“無(wú)需登錄網(wǎng)銀,只需提供卡號(hào)和相關(guān)信息即可完成支付的無(wú)卡支付將是未來(lái)的主流支付方式之一。”艾瑞咨詢(xún)分析認(rèn)為,無(wú)卡支付具有方便、快捷、安全的特性和跨終端、跨系統(tǒng)平臺(tái)、跨瀏覽器的使用兼容性?xún)?yōu)勢(shì),是未來(lái)發(fā)展趨勢(shì)。
支付寶統(tǒng)計(jì)數(shù)據(jù)顯示,在快捷支付剛推出的半年時(shí)間內(nèi),交易筆數(shù)占比已經(jīng)達(dá)到支付寶整體的30%,增速可觀(guān)。另外,隨著用戶(hù)對(duì)手機(jī)支付需求的增加,快捷支付與移動(dòng)終端的結(jié)合具備優(yōu)勢(shì),這些都表明無(wú)卡支付具有較強(qiáng)的市場(chǎng)需求及良好的發(fā)展前景。
看到美好的發(fā)展前景,各金融機(jī)構(gòu)都加大了無(wú)卡支付業(yè)務(wù)的布局。目前,大家耳熟能詳?shù)臒o(wú)卡支付產(chǎn)品除了支付寶推出的“快捷支付”、中國(guó)銀聯(lián)推出的“在線(xiàn)支付”和“互聯(lián)網(wǎng)手機(jī)支付”外,還有建行推出的“賬號(hào)支付”、中行聯(lián)合支付寶推出的“中銀淘寶卡”等。它們各具特色,擁有不同的客戶(hù)群體,在競(jìng)爭(zhēng)與合作中共享電子商務(wù)的繁榮生態(tài)。
支付風(fēng)險(xiǎn)不容忽視
雖然無(wú)卡支付業(yè)務(wù)給廣大用戶(hù)帶來(lái)了諸多便利,但是其安全性不容忽視。今年7月,廣東某市人民檢察院公布的一起銀行卡詐騙案件,就給無(wú)卡支付敲響了警鐘。
分析這起案件,主要與客戶(hù)信息泄露有關(guān)。不法分子竊取客戶(hù)身份證號(hào)、銀行卡號(hào)、有效期、CVN2 等銀行卡敏感信息后,通過(guò)開(kāi)設(shè)非實(shí)名網(wǎng)絡(luò)支付賬戶(hù)與客戶(hù)銀行卡賬戶(hù)進(jìn)行綁定,在客戶(hù)不知情的情況下,開(kāi)通互聯(lián)網(wǎng)無(wú)卡支付業(yè)務(wù),隨后在電子商務(wù)網(wǎng)站購(gòu)買(mǎi)大額或虛擬商品,盜支客戶(hù)銀行卡資金。
據(jù)網(wǎng)絡(luò)安全部門(mén)披露,目前不法分子可以利用的網(wǎng)絡(luò)支付漏洞主要有三種:安卓后門(mén),不法分子在安卓軟件中暗置手機(jī)后門(mén),其中一些后門(mén)具有攔截手機(jī)短信的功能,盜賊可以借此重置用戶(hù)支付寶或銀行賬號(hào)的支付密碼;山寨客戶(hù)端,不法分子通過(guò)推送山寨客戶(hù)端獲取用戶(hù)信任,從而獲得用戶(hù)的密碼信息,而在支付環(huán)節(jié)直接轉(zhuǎn)移用戶(hù)資金;釣魚(yú)網(wǎng)站,比較多見(jiàn)的釣魚(yú)形式是假冒銀行身份群發(fā)短信,內(nèi)容涉及用戶(hù)銀行賬戶(hù)等私密信息。
但是,客戶(hù)信息泄露并不是無(wú)卡支付風(fēng)險(xiǎn)的唯一起因,相關(guān)支付機(jī)構(gòu)在無(wú)卡交易流程中的安全缺失,亦難辭其咎。
安全驗(yàn)證機(jī)制過(guò)于簡(jiǎn)單是無(wú)卡支付的“軟肋”。一些支付機(jī)構(gòu)在開(kāi)通和交易階段,以向客戶(hù)預(yù)留在商業(yè)銀行的手機(jī)號(hào)發(fā)送動(dòng)態(tài)驗(yàn)證碼的方式,作為主要交易驗(yàn)證手段,驗(yàn)證手段單一。不法分子通過(guò)更改客戶(hù)預(yù)留手機(jī)號(hào)或補(bǔ)辦SIM卡等手段,就可以截取短信驗(yàn)證碼,從而闖過(guò)“安全驗(yàn)證”關(guān)。
網(wǎng)絡(luò)支付賬戶(hù)管理松懈為不法分子打開(kāi)綠燈。一些支付機(jī)構(gòu)對(duì)網(wǎng)絡(luò)賬戶(hù)實(shí)名制落實(shí)力度不足,非實(shí)名支付賬戶(hù)占比較大,并且在無(wú)卡支付業(yè)務(wù)中,對(duì)非實(shí)名賬戶(hù)關(guān)聯(lián)銀行卡未作限制,致使不法分子盜取客戶(hù)銀行卡敏感信息后,即可通過(guò)開(kāi)設(shè)非實(shí)名支付賬戶(hù)進(jìn)行關(guān)聯(lián)銀行卡操作,從而利于無(wú)卡支付渠道竊取客戶(hù)資金。
風(fēng)險(xiǎn)提示不足為無(wú)卡支付預(yù)埋隱患。部分支付機(jī)構(gòu)缺乏對(duì)客戶(hù)的風(fēng)險(xiǎn)教育和權(quán)益保障工作,在客戶(hù)注冊(cè)、關(guān)聯(lián)銀行卡、交易等關(guān)鍵環(huán)節(jié)以及敏感信息保管等方面,未向客戶(hù)充分告知和提醒風(fēng)險(xiǎn),客戶(hù)風(fēng)險(xiǎn)防范意識(shí)薄弱。
亡羊補(bǔ)牢不晚
快捷與風(fēng)險(xiǎn)同行,便利和安全并重。無(wú)卡支付作為支付機(jī)構(gòu)為客戶(hù)提供的一種便捷支付服務(wù),無(wú)論何種原因引發(fā)客戶(hù)糾紛或資金損失,支付機(jī)構(gòu)都很難擺脫責(zé)任。“亡羊而補(bǔ)牢,猶未遲也”,銀行和支付機(jī)構(gòu)要審慎推敲該類(lèi)交易的流程和細(xì)節(jié),查缺補(bǔ)漏,未雨綢繆,不給覬覦之徒留下可乘之機(jī),確保無(wú)卡支付在安全地帶暢通運(yùn)行。
堵住客戶(hù)敏感信息泄露的源頭。支付機(jī)構(gòu)應(yīng)健全信息安全防護(hù)體系建設(shè),通過(guò)提升技術(shù)手段實(shí)現(xiàn)信息傳輸過(guò)程中的安全性、保密性、完整性,確保業(yè)務(wù)運(yùn)作全過(guò)程中,客戶(hù)的銀行卡卡號(hào)、 有效期、驗(yàn)證碼、身份證件號(hào)碼等敏感信息得到安全處理。支付機(jī)構(gòu)不得通過(guò)互聯(lián)網(wǎng)傳送特約商戶(hù)營(yíng)業(yè)執(zhí)照及其他實(shí)名制證件材料,避免發(fā)生信息泄露事件。支付機(jī)構(gòu)要遵守職業(yè)道德,確??蛻?hù)信息僅用于本公司提供的支付服務(wù),切實(shí)保障客戶(hù)信息安全。
完善無(wú)卡支付安全認(rèn)證機(jī)制。支付機(jī)構(gòu)要強(qiáng)化支付安全認(rèn)證管理,使用硬件加密、頁(yè)面加密、 安全控件、數(shù)字證書(shū)等多種技術(shù)手段提高驗(yàn)證安全性,特別是對(duì)于金額大、涉及虛擬物品交易等較高風(fēng)險(xiǎn)業(yè)務(wù)的交易,應(yīng)采取高級(jí)別的安全認(rèn)證制度。
強(qiáng)化支付賬戶(hù)實(shí)名制管理。支付機(jī)構(gòu)應(yīng)嚴(yán)格對(duì)客戶(hù)的真實(shí)性身份核查,落實(shí)支付賬戶(hù)實(shí)名制,與關(guān)聯(lián)銀行卡賬戶(hù)建立實(shí)名校驗(yàn)機(jī)制,通過(guò)限制非實(shí)名支付賬戶(hù)交易功能和交易金額、開(kāi)展存量非實(shí)名賬戶(hù)清理等手段,逐步引導(dǎo)客戶(hù)注冊(cè)實(shí)名賬戶(hù),禁止通過(guò)非實(shí)名支付賬戶(hù)關(guān)聯(lián)銀行卡開(kāi)通無(wú)卡支付業(yè)務(wù),全面落實(shí)支付賬戶(hù)實(shí)名制。
加強(qiáng)無(wú)卡支付交易監(jiān)控。支付機(jī)構(gòu)應(yīng)完善無(wú)卡支付商戶(hù)風(fēng)險(xiǎn)監(jiān)控管理,建立健全網(wǎng)絡(luò)交易監(jiān)測(cè)機(jī)制,加強(qiáng)對(duì)異常、可疑交易的監(jiān)控、分析和預(yù)警,特別是要加強(qiáng)對(duì)二級(jí)商戶(hù)的交易監(jiān)控。支付機(jī)構(gòu)要加強(qiáng)商戶(hù)風(fēng)險(xiǎn)評(píng)估,建立商戶(hù)風(fēng)險(xiǎn)等級(jí)制度,規(guī)范網(wǎng)絡(luò)商戶(hù)上送信息的管理。支付機(jī)構(gòu)要設(shè)置交易控制,根據(jù)不同的業(yè)務(wù)模式、交易認(rèn)證強(qiáng)度、商戶(hù)類(lèi)型設(shè)置交易額度、頻率,并能夠進(jìn)行動(dòng)態(tài)管理和及時(shí)調(diào)整。
創(chuàng)新風(fēng)險(xiǎn)提示方式。對(duì)客戶(hù)注冊(cè)、支付等關(guān)鍵環(huán)節(jié),要以多種方式充分告知客戶(hù)相關(guān)風(fēng)險(xiǎn)點(diǎn)和注意事項(xiàng),定期或不定期通過(guò)電子郵件、手機(jī)短信等方式,向客戶(hù)主動(dòng)推送近期發(fā)生的典型風(fēng)險(xiǎn)案件,提醒客戶(hù)加強(qiáng)防范。
廣州寶屹商貿(mào):http://www.POSjipay.com/