科技 > 互聯(lián)網(wǎng) > 正文
字號(hào):大 中 小
網(wǎng)上盜刷事件頻發(fā),風(fēng)險(xiǎn)肇始于“快捷支付”?
- 發(fā)布時(shí)間:2016-04-27 08:16:51 來(lái)源:大河網(wǎng) 責(zé)任編輯:張潔欣
剛過(guò)去的一段時(shí)間里,銀行卡被網(wǎng)上盜刷的各種新聞屢屢見(jiàn)諸報(bào)端
在正文開(kāi)始前,先普及下“網(wǎng)上盜刷”的基本知識(shí):
除電話詐騙外,目前銀行卡主要通過(guò)技術(shù)手段的盜刷犯罪手段主要分為線上和線下兩種。線下盜刷從復(fù)制磁條盜竊密碼到改造POS復(fù)制付款令牌等等不一而足,隨著金融IC卡的逐漸普及以及降級(jí)交易的逐漸關(guān)閉,此類風(fēng)險(xiǎn)事件的發(fā)生概率在逐漸減少;而網(wǎng)上盜刷這個(gè)新的犯罪手法,則在短短的五六年內(nèi)急速發(fā)展。由于網(wǎng)上盜刷具有批量化、無(wú)需接觸受害者實(shí)體介質(zhì)等特點(diǎn),總量已反超線下盜刷。
而在很多報(bào)道中,以分析技術(shù)問(wèn)題為主要內(nèi)容,以痛斥銀行不給賠付最終第三方支付解決問(wèn)題以及電信運(yùn)營(yíng)商管理不力導(dǎo)致驗(yàn)證碼泄露結(jié)尾,卻只字不提網(wǎng)上盜刷的渠道所存在的問(wèn)題,仿佛“它”就應(yīng)該擺在那里不做改變一樣。然而要想解決網(wǎng)上盜刷問(wèn)題,渠道絕不應(yīng)該是被忽視的地方。
快捷支付的前世今生
前面提到的網(wǎng)上盜刷的渠道,大部分都是通過(guò)一個(gè)名為“快捷支付”的業(yè)務(wù)進(jìn)行的。而這個(gè)業(yè)務(wù)本質(zhì)上是第三方支付所提供,由支付寶首創(chuàng),在發(fā)展一定時(shí)間后各家第三方支付開(kāi)始跟進(jìn)。
支付寶在當(dāng)時(shí)發(fā)展快捷支付是有其客觀需求的。在淘寶發(fā)展的早期,網(wǎng)上支付量快速增長(zhǎng),特別是“雙11”這類人造購(gòu)物節(jié)日更是集中了很長(zhǎng)一段時(shí)間的流量在一天內(nèi)爆發(fā)。而大部分銀行的網(wǎng)關(guān)支付相關(guān)建設(shè)并沒(méi)有為這種爆發(fā)性的交易需求做好準(zhǔn)備,導(dǎo)致實(shí)際支付成功率與支付寶所期望的有一定差距。
因此,支付寶便要求銀行為其提供類似于代扣水電費(fèi)保費(fèi)之類的代扣功能,繞開(kāi)了銀行本身的網(wǎng)關(guān)支付,減少了雙方核心系統(tǒng)之間的通訊環(huán)節(jié),提高了支付寶實(shí)際付款的成功率。鑒權(quán)/核身+代扣,這就是快捷支付的早期形態(tài)。
在那個(gè)時(shí)候,從銀行角度看快捷支付并不是一個(gè)太大的問(wèn)題。在收益方面有支付寶沉淀的存款和個(gè)人客戶新開(kāi)卡,還可以降低網(wǎng)關(guān)支付的壓力;在風(fēng)險(xiǎn)方面支付寶當(dāng)時(shí)已經(jīng)發(fā)展到一定規(guī)模因此卷款跑路的可能性很小,如果出現(xiàn)小范圍風(fēng)險(xiǎn)問(wèn)題也可以將接口關(guān)閉,完美。至于互聯(lián)網(wǎng)金融,那是什么?
2011年4月,支付寶的快捷支付正式推出,風(fēng)險(xiǎn)問(wèn)題也隨之而來(lái)。同年8月銀監(jiān)會(huì)下發(fā)《關(guān)于加強(qiáng)電子銀行信息管理工作的通知》,要求快捷支付類產(chǎn)品首筆業(yè)務(wù)前必須經(jīng)由銀行方進(jìn)行身份驗(yàn)證。而快捷支付實(shí)際上只是由第三方支付向銀行發(fā)送客戶在銀行所預(yù)留相關(guān)信息和手機(jī)號(hào)碼來(lái)核對(duì)客戶身份進(jìn)行開(kāi)通,并不是由銀行在其自身的物理或電子渠道進(jìn)行客戶身份驗(yàn)證,自然更談不上確認(rèn)客戶自行開(kāi)通的意愿。銀行據(jù)此向支付寶提出修改意見(jiàn),但有傳言稱支付寶以影響客戶體驗(yàn)為由拒絕了,這也是之后2014年工行支付寶之爭(zhēng)中工行方指責(zé)支付寶“快捷支付違法”、“拒不改正”的原因。
在現(xiàn)在看來(lái),銀監(jiān)會(huì)在2011年所下發(fā)的管理文件從風(fēng)控角度講其實(shí)已經(jīng)看到了快捷支付的風(fēng)險(xiǎn)點(diǎn)所在,在執(zhí)行方面卻出現(xiàn)了問(wèn)題。在之后的幾年中,各類隱私泄露日趨嚴(yán)重,通過(guò)快捷支付渠道的網(wǎng)上盜刷案件急速增加,而包括支付寶在內(nèi)的第三方支付早已經(jīng)發(fā)展到一個(gè)很大的規(guī)模,快捷支付為很多客戶所接受,接口已經(jīng)不能隨意關(guān)閉,如不尋找其他方式進(jìn)一步收緊限制,銀行原本的風(fēng)控設(shè)計(jì)將淪為空談。
2014年3月前后,四大行分別下調(diào)包括支付寶在內(nèi)的所有第三方支付快捷支付渠道限額,以此來(lái)降低被盜客戶在盜刷案件中的損失金額。但四大行安全程度較高的網(wǎng)關(guān)支付限額并未同步調(diào)整,因此在部分業(yè)內(nèi)人士看來(lái),此舉應(yīng)是監(jiān)管層非公開(kāi)指導(dǎo)下的風(fēng)險(xiǎn)防控行為。
然而當(dāng)時(shí)恰逢余額寶發(fā)布不足一年,銀行間市場(chǎng)資金荒仍未退去,高企的貨幣基金利率所引發(fā)的投資狂熱使得余額寶在某個(gè)層面上成為了支付寶的護(hù)身符,“誰(shuí)敢動(dòng)支付寶就是要?jiǎng)佑囝~寶,而誰(shuí)敢動(dòng)余額寶就是與人民為敵”儼然成了那個(gè)時(shí)間段網(wǎng)絡(luò)上的政治正確,四大行的限額調(diào)整自然被罵的狗血淋頭,即使再三強(qiáng)調(diào)通過(guò)網(wǎng)關(guān)支付仍可投資余額寶也收效甚微。
最終,事情以支付寶指責(zé)工行“知法犯法”后將備付金存管賬戶轉(zhuǎn)至建行,四大行逐步將原來(lái)由各省分行分頭接入的各家第三方支付快捷支付接口統(tǒng)一上收至總行管理,監(jiān)管當(dāng)局再次發(fā)文強(qiáng)調(diào)對(duì)銀行和第三方支付公司的合作要加強(qiáng)管理而結(jié)束。至于四大行到底是為了風(fēng)險(xiǎn)控制還是如阿里所指責(zé)的那樣為了限制余額寶發(fā)展,已成為一場(chǎng)羅生門(mén)。
防彈衣的缺口
事實(shí)上,快捷支付被銀行詬病已久,從開(kāi)通到每次支付,都與銀行傳統(tǒng)的風(fēng)控理念相去甚遠(yuǎn)。目前快捷支付的開(kāi)通方式是由第三方支付向銀行發(fā)送客戶輸入的銀行所預(yù)留相關(guān)信息和手機(jī)號(hào)碼來(lái)核對(duì)客戶身份進(jìn)行開(kāi)通,并不驗(yàn)證銀行卡密碼。但從銀行角度來(lái)看,個(gè)人客戶資金的安全措施最重要的是密碼以及本人現(xiàn)場(chǎng)驗(yàn)證,其他信息和方式都僅僅是輔助。而快捷支付所驗(yàn)證的身份資料、預(yù)留手機(jī)號(hào)等都不是銀行眼中的關(guān)鍵性安全因素,在實(shí)際上打破了銀行原有的支付安全體系。即使銀行后來(lái)為競(jìng)爭(zhēng)而推出了類快捷支付產(chǎn)品,但開(kāi)通驗(yàn)證內(nèi)容中必須有卡密碼,這也從一個(gè)側(cè)面驗(yàn)證了銀行和第三方支付對(duì)關(guān)鍵性安全因素的認(rèn)識(shí)差異。
2015年底,馬云對(duì)傳統(tǒng)金融和互聯(lián)網(wǎng)企業(yè)的風(fēng)控區(qū)別是這么評(píng)價(jià)的:“傳統(tǒng)金融可能做的風(fēng)險(xiǎn)是把防彈衣做得越來(lái)越厚,越來(lái)越好,而我們的創(chuàng)新是讓殺手根本不可能靠攏你?!睆倪@個(gè)角度看,快捷支付實(shí)質(zhì)上是第三方支付在銀行以密碼為安全核心的“防彈衣”上破壞出的一個(gè)缺口,雖然有安全措施,但“殺手”只要被漏過(guò)來(lái),資金被盜就是必然的結(jié)局。因此,目前通過(guò)快捷支付被盜的資金由第三方支付而不是銀行進(jìn)行賠付也是有其道理所在,并不是像某些媒體所說(shuō)銀行店大欺客只有第三方支付才為客戶考慮之類。
隱私的泄露與黑色產(chǎn)業(yè)鏈
如果僅僅是防彈衣上存在缺口但無(wú)人利用,并不會(huì)有目前如此猖獗的盜刷行為。然而目前個(gè)人隱私泄露的情況可以說(shuō)是觸目驚心,快捷支付與銀行方核對(duì)的客戶相關(guān)信息早已經(jīng)不能作為識(shí)別客戶身份的完善依據(jù),更不足以成為防范風(fēng)險(xiǎn)的屏障。
4月10日,中央電視臺(tái)新聞三十分節(jié)目中播出了銀行卡盜刷的來(lái)龍去脈。大概內(nèi)容說(shuō)的是犯罪分子通過(guò)偽基站發(fā)送釣魚(yú)短信、架設(shè)免費(fèi)WIFI、改裝POS等方式盜取個(gè)人信息、短信驗(yàn)證碼和銀行卡信息,再通過(guò)復(fù)雜的黑色產(chǎn)業(yè)鏈最終將資金竊取。
事實(shí)上,包括你我在內(nèi)的絕大多數(shù)普通人的隱私早已經(jīng)在某一群人手中流傳。任何一個(gè)存儲(chǔ)海量個(gè)人信息的網(wǎng)站被“拖庫(kù)”或被內(nèi)部人賣出后,這群人的饕餮盛宴便隨之開(kāi)始,而依靠這些個(gè)人信息和密碼來(lái)進(jìn)行客戶身份驗(yàn)證的網(wǎng)站自然成為下一輪攻陷的目標(biāo),最終他們的數(shù)據(jù)庫(kù)將會(huì)成為比你我更了解自己的存在。例如某些人仍在津津樂(lè)道的“社工庫(kù)”,暴露在大眾面前的不過(guò)是冰山一角,多個(gè)不同渠道拿到的數(shù)據(jù)庫(kù)根據(jù)身份證和手機(jī)號(hào)等關(guān)鍵鍵值就可以將信息匹配在一起,對(duì)每個(gè)人的隱私信息都有了完美的畫(huà)像,在黑色產(chǎn)業(yè)鏈中形成了另外一個(gè)意義上的“千人千面”。
除了非法手段之外,很多企業(yè)對(duì)客戶的隱私的漠視也是隱私泄露的重要原因。比如目前移動(dòng)要求客戶更換4G卡時(shí)將客戶常去的地址提供給電話營(yíng)銷人員、之前爆出的螞蟻花唄催收通過(guò)聯(lián)系關(guān)系人來(lái)提醒借款人進(jìn)行還款的方式等,都是將客戶隱私交給組織內(nèi)權(quán)限較低的人員甚至外包人員,大大增加了泄漏的可能和日后追責(zé)的難度。
至此,快捷支付與銀行所核對(duì)的信息已經(jīng)失去了驗(yàn)證客戶本人身份和意愿的能力,只有手機(jī)驗(yàn)證碼在苦苦抵擋。
躺著也中槍的電信運(yùn)營(yíng)商
“如果我決定用支付寶做我家大門(mén)的門(mén)鎖,被盜了之后可以指責(zé)它嘛?”這是筆者一個(gè)在移動(dòng)工作的朋友所講的笑話。雖然聽(tīng)起來(lái)是無(wú)稽之談,但這卻正是電信運(yùn)營(yíng)商在網(wǎng)上盜刷案件中所面臨的窘境。
短信驗(yàn)證碼是快捷支付核對(duì)用戶身份的重要環(huán)節(jié)。然而手機(jī)通訊技術(shù)經(jīng)過(guò)了多年的發(fā)展,從模擬信號(hào)到GSM,再到現(xiàn)在的4G LTE以至未來(lái)的5G,技術(shù)一直在不斷的進(jìn)步,網(wǎng)速越來(lái)越快,通話質(zhì)量越來(lái)越好。但各代技術(shù)卻有一個(gè)共同點(diǎn):手機(jī)號(hào)碼及短信不作為重要安保措施。即使體量大如移動(dòng),也一直是在NFC這條路上前行。
這其實(shí)是很正常的思路。對(duì)電信運(yùn)營(yíng)商來(lái)說(shuō),主營(yíng)的電信業(yè)務(wù)實(shí)際上所涉及的客戶資金只有話費(fèi),而話費(fèi)提現(xiàn)要經(jīng)過(guò)很復(fù)雜的流程且金額并不大,因此沒(méi)有多少對(duì)卡及手機(jī)號(hào)安全方面保護(hù)的想法,若不是國(guó)家要求恐怕連實(shí)名制的想法也沒(méi)有。畢竟即使卡丟失或補(bǔ)辦,對(duì)電信運(yùn)營(yíng)商及其客戶也不會(huì)有什么直接性的損失。直到有一天,他們被綁架到了快捷支付的戰(zhàn)車上,才發(fā)現(xiàn)自己雖沒(méi)有從中獲得多少利益,卻已被千夫所指。
目前,除了常見(jiàn)的偽基站偽造號(hào)碼以及批量發(fā)送釣魚(yú)短信之外,電信運(yùn)營(yíng)商所提供的一些服務(wù)也成為犯罪分子利用的工具。比如之前的短信保管箱保存短信驗(yàn)證碼、最近爆出的通過(guò)郵箱發(fā)送詐騙短信等等。而虛擬運(yùn)營(yíng)商的170號(hào)段更是成為了釣魚(yú)短信發(fā)送的重災(zāi)區(qū)。這些問(wèn)題都在實(shí)際上將快捷支付所撕開(kāi)的缺口越扯越大。然而換個(gè)角度看,第三方支付這種“沒(méi)打招呼就從隔壁鄰居家拿根油條當(dāng)門(mén)栓”的方式又有什么立場(chǎng)來(lái)指責(zé)“油條”不夠堅(jiān)固呢?
監(jiān)管與未來(lái)發(fā)展
前面的分析里,銀行、第三方支付公司、電信運(yùn)營(yíng)商看起來(lái)各自有各自的原因和委屈,然而即使誰(shuí)都沒(méi)錯(cuò),用戶的錢被盜了也是事實(shí)。因此整個(gè)鏈條上的企業(yè)都應(yīng)該主動(dòng)承擔(dān)更多的社會(huì)責(zé)任,畢竟資金的風(fēng)險(xiǎn)問(wèn)題還是遵循著木桶理論的。目前,銀行及電信運(yùn)營(yíng)商已在電話號(hào)碼用戶識(shí)別、換卡二次驗(yàn)證、偽基站自動(dòng)排查、釣魚(yú)網(wǎng)站攔截等方面做了大量的工作,但對(duì)于快速擴(kuò)散的網(wǎng)上盜刷案件來(lái)說(shuō),仍有很長(zhǎng)的路要走。
同時(shí),監(jiān)管方面并沒(méi)有選擇繼續(xù)等待。
2015年12月底,央行出爐了《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》。在這個(gè)文件中,央行強(qiáng)調(diào)了銀行是客戶資金安全的管理責(zé)任主體,應(yīng)在首筆交易時(shí)自主識(shí)別客戶身份并與客戶直接簽訂授權(quán)協(xié)議,承諾無(wú)條件全額承擔(dān)此類交易的風(fēng)險(xiǎn)損失先行賠付責(zé)任,這其實(shí)是對(duì)銀行提出了對(duì)快捷支付特別是開(kāi)通方面的管理要求,與11年銀監(jiān)會(huì)的文件在本質(zhì)上一脈相承。
另外,《辦法》中也規(guī)定了支付機(jī)構(gòu)對(duì)不能有效證明因客戶原因?qū)е碌馁Y金損失及時(shí)先行全額賠付,并對(duì)支付機(jī)構(gòu)進(jìn)行了風(fēng)險(xiǎn)分類,風(fēng)控能力較弱的第三方支付每筆200元以上非定期的快捷支付都必須由銀行方進(jìn)行驗(yàn)證,風(fēng)控能力較好的第三方支付可以與銀行通過(guò)協(xié)議自主約定由支付機(jī)構(gòu)代替進(jìn)行交易驗(yàn)證,但必須將支付相關(guān)信息告知銀行。
2016年4月,《非銀行支付機(jī)構(gòu)分類評(píng)級(jí)管理辦法》正式出臺(tái)。結(jié)合前面提到的《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》來(lái)看,一些技術(shù)能力不足,業(yè)務(wù)水平有限,風(fēng)控能力較差的中小型第三方支付公司將逐漸弱化,直至退出舞臺(tái);而技術(shù)能力較強(qiáng)、業(yè)務(wù)水平較高、風(fēng)控能力較強(qiáng)的大型第三方公司將獲得優(yōu)待。
同月,中央十四部委聯(lián)合印發(fā)了《非銀行支付機(jī)構(gòu)風(fēng)險(xiǎn)專項(xiàng)整治工作實(shí)施方案》,第三方支付包括快捷支付在內(nèi)的直連銀行模式可能將在一段時(shí)間后走到終點(diǎn),取而代之的可能是一個(gè)新的網(wǎng)絡(luò)支付結(jié)算平臺(tái)。
當(dāng)這些監(jiān)管文件落實(shí)到位的時(shí)候,我們可能需要告別原有模式的快捷支付;而迎接我們的,則是一個(gè)依然便捷但更加安全的未來(lái)。
股票行情
- 股票名稱 最新價(jià) 漲跌幅
- 祥龍電業(yè) 6.77 10.08%
- 安彩高科 10.18 10.05%
- 傲農(nóng)生物 19.98 10.02%
- 振華股份 15.92 10.02%
- 東軟集團(tuán) 15.94 10.01%
- 世運(yùn)電路 18.15 10.00%
- 天鵝股份 23.65 10.00%
- 七一二 43.81 9.99%
- 愛(ài)嬰室 31.60 9.99%
- 西部黃金 21.48 9.98%
- 外媒:滴滴考慮2017年在美國(guó)上市
- 千家第三方支付企業(yè)被指無(wú)照經(jīng)營(yíng)
- 人人游戲私有化亂象:138名離職員工的期權(quán)去了哪
- 首例電競(jìng)直播侵權(quán)案終審宣判:斗魚(yú)被判賠110萬(wàn)元
- 人民日?qǐng)?bào)談小米平衡車傷人:標(biāo)準(zhǔn)缺乏產(chǎn)業(yè)野蠻生長(zhǎng)
- 國(guó)際反假聯(lián)盟暫停阿里會(huì)員資格 加入一月即被除名
- 微信支付高層地震 騰訊金融戰(zhàn)略層面領(lǐng)跑者缺位
- 慘被拋棄:諾基亞功能機(jī)業(yè)務(wù)被微軟關(guān)閉
- 蘋(píng)果投資滴滴背后的秘密 原來(lái)10億美元要這么花
- 中概股私有化大潮背后:PE散戶化 VC產(chǎn)業(yè)化