我國移動支付風險分析及防范建議

作者單位：昆侖銀行總行渠道運營部

近年來移動互聯網技術快速興起，中國互聯網接入方式呈現全新的局面。據調查數據顯示，2012年通過手機接入互聯網的網民數量達到3.88億，首次超越臺式電腦成為我國網民的第一大上網終端，2013年手機網民規模更上升至5億，占所有網民的81%（數據來自中國互聯網絡信息中心統計報告）。面對這種變化，商業銀行和第三方支付等互聯網企業相繼啟動移動支付、移動銀行戰略，開始移動金融的跑馬圈地運動，移動金融服務成為各方競相角逐的藍海。

在移動金融服務為客戶帶來便利，為銀行、第三方支付機構等企業提供新的業務增長點的同時，也帶來了安全隱患。信息竊取、移動終端病毒、短信詐騙等各類針對移動支付領域的案件層出不窮，直接威脅客戶的移動支付安全。

目前已經出現的移動支付類風險案件大致可分為三類，如下表所示。

“補卡攻擊”類案件是近年出現的一種新型犯罪手法。為了給客戶提供便捷的移動支付服務，多家銀行和第三方支付機構都采用發送手機短信驗證碼作為資金交易的身份識別方式，而我國電信運營商在為客戶發放或補發手機號碼時的身份審核管理參差不齊，業務操作缺乏規范性，很多營業廳的工作人員也未意識到手機號碼與客戶銀行資金的密切關系，因此短信驗證方式的風險控制出現了薄弱點，未形成一個堅固的閉環。不法分子也就利用了這一缺陷，通過使用假的身份證件或冒充客戶本人，在通訊營業廳補辦客戶的手機卡，之后通過猜測密碼、重置密碼、轉移綁定手機等方式，盜劃客戶資金。

釣魚Wi-Fi是犯罪分子在有無線熱點的公共場所，如咖啡館、快餐店等搭建經過改造的釣魚無線路由器，設置與公共場所真正Wi-Fi名稱相似的假Wi-Fi，并且不設密碼，可以輕松接入。一旦客戶接入釣魚網絡，只要通過用戶名和密碼訪問網站，黑客便可竊取其隱私信息，導致客戶資金損失。

移動終端惡意程序攻擊也是近幾年較為常見的犯案方式，惡意程序通常有兩種形式，一種是篡改官方客戶端應用，植入惡意代碼。另一種是仿冒正常應用的圖標及名稱。犯罪分子在制作出這些惡意程序后，往往會編織一個詐騙陷阱，如冒充購物賣家或銀行系統升級等，通過短信、微博、微信等渠道發送假鏈接，當客戶受騙點擊鏈接或下載惡意應用后，移動設備便被病毒感染?？蛻舻馁~號、密碼等私密信息也就直接泄露給黑客。為了能騙取更多的信息，犯罪分子的詐騙方式也不斷“升級”，2013年又出現了惡意二維碼和偽基站等新型詐騙，讓客戶防不勝防。

面對越來越多的風險案件，我們不能坐以待斃，應該時刻提高警惕，防范這類案件的發生。

1.作為銀行的角度應該合理配置移動渠道的身份認證方式及資金交易限額，對于大額交易應盡量采用與移動設備相互獨立的第二通道身份驗證方式，這樣即使客戶的手機丟失或號碼被盜也能最大限度的降低客戶的損失。商業銀行還應建設交易監測系統或機制，并與網絡安全公司合作主動監測和屏蔽釣魚網站。同時銀行還應定期開展業務系統的安全評估，提早發現系統漏洞和隱患，及時彌補。最后，商業銀行應加強客戶教育，提升客戶的風險防范意識和能力。

2.作為電信運營商的角度，應提高對客戶手機號安全作用的認識，短信認證方式是建立在客戶手機號與身份相綁定的基礎上，離開了這個前提，短信認證也就失去了其基本的安全性。所以運營商應與金融及支付機構通力合作，確?？蛻舻闹Ц栋踩?。

3.作為客戶的角度，首先應該提升自身的風險防范意識。如發現自己的手機卡突然不能用，無手機信號，或提示卡無效，應第一時間聯系運營商、銀行等機構，凍結相關賬號。然后再去找回自己的手機號，如果確認遭遇補卡攻擊，還應主動報警。

在公共場所上網時，應拒絕來路不明的Wi-Fi，盡量選擇三大運營商和商家提供的熱點。

移動設備中安裝安全防護軟件，不要輕信陌生人發來的鏈接，不要隨便安裝應用程序。下載銀行或支付機構的應用時，應通過官網或選擇大型正規的應用商店。下載應用前仔細看清該應用的圖標、名稱和開發商等信息，并盡可能閱讀一些其他網友的相關評論，一旦發現可疑跡象，應立即停止下載。如收到銀行系統升級、交易介質更換等信息，又無法判斷其真偽時，應直接撥打銀行或支付機構的官方客服電話聯系工作人員進行咨詢，不要點擊信息中的網址。即使接到銀行官方號碼發送的信息，如對內容存在疑慮，也一定不要直接撥打短信中留下的聯系電話，而是要通過銀行官方客服進行咨詢。

這里有更多征文：“指尖金融，創e無限 e時代移動金融征文"匯總

更多詳情介紹請點擊活動專題。