支付宝快捷支付 "快"就不安全了吗?

被刻印的时光 ゝ 提交于 2019-12-04 12:59:32

工行关闭四个快捷支付接口

之前四大行下调支付宝快捷支付额度,另外四大行均回应称,设置转账及交易支付限额的出发点和落脚点都是为了客户资金安全。后来有人透露工行正 在逐步关闭第三方快捷支付业务,目前工行快捷支付的签约服务除了浙江分行外,其他分行都已经关闭。有工行持卡人表示,其在绑定工行卡快捷支付时,系统提示 “快捷支付签约失败,具体原因请联系中国工商银行客服95588”。有消息人士确认了工行逐步关闭快捷支付业务的消息,工行已于3月23日起逐步关闭快捷 支付业务。

工行关闭快捷支付接口

从3月24日开始,部分地区工行新增快捷支付用户,小面积出现了用户签约不成功现象。支付宝将这一后果归因于工行关闭快捷支付接口之举。但银行并不 认同支付宝的说法。25日,一位接近工商银行的权威人士透露,“一个接口,正常使用是没有问题的。问题是支付宝已经不配合工行了。”

所谓的“接口”,即是从24日开始,工行已逐步关闭支付宝在工行体系的快捷支付接口数量—目前全行拥有快捷支付业务接口的分行数量从5家减少到1家。

统一接口为防范风险

3月25日,工行宣布,关闭支付宝在杭州分行之外的快捷支付接口,这一举动被市场广泛关注。

“统一接口为了加强对支付机构合作的统一管理,其中统一接口就是重要措施之一,应该说这是防范风险的需要。”工行副行长张红力称。目前,支付机构与 工行很多分行分别合作开通业务接口的模式,在业务管理水平、风控能力受制于分行水平,系统建设和维护水平参差不齐。这次工行总行把接口归并后,专门组织一 个团队进行维护,集中资源,更有利于控制风险。

02|支付宝:快捷支付盗损率控制在十万分之一以下

快捷支付到底是否安全,除了在现有监管条例下快捷支付是否合规以外,这实际上是近段时间四大行限制支付宝快捷支付额度、工行缩减快捷支付接口的关键问题。

在支付宝此前的一次内部分享会上,一名负责支付安全的人士云长(化名)明确指出,支付宝所有支付交易的整体盗损率一直控制在十万分之一以内。2013年度第一、第二季度,发生盗损的交易总笔数为700余笔,总金额为78万人民币。

工行与支付宝打起口水战

对于这一数字,某股份制银行电子银行部负责人向记者表示,该比例本身是非常低的,如果支付宝真的可以把整体支付盗损率控制在这一比例,那么安全性较网上银行支付有过之而无不及。

但是该人士进一步指出,从该行通过支付宝进行的快捷支付交易盗损情况来看,支付宝方面提供的数字差距较大,但该人士拒绝进一步透露具体数字情况。

前述股份行电子银行部负责人告诉记者,网上支付目前主要包括带有物理介质的网银支付、直接网银支付和快捷支付,无论是从技术分析上,还是实际监控得到的盗损数据来看,风险是依次增加的。

该人士解释,带有物理介质的网银支付目前被盗概率微乎其微,从实际监测数据上几乎不存在被盗情况。而快捷支付由于不需要输入银行的取款密码或查询密码,不需要跳转到网银界面进行证书验证,风险必然高于普通的网银支付。

该人士还否认了包括该行在内的部分银行调低支付宝快捷支付额度是为了限制余额宝发展的说法。他向记者举例,以微信支付的财付通为例,同样是网络货币 基金理财产品,由于该产品的资金只能在用户理财账户和银行账户之间流动,风险较小,所以银行不仅没有调低购买财付通的支付限额,反而持续增加;而由于余额 宝账户内的资金可以轻易地流入其他支付宝账户或银行账户,所以才会专门针对支付宝快捷支付有所限制。

但支付宝方面对此并不认同。支付宝方面表示,目前支付宝账户采用了CTO安全防控体系,通过多种措施识别用户是否可靠,包括数字证书、手机保令,以 及密码控件识别等,从而辨认是否本人在进行操作。过程中会采集用户的IP地址段、机器的识别号等信息,使用六套模型、一千多套规则,在100毫秒之内做出 响应和判断。

用户更关心的是,对于出现安全问题之后的赔付,支付宝方面宣称的“用就赔”究竟规则如何?根据支付宝的官方规定,当盗损金额在2000元以下,支付 宝会提供小额急速补偿,即不需要用户提供任何司法机关出示的证明便可以联系客服申请赔付;若盗损金额在这一标准之上,则需要用户提供公安机关案件受理的司 法凭证。

支付宝方面对此表示,由于已经为每一个使用支付宝账户的用户购买了由平安保险提供的账户安全险,因此支付宝一直秉承着“能赔就赔”的原则。只要通过上网记录、支付宝后台交互记录等信息可以证明不是用户本人亲自输入了用户名和密码完成支付,支付宝都会尽量给出赔偿。

03|专家:快捷支付并非不安全

据了解,快捷支付从2009年就产生,支付宝平台上,快捷支付的前身是支付宝卡通。目前,包括腾讯、京东、苏宁等所有的电商平台基本上都对接了银行快捷支付的接口,在整个电商购物支付当中占比超过60%。

据金山网络安全专家李铁军介绍,实际上在支付的过程当中,快捷支付的安全性是非常可靠的。几年下来,因快捷支付出现的安全事件并不多。

实际上,容易引起移动支付不安全的往往是用户手机丢了,或者手机中病毒后点击了不该点的链接。因为,手机丢失后,由于短信、邮件、微信等应用里面存有用户的名字、身份证号、银行卡等关键信息,这些很容易被利用,然后犯罪分子,就很容易破解。而用户中了病毒后,木马会在后台窃取相关数据,进行经济犯罪。

李铁军建议,对于这些容易存储隐私的应用,需要单独进行加密,以保证安全。那些涉及金钱交易的APP,用完之后也要退出登录。用户在下载、浏览过程 中,注意自己所处的移动环境,不要轻易点非正常网站的链接。最重要的是给手机卡设置一个PIN码,犯罪分子把手机卡换到别的手机上时,也需要输入PIN码 才能打开手机卡,才有机会利用找回密码的功能来更改支付宝的登录与支付密码等。

快捷支付并非不安全

如果用户对这些支付环境都有较强的风险防范意识以及安全意识,基本上不太会有太大的支付问题。而且实际上,一旦出现移动支付不安全的情况,也是需要运营商、第三方支付、银行之间进行更紧密的配合,才可以避免或减少损失。

“安全界往往是魔高一尺,道高一丈,是一种在动态中寻找安全的解决方案。”李铁军认为,不能因为小小的不安全,而在代表未来趋势的移动支付上因噎废食。

04|快捷支付和网银相比,哪个更安全?

支付宝和网银安全对比

支付宝的安全主要依靠数字证书、支付盾(价格58元)、宝令(价格33元,已停止销售)、手机宝令。银行网银有些特殊,不同银行的网银使用不同的安全策略,但原理基本差不多,主要是USBKey和动态密码锁。

从原理上看,USBKey相当于支付盾,动态密码锁相当于宝令,其安全性基本相当。数字证书相当于将USBKey里的私钥存储在电脑上,安全性不如USBKey,但使用起来更方便一些。

黑客对于USBKey的攻击大多使用木马病毒程序控制并攻击USBKey的驱动层,USBKey这种安全策略也并非万无一失,提高安全的方法是改造 USBKey本身,我见过的一种比较好的改造方法是工行的USBKey,其在USBKey上增加了一个显示屏和确认按钮,交易的时候会显示金额在 USBKey上,用户点USBKey的确认按钮后才能完成交易,这让基于电脑的木马病毒难以对交易进行篡改和攻击。

值得一提的是,不同银行的网银安全性也不一样,有的银行网银具有较高的安全性,但有的银行网银会有一些非常低级的漏洞,媒体上也经常会有网银账户被盗的新闻报道,因此用户应该将资金放在安全性较好的银行里。

网银支付也有风险

而对于支付宝的攻击,大多是通过手机端,未绑定支付盾的支付宝,绝大多数安全验证依赖支付宝绑定的手机,黑客可以通过移动运营商的漏洞来掌控用户的 手机,以此攻击支付宝账户,例如,如果黑客通过一定途径获得了某用户的身份证号码和手机号码,使用伪造的身份证就可以通过某些移动运营商成功申请到该手机 的SIM卡,通过这个SIM卡和身份证号即可重置支付宝密码,还可以申请数字证书,好在支付宝的支付密码需要通过“安全保护问题+电子邮箱”的方式才能重 置,从一定程度上缓解这种威胁。对于支付宝里存有大量金额的用户来说,还是启用支付盾更为安全。

快捷支付安全吗?

由上述分析可见,开通了支付盾的支付宝,其安全性并不必网银差,那么,支付宝的快捷支付是否也一样安全呢?

快捷支付是一种方便、快速的支付方式。客户可通过将个人第三方支付账户关联自己的储蓄卡或者信用卡, 每次付款时只需输入第三方支付账户的支付密码和手机校验码即可完成付款,从而绕开了银行支付网络,只要绑定了银行卡,用户无需银行卡密码就可以通过支付宝 从银行卡里转账。我早先曾经在一篇文章中讨论过快捷支付的安全问题,总的来说,快捷支付的安全关键在于手机,要保证手机绝对安全,特别是保证短信安全,那 才能保证快捷支付的安全。

对于快捷支付的攻击方法就更多了,如果用户开通了小额支付免输密码,黑客只需安装先前介绍的伪造身份证SIM开的方法即可直接支付小额付款。不过要盗取大量资金,还需要用户的支付密码方可,这里黑客就采用各种方法攻击用户的支付密码即可。

通常的攻击方法除了在电脑端的木马和钓鱼网站之外,还有通过手机APP应用的攻击方法,黑客可以先将具有盗号功能的恶意应用发布到各个应用商店或论 坛里,如果用户使用Android手机下载并安装这类恶意应用(例如假冒的游戏应用),那么恶意应用就在后台拦截用户短信通讯,然后再伪装一笔转账,通过 截获用户短信来完成交易,或者通过后台将用户引导到钓鱼网站来截获支付密码,这样就完全避规了银行的USBKEY等令牌系统,从而盗取用户资金。

为了应对这种情况,支付宝还推出了一个手机宝令这样的动态令牌来加强手机支付的安全性,用户启用手机宝令后,即可看到一个每分钟都变化的一次性密码 的“动态令牌”,在原有的短信基础不变上,增加上这个动态令牌,这样,恶意应用即使拦截了用户短信和一次性密码也没用,因为无法计算出下次支付所需要的动 态密码,所以会使得窃取用户资金会失败。

动态令牌这个方案解决了黑客通过恶意应用盗取用户银行卡资金的威胁,但如果用户手机被偷的话,别人就可以在手机上看到这个“动态令牌”,因此更为理 想的方案是,快捷支付再绑定一个动态令牌硬件(非手机动态令牌应用),例如已经停售的宝令,动态令牌可以挂在钥匙链上,这样即使手机丢了,没有动态令牌也 无法转账,动态令牌丢了,没有支付宝密码也一样无法转账。这样的方案就能够大幅提高快捷支付的安全性,并且技术上也很容易实现,无需驱动,这样用户就不用 害怕自己的手机被盗而引起的资金财务风险了。

总而言之,用户如果能保证自己的手机和短信的绝对安全,快捷支付就是安全的,否则就是不安全的。

如何保证支付安全?

如果用户的资金被盗,银行或支付宝是否会赔付呢?对于银行来说,如果黑客通过密码的方式窃取用户资金,通常银行不会给用户赔付。对于支付宝来说,赔 付条件也基本类似,如果是由于用户的原因(例如主动告知他人、被诈骗、被钓鱼等)导致支付宝账户密码、支付宝账户登录及支付密码、校验码泄露的不予赔付。 因此,用户为了自己账户内资金的安全,必须要养成良好的安全上网习惯。

常见的安全措施包括:

1、设置安全的支付密码,不要和登录密码相同。

2、不要用手机号做为支付宝的登录帐号,支付宝密码和邮箱密码不要相同,确保邮箱帐号的安全性。

3、开通手机宝令。

4、使用未越狱的iPhone手机,安装iOS 7.1,开启锁屏密码或指纹解锁,开启“查找我的iPhone”,使用安全的Apple密码。(未越狱的iPhone一劳永逸地解决了短信安全问题,因为 应用根本没有相关权限,有了锁屏密码或指纹解锁,手机被盗后也无法打开,甚至刷机后也无法打开。)

5、Android手机不要ROOT,不要在第三方网站安装应用,只从Google Play等官方商店安装应用,需要注意的是,未ROOT的Android手机也给APP开放了短信接口,因此对于具有短信权限的应用应该格外小心。

6、手机开通锁屏密码,如果手机被盗,应该及时上网修改动态令牌,并打电话给移动运营商挂失SIM卡,如果是iPhone手机则启用远程锁定功能。

7、消费与存款分开,不要对外公布自己存款银行帐号,在外消费使用信用卡,根据自己的实际情况对信用卡的额度进行设置,不要超过一个月的最高消费水 平。这样无论信用卡如何被盗刷,其损失总归有限。并且可以向银行和支付宝主张赔偿。信用卡使用有赔付的信用卡,不开通提现功能,卡被盗后24小时内挂失。

8、帐号内有大量资金最好启用物理硬件安全设备如USBKEY等。

总之,支付宝或网银的安全,关键在于使用者的问题,如果使用者有良好的安全习惯,那么无论用网银还是支付宝都是安全的,对于快捷支付来说,如果用户无法保证手机的安全,无法正确辨认钓鱼网站,那么还是不要使用快捷支付更好一些,USBKey更适合这种用户。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!