|
作者系中国农业银行网络金融部 请关注支付宝怎么安全设置防止被盗https://jingyan.baidu.com/article/9989c746d61616f649ecfe44.html
对于时下烈火烹油、繁花似锦的扫码支付(二维码支付)行业来说,“意料不到”恐怕是形容其发展轨迹的最好词语。当美国Symbol
Technologies公司最初为完善一维码(即条形码)而推出PDF417二维条码时,意料不到它会被日本Denso
Wave公司广泛应用于汽车零部件追踪;同样,当后者开放基于工业使用设计的QR码时,意料不到它会被中国支付宝、微信们用作移动支付的主要渠道;同样的同样,后者的后者在支付领域边缘奋力打拼时,意料不到商业银行、银联等传统巨头会竞相进入,共同促成规模逾十万亿的超大市场;最后,当大家都沉浸在扫码支付所带来的便捷体验时,意料不到二维码原本就不是用来做金融的,缺陷很难克服,风险就在身边。
作为扫码支付基础的二维码,不管表现形式如何“花团锦簇”,究其本质都是支持用户在智能终端快速录入数据的一种工具,其特色在于录入内容在外观上不能为肉眼所识别(通过光电扫描设备或者图形输入设备处理),且只是单向的信息传送(而非双向的信息交互)。这是二维码从工业应用母体中所继承而来的先天属性,但在支付领域或成为其不可承受的“原罪”:
从条码本身来说,制作方便、快速、成本低,伪造、变造二维码几乎没有技术门槛,另外,如前所述,肉眼本身无法识别条码信息,必须依赖于专门设备的处理,而设备在对信息识别后直接进入处理过程,没有任何撤回机制,更雪上加霜的是,移动互联网APP们为提升客户体验,普遍使用了短网址且在浏览中遮蔽地址栏,这就更增加了对木马、病毒等风险发现的难度。通俗来说就是明知可能有风险,不扫不知道风险,发生撤不回风险,这其实是对消费者知情权、选择权的变相侵犯。
从信息传送来说,扫码支付的两种方式——客户主动扫码和被动扫码在身份识别上都是单方面一次上送二维码信息,这不但是二维码的先天属性所决定(没有交互机制),而且为确保交易便捷,支付机构也不情愿增加认证通道。在实践中,二维码都是堂而皇之地置于公开场合,这更增加了敏感信息非法截取的风险,现在虽然在客户被扫模式引入了短时间定时更换的策略,但并不解决根本问题,在没有双向安全认证保障情况下无异于“裸奔”。
从安全机制来说,一方面,二维码依赖于平面分布黑白相间且按一定规律摆布的几何图形通过计算机二进制的算法储存信息,这构成了扫码支付并不厚实的安全底层;另一方面,由其业务属性所决定,扫码支付又不得不在一定额度及次数内减少甚至免除密码、指纹、短信动态码等补强措施的使用,其要害在于谁控制了手机,谁就控制了二维码,谁就控制了扫码支付,理论上会诱使非授权交易纠纷的出现。
从用卡环境来说,扫码支付在流程上其实是对POS机刷卡的变相模拟,不过POS机是一个封闭的智能终端,只具有支付处理的单一功能且部署了严格的安全认证和密钥体系,而扫码支付功能一般是以独立APP的形式置于移动设备智能系统中,虽然也有一定的软件加密功能,但先不说Android、iOS系统被Root、越狱后会有木马、病毒感染的可能性,底层数据被打通后也存在信息泄露甚至权限劫持的风险,就算正常使用,身处“数据为王”的今天金融应用的使用信息也会被友邻APP重点“关照”。
从账务处理来说,主要存在单边帐和洗钱套现风险。对于任何支付方式来说,单边帐的存在几乎无法避免,但早先支付全部在封闭环境下进行,即使出现差错无非是系统处理,而二维码不管是从其技术本身还是外部环境,都存在被非法获取、篡改和劫持的风险,资金很可能跑出交易闭环,追索难度更大。另外,在扫码支付业务拓展期,支付机构普遍都降低了商户准入门槛,留档要求越来越低,费率也一降再降,滋生了相当数量的套现甚至诈骗事件,且更不易侦测。
从交易流程来说,过去无论线上抑或线下支付,都是沿袭商户创建订单,客户确认支付,支付机构后端处理的模式,而在扫码支付中,流程变为支付机构从后端走向前台,参与甚至主导订单的建立,在实现对客户全流程服务的同时,也对原来商户-客户二维法律关系进行了颠覆式重整,客观上加重了自身所承担的义务,也给交易带来了新的不稳定性。
扫码支付的潜在风险并非不为人所知,2014年3月,人民银行曾向支付宝公司下发紧急文件叫停线下支付业务,不过难挡业务发展的汹涌趋势,2016年8月,在对业务发展进行规范后,央行又以其下属的支付清算协会名义认可了业务的合法性。从实践经验来看,对扫码支付的安全提升主要从以下三方面努力:
技术方面,一方面为保证信息安全,使用国际芯片卡标准化组织EMVCo推出的支付标记化技术(Token),通过标记代替银行卡号进行交易验证;另一方面从基础入手,要求二维码生成须遵守相关部门发布的技术标准并控制生成通道。
模式方面,逐渐用较为安全的客户被扫模式代替粗放低费的客户主扫模式,保证二维码信息生成、传输、解析的真实性和完整性,减少客户中毒、下马、信息篡改的风险。这里需要关注的是,被扫模式在一定金额、次数下是免密进行的,且客户二维码变化的频率(目前控制在每分钟)也超出被扫所需要的“最短必要时间”。
制度方面,首先是“你敢付,我敢赔”,引入保险等建立非正常交易损失补偿机制,另外是保证对异常交易数据的监控,要求与移动设备、身份证甚至银行卡绑定,同时要求遵守反洗钱、反欺诈、信息安全和消费者保护等规定。
然而现实是,扫码支付实际上将一个安全上不满足金融交易要求的技术广泛投入到了一个几乎是最高频的应用场景,而且这个主打便捷的场景天然就排斥重安全策略的应用,其背后蕴藏的奥秘是大部分安全策略的虚置,真正起作用的实际上是对限额的控制。但这种张力不可持续,如同任何交易的逻辑一样,当其从边缘走向主流时,不可避免地会扩张业务边界,不可避免地走向“异化”:安全认证越来越繁复,业务样态越来越复杂,最终交易效率也会被拉到平均水平边缘。可以预见,扫码支付在未来肯定还会光鲜亮丽下去,只是在其日渐模糊的面庞后面,我们依稀看见了当年NFC和POS等牺牲者的影子。 |
|