伴隨網際網路和電子商務的蓬勃發展,第三方支付產業近年來在國內持續保持強勁增長。然而與此同時,由於木馬、釣魚網站和帳戶、密碼被盜等引發的用戶資金被惡意划走事件時有發生,給第三方支付這一「朝陽產業」敲響了安全警鐘。
銀行卡內資金被非法轉移
南京儲戶程臘平今年8月11日持自己的銀行借記卡取現時,發現3萬多元帳戶餘額不見了。經查詢發現,程臘平的錢被以代繳的名義通過第三方支付企業上海捷銀信息技術有限公司劃轉到了別人的帳戶中。
程臘平從銀行提取的帳戶交易明細顯示,自己銀行卡帳戶上的33500元存款,被分為5筆划走。劃款事項為代繳。所謂代繳,就是持卡人與商戶籤訂協議,從持卡人的卡裡代扣一部分費用給商戶。
銀行卡一直在自己手上,而且自己並未和「捷銀支付」籤訂轉帳協議,錢何以悄無聲息地被劃轉給了他人?
上海一業內人士告訴記者,程臘平的遭遇,實質就是「捷銀支付的系統受到攻擊,導致客戶信息洩露,不法分子通過技術手段利用系統流程設計的漏洞,在捷銀支付的代扣系統中非法綁定代扣服務,從而導致客戶銀行卡金額被非法轉移」。
經過交涉,捷銀最終將33500元資金轉回到程臘平的帳戶。
據了解,捷銀支付為央行首批頒發牌照的第三方支付企業,總部在上海,業務覆蓋全國主要省市。
網絡支付面臨五大風險
程臘平的遭遇只是部分第三方支付企業存在安全隱患的一個最新案例。
電商行業分析人士馮林在接受記者採訪時表示,用戶銀行卡資金被隨意划走有兩種可能。一種可能是用戶曾經在捷銀上進行過支付業務,部分第三方支付企業在設計一些支付流程的時候,未將支付銀行的註冊與支付進行隔離,從而在沒有明確告知用戶的情況下,對銀行卡進行了綁定,造成了風險。另一種可能是部分銀行提供了第三方支付企業一個代扣接口,而這個代扣接口的使用甚至不需要用戶進行註冊與確認,這種模式存在較大風險,但目前缺乏相關的指引規範。
易觀國際此前發布的《中國第三方網絡支付安全調研報告》顯示,目前安全問題仍然是用戶不使用網絡支付的主要原因,佔比高達54%。用戶在網絡支付過程中由於木馬、釣魚網站和帳戶、密碼被盜的原因帶來資金損失所佔的比例最高,分別為24%和33.9%,成為第三方支付的頭號大敵。
據業內人士介紹,目前國內的銀行、第三方支付服務商為了保證安全性,普遍採取了很多措施,例如分別使用不同的交易密碼和登錄密碼、安裝安全插件、使用驗證碼等,但針對第三方支付帳戶的違法犯罪案件仍時有發生。一方面,不法分子通過藉助釣魚網站或植入木馬,來盜取網友在支付環節中輸入的個人敏感信息,再從卡中劃轉資金;另一方面,第三方支付平臺要求用戶實名認證,大量收集用戶的身份信息,但對所搜集用戶信息的安全保護卻並不到位,容易造成用戶信息洩露。
中國金融認證中心業務部總經理趙宇指出,當前第三方支付面臨的風險主要有5個方面,分別是用戶端信息失竊、服務端系統漏洞、用戶遭遇釣魚網站、交易欺詐以及客戶端被劫持。
監管重點轉向風險防控
目前,央行對第三方支付的監管重點正從準入審批的硬指標管理,逐步轉向風險防控等軟約束。
在8月底的第四批支付機構風險管理工作專題會上,央行支付結算司相關部門負責人披露的數據顯示,目前已經獲得許可的197家第三方支付機構的支付業務量、支付業務金額及客戶備付金餘額已經分別佔到全國總規模的82%、95%和93%。然而,在高速發展背後,存在以下突出問題:資金管理仍然存在較大的風險隱患;銀行卡收單業務違規現象突出;支付機構內控風險管理能力普遍不足;支付機構隨意開展所謂創新業務,突破業務類型和範圍,逃避監管;預付卡等業務合作方面不規範問題較多。
這也是央行首次較大規模總結和通報第三方支付機構的風險隱患。據悉,未來央行將採取分級監管、提高支付機構準入門檻等方式,整治第三方支付行業不規範經營。
易觀國際分析師張萌向記者表示,為了更好地保證第三方支付行業的資金安全,首先,要加強網絡安全監管機構、支付企業、安全廠商等產業鏈環節的合作力度,加強風險防控的同時加大對網絡支付犯罪活動的打擊力度;其次,支付企業應加強自身風險防控能力,避免出現重市場輕風險的情況,切實保證資金安全和交易合規;再次,對於用戶而言,要提高風險意識,重視個人信息保密,養成良好的網絡安全習慣。(高少華 王濤)