要防范移动支付的四大风险

要防范移动支付的四大风险

作者：陈晓华

来源：《财经界·上旬刊》2017年第06期

信息通信技术在金融领域的广泛应用极大地推动了传统金融产业的创新与变革，移动支付是信息通信技术与金融产业融合的重要成果。移动支付是用户通过手机等移动终端对消费的商品或服务进行支付的一种方式，与传统支付方式相比，移动支付具有“随时、随地、随身”，且产业链长、行业跨度大、社会影响面广等特点。在我国，目前移动支付在技术标准、运行模式、风险控制等方面还存在诸多风险制约因素，亟须研究相应的风险防范措施，确保消费者权益，以促进移动支付行业的健康发展。

风险主要在四个方面

移动支付的风险主要集中在政策风险、技术风险、金融法律风险、信誉风险四个方面。

首先是政策风险。移动支付作为新兴业务，缺乏行业规范，尤其是准入政策和监管政策。行业中涉及的资源共享、服务质量保证、服务规范等都需要有明确的规定，唯有如此业务才能健康发展。移动支付业务的核心是支付，移动支付相关政策成为各方关注的焦点。移动支付处于电信增值业务与银行增值业务——中间业务的交叉地带，有着不同的业务类型。国内非银行机构推动移动支付的积极性比银行更高，但移动支付涉及的金融业务必须接受金融监管，这无疑提高了市场准入门槛。由此可以看出，政策风险是移动支付业务发展无法回避的障碍。

其次，技术风险。移动支付技术风险主要是支付的技术安全风险和技术系统风险。技术安全风险包括两方面：一是数据传输的安全性风险；二是用户信息的安全性风险。

数据传输的安全性风险是客户对移动支付最为关注的问题，用户信息的安全性风险同样值得关注。短信支付密码被破译、实时短信无法保证、身份识别是移动支付面临的主要技术难题。手机仅仅作为通信工具时，密码保护并不重要，但作为支付工具时，丢失手机、密码被攻破、病毒木马等问题都会给用户造成重大损失。

第三，金融法律风险。移动支付中容易引发的金融法律风险主要包括沉淀资金的法律风险和洗钱的法律风险。

第四，信誉风险。开展移动支付，可靠的服务平台至关重要。金融机构要能够持续提供安全、准确、及时的移动金融服务，通信运营商服务质量也要有保障。如果客户在移动支付过程中遇到严重的通信网络故障以及银行信息系统的不完善而造成客户资金的流失，将会造成客户对移动支付的不信任，引发信誉风险。

移动支付技术面临的安全风险

移动支付的整个系统主要包括客户端、网络通信、应用服务端三大部分，因此系统可能面临的安全风险主要也体现在这三个环节。

客户端风险来自以下几个方面：

1.客户端应用程序自身的风险。由于智能手机尤其是Android手机的生态环境较为开放，权限控制灵活，应用分发渠道众多，而Android应用又是基于java语言开发的，具有易反编译、易修改等特点，所以Android应用自身可能面临诸多风险。

2.基于仿冒应用的钓鱼欺骗风险。不法分子仿造正版应用软件，诱骗用户安装，进而窃取用户输入的账号、密码、身份证号、交易内容等敏感信息。

3.基于短信、网站欺诈的钓鱼欺骗风险。不法分子通过伪造或者仿冒银行专用短信号码，向客户发送类似于程序升级、客户某些设置过期需要修改之类的短信，诱导客户前往钓鱼网站输入登录名、密码、卡密码、动态设备密码等信息，然后同步使用客户的账号、密码来登录应用，从而非法获利。

4.界面劫持风险。病毒或者木马程序在后台检测到客户启动金融类 APP 时，弹出一层透明的界面遮罩到其操作界面上层，当客户输入用户名密码时，以为是在金融机构发行的正版APP 界面上输入，实际上则是被非法软件截获。

5.暴力登录尝试风险。暴力登录的初级版本是利用攻击程序或者脚本，固定登录用户名，自动化尝试可能的密码组合，直到正确为止。但一般的应用都限制了登录密码连续输错的次数，当密码连续输错超过一定次数后，密码会被临时锁定。后来，暴力攻击演化出了一种新方式：固定一个常用密码，枚举所有可能的用户名，直到成功。

6.外联风险。开放是互联网的一大特性。很多移动金融应用为了充分整合外部资源，以APP集成或以 Web 接入的方式引进了不少第三方应用或者服务。当第三方应用出现安全漏洞时，对于集成它的移动金融应用及客户来说，也会带来直接风险，如信息泄露、资金转移等。

网络通信的安全风险往往有两个路径：第一是通信信道。从移动终端发出请求，经过运营商网络或互联网，到达防火墙，在这样的一个过程中，信息在多个不同的组织和节点中传输，如接入点、ISP 的路由器、交换机、骨干网络

等，如果采用普通的HTTP协议，当不怀好意的用户侵入这其中任何一个节点时，都有可能窃取、修改传输的数据。第二是https嗅探劫持。为保证网络通信信道安全，业界通用的做法是采用标准的 https 协议。但是，国内某机构网络安全中心在日常终端安全审计中发现，在Android平台中使用https通信的APP绝大多数都没有安全地使用Google提供的API，直接导致https通信中的敏感信息泄漏甚至远程代码执行。

究其原因，开发者在使用代码开发测试自己产品的https功能时，会因无法通过Google API的https证书合法性而发生多种类型的https异常。为解决上述异常，开发者通常会采用覆盖Google默认的证书检查机制的方式，为信息泄露埋下隐患。黑客可通过流量劫持，截获https握手时下发的证书，替换为伪造的假证书。随后，全部的https数据都在监控之下，可随意篡改数据包的内容。

移动支付应用服务端的安全风险主要表现在以下三个方面，如图1所示。

移动支付技术安全风险的应对措施

对于上述列举的各类问题或攻击，互联网金融机构如果能采取针对性的技术措施，是完全可以进行有效防范，大大降低风险的。

（一）客户端程序安全加固。针对移动金融客户端（尤其是Android应用）所面临的风险，如被破解、盗版、篡改、动态调试、修改本地文件等，已有许多专业的安全公司具备了对移动应用进行安全加固的技术，通俗的说法就是“加壳”，通过对应用程序本身进行加密保护，来大幅增加上述一系列攻击行为的难度，从而有效降低风险。建议金融机构借鉴研究相关“加壳” 技术或者与专业安全机构合作，在移动 APP 发布前，进行有效的安全加固。

（二）钓鱼应用和钓鱼网站的防护。针对钓鱼类的风险，在运营层面上，互联网金融机构要通过多种渠道加强客户的宣传教育，广泛告知客户下载客户端应用的正规方式，防止客户下载山寨版应用；提示客户谨慎进入不确信的网站，并不要将自己的个人信息（各类密码、动态码等）随意泄露，以免造成不必要的损失。

在技术层面上，互联网金融机构可以考虑和专业的第三方安全公司合作，一方面，引入应用检测机制，当用户安装非官方应用时，警告客户不要安装甚至阻止安装；另一方面，对各分发渠道、论坛、网站等进行检索、分析，尝试自动发现山寨应用、钓鱼应用的来源，并会同工信部门、公安部门采取必要措施。同时，应用层面还要加强对用户身份认证的能力，如手机号绑定、终端绑定、USB Key硬件证书等，加大钓鱼成功的难度。

（三）应用“清场”机制。对于界面劫持之类的风险，当应用检测到自身被遮罩或者切换到后台时，建议给客户以警告提示。更进一步，应用在启动时或者进行关键性交易前，可以考虑引入“清场”机制，清除在后台运行的可疑程序。