11月中旬的一个下午,身在上海的王雷(化名)发现自己的手机突然失去信号,咨询运营商后的答案令人吃惊:他的手机被挂失重新补办号码了。此后发生的事情让他更摸不着头脑——自己的银行账户被转走了共计6万多元。
这是一起盗刷案件,不法分子获取王雷的身份和银行卡信息后,通过伪造其身份证在广东补办了王雷手机卡号,再通过注册一个支付宝账号关联了王雷的银行卡,从而达到转账目的。
这已经不是支付宝“快捷支付”第一次爆出盗刷事件。所谓“快捷支付”,就是把银行卡账户与“支付宝”等第三方支付平台的账户相连接,在网购时可以直接输入后者的密码进行交易。易观国际高级分析师张萌昨天告诉《第一财经日报》记者,快捷支付和网银支付最大的区别是不需要像网银支付一样跳转到银行网关。
昨天,支付宝(中国)网络技术有限公司(下称“支付宝公司”)相关负责人在接受本报记者采访时强调了信息安全的保障性,但并不否认,如前述事件中用户信息大量泄露,其账户风险概率会很高,“相当于表面上的防线被别人全部掌握了。”
在互联网金融日益深入的今天,支付宝面临的“快捷隐忧”也是整个第三方移动支付行业面临的安全课题——一面是用户享受到的支付便捷,另一面却是为了追求用户体验而埋下的风控隐患。
“目前第三方支付行业,不能光发了牌照就好了,行业准入门槛要提高,例如支付宝平台运行时,有快捷支付这样的创新之举,但更加要做好创新过程中的监管问题,树立行业的安全标准。”中国电子商务研究中心主任曹磊对本报记者说。
快捷底线
2011年,支付宝推出“快捷支付”。通过该支付平台,用户无须开通网银,可以直接通过输入卡面信息快速地完成支付。“换言之,他们就是通过一个账号来实现支付。”一家不愿意透露姓名的第三方支付业内人士对本报记者透露。
这意味着这样的支付可以绕开银行,首次关联也无须输入银行卡的取款密码,这点得到了支付宝客服的确认。本报记者在支付宝上尝试快捷关联了一张银行卡,发现确实只需要通过输入手机收到的验证码就可以完成一笔支付。
也就是说,欺诈者只需要掌握了用户的身份信息和银行卡号,并且能获取手机验证码,就可以成功盗取银行卡中的钱款。这也是不法分子首先拿王雷的假身份证去补办SIM卡的重要原因。
便捷是否让安全的“边界”模糊起来?“支付宝快捷支付存在一些安全隐患,比如,第一次验证也不需要输入银行密码,相对来说,银行在身份验证上做得更严格许多。”一家股份制银行电子银行部负责人透露。
昨天,本报记者致电工商银行(601398.SH,01398.HK)和建设银行(601939.SH,00939.HK),这两家银行的客服人员均表示,客户在使用“快捷支付”时,不用通过银行网银,所以交易过程不受银行保护。
电子商务观察者、万擎咨询CEO鲁振旺称:“支付平台的风险关键存在于快捷‘支付密码’的设置上;当手机和银行卡绑定后,捡到手机的人不需要输入卡号,就可以获取密码。这是支付平台存在的巨大隐患,而且这个隐患越来越严重。”
支付宝回应
昨日晚间,支付宝公司相关负责人向本报记者回应盗刷事件称,事件的起因在于有人使用假身份证在营业厅补办SIM卡,这本身是支付宝不可控的;对于任何起因的快捷支付被盗问题,该支付宝用户将获得平安保险100%的赔偿,本身不会有任何损失。
2011年,支付宝就明确表示,用户使用快捷支付如果遭遇资金损失,支付宝将全额给予赔付。2013年10月17日,支付宝宣布向所有“快捷支付”用户免费赠送一份资金保障险,该保险由中国平安财产保险股份有限公司承保。
但王雷还未享受到这一“福利”,“支付宝到现在都没有任何说法。”王雷告诉本报记者,目前距离盗刷事件已经过去了将近一周的时间。
使用支付宝快捷支付时,不用输入银行卡密码,是不是降低了资金的安全性?上述支付宝公司人士表示,按照互联网支付的国际惯例,一般不会直接输入银行卡的取款密码。原因在于,首先,银行卡的6位数字密码用在互联网上安全强度不够;其次,如果遭遇钓鱼网站或黑客攻击,银行卡密码泄露的风险更大。
他表示,除了“快捷支付”密码、手机校验码等,支付宝还有用户看不见的后台风控系统,但是,该人士也承认,客观上说,上述盗刷事件中受害人身份信息几乎全部泄露,其账户风险概率会很高。
“对身份证信息验证不足,输入密码时缺少多重认证,正是支付宝快捷支付最大的漏洞。”一位银行业人士分析,快捷支付是一种创新,但身份证验证是一种底线,如果没有足够的风控能力,只是省略程序就当做创新,这是对整个行业的一种伤害。
安全VS快捷
中国电子商务投诉与维权公共服务平台监测数据显示,在2012年度全国第三方支付领域投诉中,财付通占比为23.50%,国付宝占比为19.83%,支付宝占比为16.70%,易宝支付占比为9.35%,百付宝占比为4.90%。
“第三方支付的安全问题的性质,与传统的信用卡被盗刷等现象类似。”IBM资深战略分析师王祺认为,第三方支付平台提供增值服务,简化交易流程是对整个支付模式的改变,安全问题是该模式内可控的问题,只是需要找到改进和完善的方法。
“银行的信用认证是靠个人身份证认证,这是唯一的身份认证;支付宝等第三方支付则有多种认证方式,如:实名身份认证、手机、邮箱等。”王祺分析称,相较于银行个人身份证认证的物理性,第三方支付平台可以使用手机、邮箱等虚拟信息进行认证;少了实物认证后,用户交互体验的复杂度降低,这就增加了用户体验。
在王祺看来,这也表明在第三方支付平台,用户体验和安全性的平衡点在于:你是选择虚拟信息认证还是实物认证。但颇为微妙的是,这个选择权既在第三方支付平台手中,也在每个用户自己的手中。
鲁振旺认为,快捷和安全之间需要找到一个均衡点,不能为了快而降低安全水平。他分析称,网银支付之所以麻烦是因为要输入所有信息,快捷支付的安全问题解决手段可以考虑输入账号的后4位数或设置消费额度等来解决。曹磊称,首先要确保安全性的前提下,缩短流程再改进用户体验。
前述支付宝人士也表示,安全与便捷之间需要一个平衡,安全性越高可能用户使用更加复杂;其内部将不断提高智能风控精准度,同时提示用户注意自己的信息保护。
仅从技术角度而言,王祺认为,目前互联网金融的快捷支付暴露出安全问题并非全是坏事,“想要兼顾便捷与安全,必然推动新的技术出现;比如:指纹识别、虹膜识别等体感技术未来可能运用到支付解决问题。”
另一个令外界关注的是监管问题,央行金融消费权益保护局局长焦瑾璞近日表示,互联网金融给金融消费权益保护带来了挑战,“互联网金融归谁管?是银监会、证监会还是保监会?谁也搞不清楚。出了问题怎么办?老板拿着钱跑了怎么办?谁来承担这个责任?”
中国社科院数量经济与技术经济研究所副所长何德旭透露,互联网金融已引起监管层重视,央行成立了专门研究小组对全国互联网金融状况进行分析调研。