伴随互联网和电子商务的蓬勃发展,第三方支付产业近年来在国内持续保持强劲增长。然而与此同时,由于木马、钓鱼网站和账户、密码被盗等引发的用户资金被恶意划走事件时有发生,给第三方支付这一“朝阳产业”敲响了安全警钟。
银行卡内资金被非法转移
南京储户程腊平今年8月11日持自己的银行借记卡取现时,发现3万多元账户余额不见了。经查询发现,程腊平的钱被以代缴的名义通过第三方支付企业上海捷银信息技术有限公司划转到了别人的账户中。
程腊平从银行提取的账户交易明细显示,自己银行卡账户上的33500元存款,被分为5笔划走。划款事项为代缴。所谓代缴,就是持卡人与商户签订协议,从持卡人的卡里代扣一部分费用给商户。
银行卡一直在自己手上,而且自己并未和“捷银支付”签订转账协议,钱何以悄无声息地被划转给了他人?
上海一业内人士说,程腊平的遭遇,实质就是“捷银支付的系统受到攻击,导致客户信息泄露,不法分子通过技术手段利用系统流程设计的漏洞,在捷银支付的代扣系统中非法绑定代扣服务,从而导致客户银行卡金额被非法转移”。
经过交涉,捷银最终将33500元资金转回到程腊平的账户。
据了解,捷银支付为央行首批颁发牌照的第三方支付企业,总部在上海,业务覆盖全国主要省市。
网络支付面临五大风险
程腊平的遭遇只是部分第三方支付企业存在安全隐患的一个最新案例。
电商行业分析人士冯林表示,用户银行卡资金被随意划走有两种可能。一种可能是用户曾经在捷银上进行过支付业务,部分第三方支付企业在设计一些支付流程的时候,未将支付银行的注册与支付进行隔离,从而在没有明确告知用户的情况下,对银行卡进行了绑定,造成了风险。另一种可能是部分银行提供了第三方支付企业一个代扣接口,而这个代扣接口的使用甚至不需要用户进行注册与确认,这种模式存在较大风险,但目前缺乏相关的指引规范。
此前发布的《中国第三方网络支付安全调研报告》显示,目前安全问题仍然是用户不使用网络支付的主要原因,占比高达54%。用户在网络支付过程中由于木马、钓鱼网站和账户、密码被盗的原因带来资金损失所占的比例最高,分别为24%和33.9%,成为第三方支付的头号大敌。
据业内人士介绍,目前国内的银行、第三方支付服务商为了保证安全性,普遍采取了很多措施,例如分别使用不同的交易密码和登录密码、安装安全插件、使用验证码等,但针对第三方支付账户的违法犯罪案件仍时有发生。
一方面,不法分子通过借助钓鱼网站或植入木马,来盗取网友在支付环节中输入的个人敏感信息,再从卡中划转资金;另一方面,第三方支付平台要求用户实名认证,大量收集用户的身份信息,但对所搜集用户信息的安全保护却并不到位,容易造成用户信息泄露。
中国金融认证中心业务部总经理赵宇指出,当前第三方支付面临的风险主要有5个方面,分别是用户端信息失窃、服务端系统漏洞、用户遭遇钓鱼网站、交易欺诈以及客户端被劫持。
监管重点转向风险防控
目前,央行对第三方支付的监管重点正从准入审批的硬指标管理,逐步转向风险防控等软约束。
在8月底的第四批支付机构风险管理工作专题会上,央行支付结算司相关部门负责人披露的数据显示,目前已经获得许可的197家第三方支付机构的支付业务量、支付业务金额及客户备付金余额已经分别占到全国总规模的82%、95%和93%。
然而,在高速发展背后,存在以下突出问题:资金管理仍然存在较大的风险隐患;信用卡收单业务违规现象突出;支付机构内控风险管理能力普遍不足;支付机构随意开展所谓创新业务,突破业务类型和范围,逃避监管;预付卡等业务合作方面不规范问题较多。
这也是央行首次较大规模总结和通报第三方支付机构的风险隐患。据悉,未来央行将采取分级监管、提高支付机构准入门槛等方式,整治第三方支付行业不规范经营。
分析师张萌表示,为了更好地保证第三方支付行业的资金安全,首先,要加强网络安全监管机构、支付企业、安全厂商等产业链环节的合作力度,加强风险防控的同时加大对网络支付犯罪活动的打击力度;其次,支付企业应加强自身风险防控能力,避免出现重市场轻风险的情况,切实保证资金安全和交易合规;再次,对于用户而言,要提高风险意识,重视个人信息保密,养成良好的网络安全习惯。