如今,二维码支付在餐饮门店、超市、便利店等线下小额支付场景得到广泛应用。但在条码生成机制和传输过程中仍存在风险隐患,也引发了支付安全的风险案件,市场机构在业务推广过程中还存在不正当竞争等现象。相关部门和支付机构该采取哪些措施保障用户支付安全?二维码支付的用户体验如何进一步提升?
主管部门:制定技术标准,规范业务开展
《2017中国第三方移动支付行业研究报告》指出,线下扫码支付行业进入加速发展期。一方面,线下扫码支付简单快捷,为用户带来了便捷的消费体验;另一方面,接入线下扫码支付的商家也享受到了数字化营销与经营所带来的收益增加。
在推动行业规范发展方面,中国人民银行将二维码支付定位于小额、便捷和银行卡支付的有效补充,并采取了一系列措施规范二维码支付业务的开展。其中包括确立了依据业务实质,无论是商业银行还是支付机构、使用银行账户还是支付账户开展二维码支付,均应根据交易验证安全等级、通过交易额度进行风险控制和安全管理的监管思路。
近年来,随着支付标记化等技术在移动支付中的广泛应用,客观上提高了二维码支付的安全标准。中国人民银行指导相关市场主体积极提升技术水平,制定相关技术标准,规范二维码支付业务开展。
央行此前发布的条码支付业务规范已于2018年4月1日起实施,针对条码支付技术风险,此次规范提出了一系列针对性要求。比如,加强条码安全防护,采取支付标记化、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。
由于静态条码易被篡改或变造,易携带木马或病毒,央行规定,使用静态条码进行支付的,无论使用何种交易验证方式,同一客户银行或支付机构单日累计交易金额应不超过500元。支付新规还要求,做支付的机构必须要有牌照:“支付机构开展条码支付业务,应按规定取得相应的业务许可,并按相应管理办法规范开展业务。”
中国社科院中国社会科学评价中心主任荆林波认为,二维码支付若想健康发展还面临一些问题。比如,常见的二维码QR码在2000年成为国家标准,前几年国家出台了二维码的有关政策,但目前还未对二维码发布一个全面标准。“除了制定二维码支付业务规范,国家应加强二维码支付的顶层设计,制定全面的行业标准,并在全国范围内广泛推广和使用我们的国家标准。”荆林波说。
支付机构:加强安全保障,提升支付体验
作为首家推出二维码支付产品的商业银行,工商银行相关负责人介绍,工银二维码支付具备当前市场主流扫码产品的全部功能,而且采用国际领先的令牌技术对卡号进行变异处理,隐藏真实卡号信息,确保账户资金安全。同时,通过7×24小时不间断的实时风险监控、交易限额控制、大额交易验证、二维码60秒强制更新等一系列安全控制措施,为客户资金和信息安全提供了银行级的保护,切实提升了用户支付体验。目前,工银二维码支付已经实现全面聚合受理功能,具备安全性、兼容性及便捷性,为560万工商银行e支付商户引流了超过10亿的潜在个人用户,成为国内最大的聚合支付平台。
中国银联联合40多家商业银行推出银联云闪付二维码产品。业内人士认为,这是国有大型商业银行在二维码支付上的积极探索和创新,是一种有益尝试,旨在为用户提供高效、便捷、安全的移动支付交易方式。
作为第三方支付平台,支付宝在“扫一扫”支付上也采取了多项技术手段降低交易风险。支付宝安全专家尚山虎说,为防范信息安全风险,避免因二维码的传播而被解析出用户账户或交易订单信息,支付宝首先将需要通过二维码传递的信息用加密算法加密成字符串,再将字符串编译后形成二维码。因此即使二维码被他人获取并进行扫描,其仅能解析出经加密的字符串,而无法进一步解析出用户的任何相关信息。通过商户收银台形成的条码以及通过支付宝APP形成的条码都具有时效性,过期后将会形成新的条码,而之前已生成的条码将会失效,从而防范因条码被复制传播而导致的信息及资金风险。
支付宝还推出“你敢收,我敢赔”保障计划:如果商家的收钱码被恶意替换、调包,其损失的资金也将能通过保险公司获得赔付。
用户公众:提高防范意识,不要见码就扫
想要让“扫一扫”更安全,离不开监管部门和市场机构的努力,还需要用户自身提高防范意识,加强自我保护。
业内专家提醒,用户要有防范意识,提高警惕,不要轻易相信市面上免费扫码赠东西等品牌宣传活动。“扫一扫”行为的背后可能隐藏着巨大的安全隐患,比如个人信息的泄露,也有可能存在某些不法行为,尤其不要轻易提供个人的姓名、身份证、银行卡、电话、通信住址等信息。即使是可信的二维码应用,也有可能受到某些黑客不法分子恶意的利用变成恶意的二维码,应时刻保持警惕。
尚山虎建议,随着二维码的普及,用户应掌握一些二维码的相关知识、常见案例,提高安全防范意识。同时,要养成良好的手机使用习惯,包括到官网下载工具软件,不要见码就扫,在手机中安装防病毒软件等。
相关阅读:二维码支付存隐患
中国人民银行发布的条码支付业务规范4月1日起实施,这一规范主要针对支付风险控制措施较少、安全性较低的静态条码,明确同一客户银行或支付机构单日累计交易金额应不超过500元。二维码扫描技术为公众生活提供便利的同时,也暴露出一些安全隐患。俗称“扫一扫”的二维码支付,有哪些风险点?
存安全隐患——
常见李鬼二维码,稍一疏忽易上当
二维码扫一扫看起来便利,可稍一疏忽就会出麻烦。尤其是,二维码也可能成为一些人非法敛财的渠道。曾腾是广东省江门市一名大学生,他曾在宿舍楼下用手机扫了一辆共享单车上的二维码,扫描后手机自动跳转到一个支付页面,要求支付299元押金。
“对方是个支付账户,当时有点着急,没有细看就选择了确认支付。”曾腾说,可支付后他并没能打开车锁,单车软件也未显示押金支付成功。他这才反应过来,自己可能被骗了,再仔细观察刚才扫描的那张二维码,发现是一张贴纸,覆盖了车体本身携带的二维码。
“二维码技术最初是一种识别访问技术,并不是专门用于电子商务,因此在交易过程中缺乏一种能够评估和鉴别二维码信息来保护消费者安全的机制。”上海交通大学网络空间安全学院院长李建华说,对消费者而言,正确鉴别和验证二维码的可靠性难度大,每一张二维码图像看似普通,实则包含了复杂的信息,用户辨认起来很不方便。
识别难度大——
制作准入门槛低,易携带恶意代码
看似一个简单的二维码,普通公众却难以辨认,二维码支付为何会存在安全隐患?风险点主要集中在哪些方面?
中国人民银行支付结算司有关负责人说,二维码支付流程分为支付指令的生成和处理两个阶段。指令处理阶段与传统的银行卡、普通互联网支付的流程相同。二维码支付的风险点主要集中在指令生成阶段的二维码生成和识别环节。
“技术问题是存在安全隐患的重要原因。”清华大学数据科学研究院二维码安全中心副主任沈维说,“二维码的码制有国家标准,目前我们使用的QR码是国际标准,也是我国的国家标准。技术上虽然已经有了国家标准,但二维码在应用上还没有相应的规范。公开的二维码无人监管,且支付前的二维码管理缺失,而监管缺位的原因在于缺少技术手段。”
“光想着扫码方便,根本没意识到二维码本身也可能携带木马病毒、钓鱼软件。”家住湖北武汉的王先生曾在地铁口看到扫二维码送湿巾的广告,手机扫描后自动跳转到一个软件下载页面并开始下载。当晚他的手机突然收到银行短信,称有一笔近4000元的支出。事后查明,当天所扫的二维码带有恶意扣费病毒。
沈维说,QR二维码的码型是开放的,当前二维码制作准入门槛低,任何人都能轻而易举地制作。如果有人制作了恶意二维码,用户扫码后接入隐藏在二维码背后的假链接、假网站,就可以通过网站非法骗取资金、盗取身份信息等。目前二维码市场缺少安全技术手段对手机扫码进行管控,QR码在应用层面处于无人监管的状态,并没有相应的技术跟进。
中国人民银行支付结算司相关负责人介绍,二维码支付的主要风险点包括四个方面。一是二维码可视化风险。不法分子易通过手机病毒的方式截屏盗取或欺骗获取用户付款码,或四处张贴伪造商户的收款码,非法获取资金。二是易携带恶意代码的风险。二维码不仅可用于支付,也可用于储存恶意程序代码、非法链接等内容,真伪难以直观区分。三是信息单向交互的风险。二维码支付只能实现发起方或接收方的单向验证,不法分子若劫持客户与商户之间、商户与后台之间的通信网络,截获并恶意修改订单等交易信息,易造成用户资金损失。四是扫码设备安全强度低的风险。二维码支付对识别设备要求低,且这些设备一般无加密、防拆机等安全功能,容易被不法分子侵入。
维权有点难——
支付背后环节多,责任主体难明确
近日,某私营企业负责人陈安在不法分子迷惑下泄露了自己的某支付机构付款码,对方指示将付款条码上的数字发过去,之后陈安的支付账户立刻被划走499元。陈安说,找客服投诉后,支付机构只说后台审核,如果对方账户存在风险,会采取冻结账户的手段。“但现在几个月过去了,不仅对方账户没有冻结,被骗的欠款也没能要回来。”
“二维码犯罪隐蔽性强、传染性快,但电子证据获存困难,相关规定不健全,维权成本高。制作和发布的实施主体和责任承担主体难以明确锁定,增加了诉讼的不确定因素。”京师律师事务所律师左胜高认为。
一位网络安全从业人员称,近年来涉及二维码的案件很多,其中包括非法获取公民信息、诈骗、盗刷等。对于像二维码这样的新兴技术在多领域的应用,相关监督管理部门还未出台较为有效的规章和监管机制。
北京大成律师事务所律师肖飒认为,当用户遭遇二维码支付安全问题时,应该先确认在支付的哪个环节产生了问题,明确责任归属;其次,确定相应漏洞环节的负责人或负责机构,向其提出投诉或举报,由相关方进行专门处理;若遭遇“非法二维码”,无有关方负责,则可向有关部门报案或控告,根据其行为侵犯自身权益的性质与程度决定处理方式。“目前二维码支付的发案率高,但对于普通用户来说,维护自身的权益确实难度很大。”肖飒说。