移動支付的風險分析及安全策略

米楠

摘 要：隨著電子商務(wù)的快速發(fā)展，移動支付符合電子商務(wù)發(fā)展的支付需求，同時也是支付方式發(fā)展的主要方向。移動支付有著諸多的優(yōu)點，但其中存在的安全性問題不容忽視，不僅制約著電子商務(wù)的發(fā)展，同時也威脅著用戶的經(jīng)濟利益。本文將對移動支付存在的安全威脅進行分析、匯總，并對移動支付存在的安全問題提出解決辦法和建議。

關(guān)鍵詞：移動支付；風險分析；安全策略

1 引言

移動支付也稱為手機支付，就是允許用戶使用其移動終端（通常是手機）對所消費的商品或服務(wù)進行賬務(wù)支付的一種服務(wù)方式。單位或個人通過移動設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機構(gòu)發(fā)送支付指令產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實現(xiàn)移動支付功能。移動支付將終端設(shè)備、互聯(lián)網(wǎng)、應(yīng)用提供商以及金融機構(gòu)相融合，為用戶提供貨幣支付、繳費等金融業(yè)務(wù)。

移動支付突破了傳統(tǒng)電子商務(wù)的載體和地域限制，真正實現(xiàn)隨時隨地地通過無線方式進行交易，大大增強了買賣雙方的靈活性和支付性，從而使大規(guī)模用戶參與和個性化服務(wù)成為可能。2016年是移動支付快速發(fā)展的一年，全球市場呈現(xiàn)爆發(fā)式增長態(tài)勢，據(jù)專業(yè)調(diào)研機構(gòu)分析，2016年全球移動支付用戶將突破10億，移動支付交易額將達到2000億美元。

根據(jù)中國銀聯(lián)近日發(fā)布的《2016移動支付安全調(diào)查報告》顯示，2016年消費者網(wǎng)上消費金額及使用移動支付人數(shù)占比呈現(xiàn)雙增長。根據(jù)報告，去年有超過九成的受訪者曾使用手機完成付款（在商戶現(xiàn)場支付或遠程支付）。約四成的受訪者選擇“大額支付用卡，小額支付選手機”。

但是，目前在移動支付信息安全保障方面還存在著很多問題，報告顯示，2016年電信詐騙案件持續(xù)高發(fā)，消費者受損比例持續(xù)走高。約有1/4的被調(diào)查者表示遭遇過電信網(wǎng)絡(luò)詐騙并發(fā)生過損失，較2015年上升11個百分點。據(jù)調(diào)查，遭受電信網(wǎng)絡(luò)欺詐的被調(diào)查者中，超過八成遭遇過盜用社交賬號詐騙，較2015年同比增長了36個百分點。另外，木馬鏈接短信和騙取短信驗證碼等欺詐手法也是常見的支付欺詐方式，遭遇兩類手法的持卡人比例達到63%和51%。因此，保障移動支付安全將是移動支付發(fā)展的一大瓶頸。

2 移動支付的風險分析

2.1 基礎(chǔ)網(wǎng)絡(luò)風險隱患

運營商網(wǎng)絡(luò)通信環(huán)境的潛在威脅無處不在。一是手機目前還無法完全驗證網(wǎng)絡(luò)接入點的安全性。黑客從偽基站、惡意WiFi網(wǎng)絡(luò)可能獲取用戶信息，發(fā)起惡意攻擊。二是在無線通信網(wǎng)絡(luò)中，黑客可通過技術(shù)手段竊聽無線信道，截獲傳輸消息報文，偽造合法用戶身份或篡改數(shù)據(jù)信息。三是一些不法分子利用偽基站技術(shù)發(fā)送詐騙短信，利用群呼、透傳等技術(shù)實施電話詐騙，將主叫號碼偽裝成虛假的銀行、運營商等官方號碼，迷惑用戶上當受騙。

2.2 移動設(shè)備安全漏洞

移動支付業(yè)務(wù)的實現(xiàn)依托移動設(shè)備，而作為最常用的移動設(shè)備，智能手機的安全性值得高度關(guān)注。一是手機操作系統(tǒng)漏洞不易修復(fù)。手機生產(chǎn)商在安卓操作系統(tǒng)上進行個性化定制開發(fā)后，難以形成統(tǒng)一的技術(shù)標準，尚未形成如個人電腦Windows系統(tǒng)那樣全球統(tǒng)一的漏洞發(fā)布與補丁更新機制，手機操作系統(tǒng)的安全性面臨挑戰(zhàn)。二是手機病毒防范能力較弱。手機客戶端軟件打開的網(wǎng)址往往無法被手機安全軟件捕獲，二維碼掃碼工具僅簡單地將二維碼翻譯成網(wǎng)站地址，并不具有識別惡意網(wǎng)址的能力，使得手機被木馬程序入侵的幾率大增。

2.3 服務(wù)提供商重便捷輕安全

第三方支付機構(gòu)通過搶紅包、打車補貼、互聯(lián)網(wǎng)理財?shù)戎Ц秷鼍胺e極搶占移動支付市場，往往犧牲部分安全性以提高便捷性。如部分快捷支付功能在綁定銀行卡后僅需輸入支付密碼即可完成網(wǎng)上支付，二維碼掃碼支付通過手勢密碼登錄客戶端后就可進行200元以下的免密小額支付，某些應(yīng)用程序通過讀取通訊錄和短信記錄可實現(xiàn)免填驗證碼等，強調(diào)了用戶體驗，卻埋下了安全隱患。如何在便捷與安全之間尋求平衡點成為移動支付產(chǎn)業(yè)鏈各方積極探尋的突破口。

2.4 行業(yè)制度規(guī)范尚不完善

我國移動支付方興未艾，相關(guān)規(guī)章制度正在逐步建立和完善中，尚未形成明確的監(jiān)管框架和體系，在發(fā)展過程中難免會出現(xiàn)責任不清、監(jiān)管缺失的真空地帶。當前，互聯(lián)網(wǎng)上借貸理財、眾籌模式、虛擬比特幣等新興金融工具給別有用心的不法分子留下了可乘之機，如紅包浪潮中紅色“AA收款”詐騙事件再次給我們提出安全警示。完善制度約束，保障信息安全已經(jīng)成為當務(wù)之急。

3 移動支付的風險防范措施

相對于傳統(tǒng)的支付方式來說，移動支付的安全問題尤為嚴峻，產(chǎn)業(yè)鏈上所有部門都必須從技術(shù)到信用通力合作。如果要讓移動支付更好的為人們提供方便快捷的服務(wù)，就必須先保證個人隱私和信息安全，如果人們在第一次認識移動支付時就有很不好的或者不安全的體驗，那么以后移動支付想要扭轉(zhuǎn)這個“第一印象”會非常困難。因此手機支付發(fā)展的瓶頸是安全問題。根據(jù)移動支付的安全問題，可以采取以下措施，從而保證其安全性。

3.1 完善手機支付的安全管理

首先，對于移動應(yīng)用發(fā)行商與移動支付服務(wù)商，二者要加強安全管理，通過測試與監(jiān)管等手段，對惡意應(yīng)用進行預(yù)防，對應(yīng)用軟件進行全面的管理，從而保證應(yīng)用市場的安全性，提升發(fā)布渠道的安全性。其次，要提升安全防護能力，對于智能終端、應(yīng)用軟件與操作系統(tǒng)等進行不斷的研發(fā)，從而保證其安全能力的逐步提升。最后，可以將手機支付業(yè)務(wù)也納入到金融法律法規(guī)監(jiān)管范圍，當用戶遇到欺詐等安全問題時可以在法律責任上找到明確的判斷，明確各方應(yīng)付的責任和賠付條款。

3.2 強化安全模塊的保護功能

安全模塊的功能主要是保證應(yīng)用的實現(xiàn)，同時保障數(shù)據(jù)的安全存儲，并且要提供相應(yīng)的安全運算服務(wù)等。安全模塊具有較高的安全性，在手機支付過程中，可以利用手機中的安全模塊，即：用戶識別卡（SIM），用戶識別卡保證著手機支付的安全，是最為基礎(chǔ)的安全保障，在其中將用戶的私鑰與數(shù)字證書進行存放，此時，要保證密鑰也在卡內(nèi)，對于加密與解密等操作，均要在卡中實現(xiàn)，從而將實現(xiàn)對用戶數(shù)據(jù)信息的保護?，F(xiàn)階段，在手機支付中，主要的方案是機卡協(xié)作，此方案是最為基礎(chǔ)的，其原理與Usbkey相似，其主控制芯片便是安全芯片，進而具有了諸多的功能，如：防復(fù)制、防篡改、抗攻擊等。

3.3 引導(dǎo)客戶建立手機支付的安全意識

培養(yǎng)良好的手機使用習慣，譬如只從官方網(wǎng)站或可信任的網(wǎng)站下載軟件，安裝手機安全防護軟件，不點開陌生的彩信，不接收陌生的藍牙推送程序，不隨意掃描二維碼.不要隨意連接陌生兔費WiFi等。

參考文獻

[1]陶凱.紅包大戰(zhàn)引發(fā)對移動支付安全的冷思考[J].中國信用卡，2015（5）

[2]陳鐘.移動支付安全保障——挑戰(zhàn)與機遇[J].金融電子化， 2012（6）

[3]任國威，劉麗娜.物聯(lián)網(wǎng)時代移動支付安全策略[J]. 制造業(yè)自動化，2011（16）

[4] 劉冠群. 淺談移動支付的安全性[J].信息工程，2015（3）