#電子商務(wù)環(huán)境下移動支付的安全性分析

1、電子商務(wù)環(huán)境下移動支付的安全性分析2009.2.28 21:23 中國移動手機支付業(yè)務(wù)網(wǎng)站電子商務(wù)環(huán)境下的移動支付是指單位或個人通過移動設(shè)備，直接或間接向銀行業(yè)金 融機構(gòu)發(fā)出支付指令， 實現(xiàn)貨幣支付和資金轉(zhuǎn)移的行為移動支付所使用的移動設(shè)備可以是手 機、PDA、移動 PC等。從移動支付的實質(zhì) 上講， 移動支付就是將移動網(wǎng)絡(luò)和金融系統(tǒng)結(jié)合， 把移動網(wǎng)絡(luò)作為實現(xiàn)移動支付的工具和手段， 為用戶提供貨幣支付、 繳費等金融服務(wù)的業(yè)務(wù)。移動支付通常有以下幾種實現(xiàn)方式 :(1) 短信 (SMS)支付，終端用戶通過發(fā)送短消息的 形式請求服務(wù)內(nèi)容，從用戶的話費中扣除費用，通常只適合于小額支付。 (2)WAP(Wi

2、reless Application Protocol)，終端用戶通過訪問 WAP站點，進(jìn)行簡單的金融業(yè)務(wù)。(3)USSD(Unstructured Supplementary ServiceData ，非結(jié)構(gòu)化補充數(shù)據(jù)業(yè)務(wù) ) ，是一種基 于 GSM網(wǎng)絡(luò)的新型交互式數(shù)據(jù)業(yè)務(wù)，如證券交易、移動銀行業(yè)務(wù)。(4)NFC(Near FieldCommunication) ，是一種短距離的無線連接技術(shù)，支付和票務(wù)業(yè)務(wù)是使用最早的NFC業(yè)務(wù)。一、移動支付中的安全問題在整個移動支付的過程中涉及到的支付參和者包括：消費用戶、商戶用戶、移動運 營商、 第三方服務(wù)提供商、銀行。消費用戶和商戶用戶是系統(tǒng)的服務(wù)對象

3、，移動運營商提供網(wǎng)絡(luò)支持， 銀行方提供銀行相關(guān)服務(wù)， 第三方服務(wù)提供商提供支付平臺服務(wù)， 通過各方的結(jié) 合以實現(xiàn)業(yè)務(wù)。移動支付需要考慮以下安全問題： (1) 移動終端接入支付平臺的安全，包括 用戶注冊時， 簽約信息的安全傳遞， 以及用戶通過移動終端登錄系統(tǒng)， 其間傳遞的數(shù)據(jù)如簽 約用戶名、 簽約密碼等的安全性。 (2) 支付平臺內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?即支付平臺內(nèi)部各模 塊之間數(shù)據(jù)傳輸?shù)陌踩浴?(3) 支付平臺數(shù)據(jù)存儲的安全，涉及到簽約用戶的機密性的銀行 卡賬戶、密碼、簽約用戶名、簽約密碼等的安全性。二、移動支付的安全認(rèn)證技術(shù)當(dāng)前，移動設(shè)備的大量普及為移動支付的實現(xiàn)提供了必要的條件，但也存在許

4、多問 題制約著移動支付的實施， 如移動終端的計算環(huán)境和通信環(huán)境都非常有限， 這就需要對相應(yīng) 的安全認(rèn)證做一些特殊要求。1.WPKI 安全標(biāo)準(zhǔn)概況WPKI (Wireless PKI) 是有線 PKI 的一種擴展，它將互聯(lián)網(wǎng)電子商務(wù)中 PKI 的安全機 制引入到移動電子商務(wù)中。 WPKI采用公鑰基礎(chǔ)設(shè)施、證書管理策略、軟件和硬件等技術(shù)， 有效地建立了安全和值得信賴的無線網(wǎng)絡(luò)通信環(huán)境。WPKI以 WAP的安全機制為基礎(chǔ)，通過管理實體間關(guān)系、密鑰和證書來增強電子商務(wù)安全。WAP安全機制包括 WIM(WAP IdentityModule，無線使用協(xié)議識別模塊 ) 、WMLSCrypt(WMLS cri

5、pt Crypto API，WML腳本加密接口 )、 WTLS(Wireless Transport Layer Security ，無線傳輸安全層 ) 和 WPKI四個部分。以上各部分對實現(xiàn)無線網(wǎng)絡(luò)使用的安全分別起著不同的作用。WPKI作為安全基礎(chǔ)設(shè)施平臺，一切基于身份驗證的使用都需要 WPKI技術(shù)的支持，它可和 WTLS、 TCP/IP 相結(jié)合，實現(xiàn)身份認(rèn)證、 私鑰簽名等功能。 WPKI的主要組件包括：終端實體使用程序(EE) 、PKI 門戶(PKI Portal)認(rèn)證中心 (CA)、目錄服務(wù) (PKI Directory) 、WAP網(wǎng)關(guān)，在使用模型中還涉及數(shù)據(jù)提供服務(wù) 器等設(shè)備， WPK

6、I的基本結(jié)構(gòu)和數(shù)據(jù)流向如圖所示。在 WPKI中，代替 RA(Registration Authority) 的功能組件是 PKI 門戶 (PKI Portal) ， 它是一個網(wǎng)絡(luò)服務(wù)器，負(fù)責(zé)把 WAP客戶的需求轉(zhuǎn)發(fā)給 PKI 中的 RA和 CA(Certification Authority) 。CA 主要負(fù)責(zé)生成證書、頒發(fā)證書和刷新證書等。WAPG ateway 負(fù)責(zé)處理客戶和源服務(wù)器之間的協(xié)議轉(zhuǎn)換工作。 WTLS是經(jīng)傳統(tǒng)網(wǎng)絡(luò)的 TLS 協(xié)議改進(jìn)和優(yōu)化而得來的，主要 保證傳輸層的安全， WPKI也是對 IETF PKIX 標(biāo)準(zhǔn)的優(yōu)化，使之更適合無線環(huán)境。2.WPKI 的加密算法和密鑰WPKI

7、 是通過管理實體間關(guān)系、密鑰和證書來增強電子商務(wù)安全的，和WAP安全標(biāo)準(zhǔn)相比， WPKI所采用的 ECC(Elliptic Curve Cryptography，橢圓曲線密碼 ) 密碼系統(tǒng)更適合在無線設(shè)備中使用。同樣強度的密鑰，ECC的密鑰長度 (163bit) 只是其他方案的六分之一(1024bit) ，但 163bit 的密鑰長度對窮舉密鑰攻擊幾乎是絕對安全的，因為窮舉 163bit 的 密鑰個數(shù)有 1.156 1049 個，按每秒鐘測試 1 億個密鑰計算，也要 3.6 1032 年！三、結(jié)論支付手段的電子化和移動化已經(jīng)成為了不可避免的發(fā)展趨勢， 而移動支付系統(tǒng)的安全性 問題又是移動電子商

8、務(wù)安全的核心問題。 從技術(shù)角度上看， 需要將無線通信的安全和其他的 安全機制相結(jié)合才能滿足移動電子商務(wù)安全的需要。標(biāo)準(zhǔn)缺位移動支付陷安全瓶頸2013-05-14 00:45:27來源 : 中國企業(yè)報 （北京） 有 0 人參和分享到隨著爭議多年的移動支付標(biāo)準(zhǔn)問題塵埃落定，安全問題對行業(yè)發(fā)展的阻礙日益突出， 引起了從芯片、終端到商業(yè)銀行、支付企業(yè)和安全廠商在內(nèi)整個產(chǎn)業(yè)鏈的廣泛關(guān)注。金山安全公司技術(shù)總監(jiān)、助理總裁林凱在接受中國企業(yè)報記者采訪時表示，目前 移動支付的安全防控主要是身份認(rèn)證和通訊加密， 支付環(huán)境的安全防范比較薄弱， 傳統(tǒng)的黑 名單方式也難以跟上急劇增長的病毒增長，對于潛在的高級持續(xù)性攻擊

9、（IPT ）更是大打折扣，解決這些問題需要包括支付企業(yè)、安全廠商在內(nèi)整個產(chǎn)業(yè)鏈的共同努力和通力合作。移動支付安全問題亟待解決根據(jù)艾瑞咨詢的統(tǒng)計數(shù)據(jù)， 2012 年，中國移動 支付市場交易規(guī)模達(dá) 1511.4 億元， 同比 增長高達(dá) 89.2%。未來幾年，這一領(lǐng)域仍將保持 40%左右的年增長率。中國支付網(wǎng)主編劉剛認(rèn)為，隨著標(biāo)準(zhǔn)問題爭議結(jié)束，下一階段影響移動支付商用發(fā)展 的因素還有很多， 日益突出的移動支付的安全問題是迫在眉睫的問題。 近期的調(diào)查結(jié)果顯示， 93%的消費者表示，支付是否安全是影響其考慮使用移動支付服務(wù)的重要因素。財付通上述人士認(rèn)為，隨著智能手機以及移動支付的普及，越來越多的手機病毒

10、將會 涌現(xiàn)出來，用戶的財產(chǎn)、隱私都將受到威脅。有案例表明， 招商銀行 、建設(shè)銀行 、浦發(fā)銀行 等多款銀行類使用都曾遭遇惡意木馬篡改。和傳統(tǒng)的針對大眾用戶的木馬等病毒相比，林凱認(rèn)為，新興的高級持續(xù)定向攻擊是移 動支付更大的潛在威脅。 這是一種更具針對性的、 潛伏時長更長的攻擊手段， 在普及程度加 深和價值充分體現(xiàn)之后，移動支付將會成為這類網(wǎng)絡(luò)攻擊的重要目標(biāo)。產(chǎn)業(yè)鏈各環(huán)節(jié)積極應(yīng)對考慮到安全問題對產(chǎn)業(yè)發(fā)展至關(guān)重要，整個產(chǎn)業(yè)鏈都一直在這方面進(jìn)行努力，不僅包 括一些支付企業(yè)，某些終端芯片廠商及一些傳統(tǒng)互聯(lián)網(wǎng)安全廠商也給予了高度關(guān)注。“面對目前移動支付過程中存在的安全隱患，某些支付企業(yè)推出的相關(guān)移動支付技

11、術(shù) 能減少網(wǎng)頁的跳轉(zhuǎn)， 有效地降低釣魚網(wǎng)站和病毒的危害。 收集的信息全程加密傳輸， 信息保 管也進(jìn)行物理上的隔離，并且嚴(yán)禁用于和用戶支付無關(guān)的場景?！睒I(yè)內(nèi)人士指出。除了技術(shù)方面的努力，某些支付企業(yè)還通過業(yè)務(wù)創(chuàng)新來保障用戶資金安全。包括對手 機交易額設(shè)置了上限， 例如有些支付企業(yè)還開創(chuàng)性地推出了賠付機制， 滿足條件的用戶可以 拿到支付企業(yè)的全額賠償，希望最大限度地打消用戶使用移動支付的安全擔(dān)憂。此外，有些傳統(tǒng)互聯(lián)網(wǎng)安全廠商推出了云私有安全系統(tǒng)，該系統(tǒng)注重支付環(huán)境的安全， 通過特有的白名單技術(shù)， 將支付環(huán)境的規(guī)范化清零， 只允許白名單中認(rèn)可的程序運行， 保證 支付環(huán)境不受到病毒污染，而且對于潛在的

12、 IPT 攻擊更具有效果。安全標(biāo)準(zhǔn)缺位是根源就在產(chǎn)業(yè)鏈各環(huán)節(jié)紛紛為移動支付安全出謀劃策的時候，另一個問題浮出了水面，整 個行業(yè)缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和體系， 這給安全制度的推廣造成了困難。 例如， 高級別安全認(rèn) 證工具的推廣使用，就因為數(shù)字證書使用缺乏統(tǒng)一的硬件標(biāo)準(zhǔn)下的兼容性問題?！耙苿又Ц兜陌踩皇枪铝⒌陌踩偟膩碇v包括終端安全和業(yè)務(wù)安全，終端安全又 包括設(shè)備安全、 使用安全和數(shù)據(jù)安全， 每一個環(huán)節(jié)的安全者需要相應(yīng)的企業(yè)各司其職， 同時 又需要上下游之間充分溝通和協(xié)同，這樣才能保證整個體系的安全?！眲傉f。林凱也表示，移動支付涉及產(chǎn)業(yè)鏈的各個環(huán)節(jié)，包括銀行、公安、手機廠商、運營商、 手機安全廠

13、商等應(yīng)該全產(chǎn)業(yè)鏈聯(lián)手， 包括用戶信用意識的建立， 共同推進(jìn)移動支付業(yè)務(wù)產(chǎn)業(yè) 發(fā)展，金山安全已經(jīng)和多年移動支付企業(yè)展開合作商談。財付通相關(guān)人士也透露，財付通已聯(lián)合 騰訊 手機管家、 QQ瀏覽器，共建安全的移動支 付生態(tài)圈。財付通還在積極和安全廠商、手機廠商、移動支付提供商等企業(yè)進(jìn)行溝通合作， 以完善移動支付生態(tài)鏈的搭建。8月 21日，記者使用同事的手機成功進(jìn)行身份驗證，獲取驗證碼。實習(xí)記者 唐俊 攝開通快捷支付？小心安全漏洞！密碼可輕易破解，卡內(nèi)資金瞬間流失實驗：5 分鐘可“盜刷”2萬元 專家觀點：網(wǎng)絡(luò)支付驗證平臺要注意保密無需網(wǎng)銀，只需關(guān)聯(lián)您的信用卡或借記卡，每次付款時只需輸入支付寶支 付密碼

14、即可完成付款 ”這是支付寶快捷支付的宣傳廣告語?？旖葜Ц对诮o市 民帶來方便的同時，也給市民帶來了安全的困擾，部分使用支付寶 “快捷功能 ” 的客戶遭遇網(wǎng)絡(luò)盜刷， 和支付寶綁定的銀行卡資金被 “螞蟻搬家 ”。支付寶在自己 的網(wǎng)頁上還列出了近期因為被盜刷而理賠的案例， 最大一筆資金達(dá)到 9492.24 元。記者根據(jù)網(wǎng)上的一些提示， 對快捷支付手段做了一次安全實驗， 發(fā)現(xiàn)了一些 值得注意的安全漏洞。實驗： “撿到”手機后，五分鐘內(nèi)盜刷 2 萬元為了驗證網(wǎng)上流傳的 “快捷支付存在安全問題 ”是否真實，記者做了一個實 驗，模擬在 “撿到 ”一部手機之后，如何破解密碼并刷取卡內(nèi)資金。首先，記者拿 起同事的

15、一部手機， 當(dāng)然前提是這部手機已經(jīng)綁定了支付寶快捷支付， 并且假設(shè) 記者并不知道該同事的其他信息。下面是記者的實驗過程：第一步：記者打開支付寶的登入界面， 在賬戶名一欄記者看到輸入手機號碼 或郵箱地址的提示， 而這兩個信息拿到手機的人都會知道， 記者點擊旁邊的忘記 登錄密碼，并嘗試這個手機的號碼或手機里面的 QQ 郵箱是否已注冊支付寶賬 號，記者嘗試后知道，這個手機的號碼就是支付寶的賬號。第二步：接下來是輸入手機驗證碼， 當(dāng)你點擊發(fā)送手機驗證碼時， 會有一組 六位數(shù)字的驗證碼發(fā)到這個手機上， 這時只要你輸入這組數(shù)字， 就可以進(jìn)入更改 密碼的界面，記者由此完成對密碼的修改。第三步：知道支付寶賬號

16、和密碼后， 記者登入這個賬號的支付寶界面， 在賬 戶管理的界面里， 記者可以看到這個賬號上面的余額， 還能看到這個賬號綁定了 中國銀行卡。 記者同樣運用找回密碼這一功能， 用這個手機接到的驗證碼將綁定 的銀行卡快捷支付密碼更換。第四步： 記者接下來通過快捷支付轉(zhuǎn)賬， 輸入新的支付密碼后， 成功轉(zhuǎn)出中 國銀行規(guī)定的最高額度兩萬元。 記者看了一下時間， 從開始操作修改密碼到完成 轉(zhuǎn)賬，記者只用了 5 分鐘時間。隨后，記者又讓同事修改銀行卡密碼。但是記者發(fā)現(xiàn)銀行卡密碼被修改后， 支付寶賬戶綁定的銀行卡付款操作并未受到任何影響。 這意味著， 開通快捷支付 后，萬一手機被盜， 綁定的銀行卡很容易遭到盜刷

17、， 即使用戶修改了銀行卡的密 碼也無法阻止盜刷。二維碼支付頻現(xiàn)盜刷被暫停 移動支付遇立法空白2014 年 03 月 27【字體： 大 中 小】 來源： 責(zé)任編輯： 卡婭梅朵 日二維碼支付頻現(xiàn)盜刷，關(guān)鍵問題還在于立法的空白。目前我國有關(guān)第三方支付的立法 主要是非金融機構(gòu)支付服務(wù)管理辦法，但該辦法沒有涉及二維碼支付等移動支付方式央行近日下發(fā)了關(guān)于暫停支付寶公司線下條碼（二維碼 ）支付等業(yè)務(wù)意見的函，要求暫停支付寶、騰訊的虛擬信用卡產(chǎn)品和條碼（二維碼 ）支付等面對面支付服務(wù)。中國人民銀行支付結(jié)算司副司長周金黃 3 月 14 日接受媒體采訪時表示，央行此舉意 在規(guī)范相關(guān)業(yè)務(wù)發(fā)展和保護消費者權(quán)益，而并非

18、針對某家企業(yè)。周金黃表示，此前曾接到 一些消費者的投訴，有些用戶在二維碼支付過程中，發(fā)現(xiàn)信息和資金被盜取的問題。相關(guān)法學(xué)專家在接受法制日報記者采訪時表示，在立法尚存空白的情況下，央行 暫停該業(yè)務(wù)十分必要。二維碼支付的興起和便利2013 年 6 月，經(jīng)常坐地鐵的上班族發(fā)現(xiàn)， 一種新型的飲料和零食自助銷售機出現(xiàn)在了 部分地鐵站點。這種外表和傳統(tǒng)自動售貨機并無區(qū)別的機器，同樣擁有一個展示商品的透 明櫥窗，你只需按下商品下方對應(yīng)的按鈕，即可選擇你所要購買的飲料或零食。區(qū)別在此出現(xiàn) 選擇商品后，機器的顯示界面并沒有提醒你投幣， 而是跳出一個二 維碼圖案。你只需打開手機微信，啟動 “掃一掃 ”功能，對準(zhǔn)二

19、維碼圖案掃一下，就進(jìn)入了 手機支付程序。這被稱為 “二維碼支付 ”。按照通俗定義，二維碼支付是一種基于賬戶體系搭起來的新 一代無線支付方案。在該支付方案下，商家可把賬號、商品價格等交易信息匯編成一個二 維碼，并印刷在各種報紙、雜志、廣告、圖書等載體上發(fā)布。用戶通過手機客戶端掃拍二 維碼，便可實現(xiàn)和商家支付寶賬戶的支付結(jié)算。而商家根據(jù)支付交易信息中的用戶收貨、 聯(lián)系資料，進(jìn)行商品配送，完成交易。這項聽起來十分新鮮的技術(shù)，早在上世紀(jì) 90年代即已形成。在我國， IT 技術(shù)的日漸 成熟，推動了智能手機、平板電腦等移動終端的誕生。和此同時，國內(nèi)電商緊咬 “移動 ”概 念，推動了移動支付的快速發(fā)展。所謂

20、移動支付，又被稱為手機支付，即允許用戶使用其移動終端（通常是手機 ）對所消費的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式。 單位或個人通過移動設(shè)備、 互聯(lián)網(wǎng)或者近 距離傳感直接或間接向銀行金融機構(gòu)發(fā)送支付指令產(chǎn)生貨幣支付和資金轉(zhuǎn)移行為， 從而實 現(xiàn)移動支付功能。據(jù)央行公布的 2013 年支付體系運行總體情況 ，過去一年， 移動支付的筆數(shù)和金額 分別增長了 212.86% 和 317.56%。頻頻出現(xiàn)盜刷引央行重視在簡單便捷的同時，二維碼支付卻因頻頻引發(fā)的 “盜刷 ”案而遭到質(zhì)疑。今年 1月 19日，江蘇一名網(wǎng)店店主王先生在網(wǎng)上認(rèn)識了一名 “客戶”。該“客戶”以買 貨為名加他為 QQ 好友，同時發(fā)來一

21、張二維碼圖片讓王先生“掃一下 ”，以方便今后聯(lián)系。王先生照做了。隨后兩天里，他發(fā)現(xiàn)自己在進(jìn)行網(wǎng)上交易時無法收到短信提示，連使 用支付寶時需要的驗證碼信息也未能收到。這引起了他的懷疑。因為手機綁定了網(wǎng)銀功能，他趕到銀行查詢，結(jié)果發(fā)現(xiàn)，他的銀行卡有多次網(wǎng)上支付 記錄，總計支付 100 多次，金額高達(dá) 9 萬多元。該案最終被公安機關(guān)破獲。 據(jù)犯罪嫌疑人李某交代， 他在“二維碼 ”中植入了木馬病毒。 一旦掃描成功，受害人和手機綁定的網(wǎng)銀信息等就會自動轉(zhuǎn)發(fā)到李某的手機上。同時，受 害人的手機短信接收功能也會被屏蔽，只能發(fā)送短信，無法收到。類似的案件屢見不鮮。浙江嘉興的汪女士在淘寶交易過程中，掃描了對方發(fā)

22、來的一個 二維碼，稱必須掃描二維碼才能顯示商品信息。汪女士用手機掃了一下，隨后，支付寶、 余額寶中的 18 萬元被對方轉(zhuǎn)走。大量事實已經(jīng)證明， 手機的開放性特質(zhì)讓其極易被病毒入侵，手機殺毒查毒技術(shù)落后 讓手機網(wǎng)絡(luò)尚難筑起嚴(yán)密的保護墻。資深財經(jīng)評論員、仁和智本資產(chǎn)管理集團合伙人陳宇在接受法制日報記者采訪時 表示，二維碼支付的確存在很多安全隱患，在未大面積推廣之前就已經(jīng)備受詬病和爭議。 一旦大面積鋪開，將成為關(guān)系民生的事情?！皩τ谶@種存在安全隱患的事情，監(jiān)管層暫停是必要且合理的。 ”陳宇認(rèn)為，央行此舉 并不是就此取締二維碼支付，而是需要一段時間來解決二維碼的安全問題。規(guī)范二維碼支付需完善法律二維碼

23、支付的安全隱患， 一定程度上正是源于其生產(chǎn)方式簡單。 由于任何機構(gòu)和組織 均可隨意制作和發(fā)布二維碼， 加上傳播過程中缺乏有效的過濾措施， 極易被不法分子利用， 成為傳播非法信息、木馬病毒的工具。有效的監(jiān)管是改變這一現(xiàn)狀的唯一渠道。法制日報記者了解到，從 2006 年開始， 中國人民銀行、證監(jiān)會、銀監(jiān)會、保監(jiān)會一直在為第三方非金融機構(gòu)包括支付寶、財付通 等企業(yè)發(fā)放許可證，并將其納入監(jiān)管范圍。 這些支付平臺中的賬戶如有不正常流動數(shù)據(jù)都 會被人民銀行監(jiān)管，但是，小額用戶的資金進(jìn)出卻一直處于監(jiān)管空白狀態(tài)，這讓不少被盜 刷的市民感到投訴無門?！瓣P(guān)鍵問題還在于立法的空白。目前我國有關(guān)第三方支付的立法主要是

24、非金融機構(gòu) 支付服務(wù)管理辦法，但該辦法沒有涉及二維碼支付等移動支付方式。 ”長期研究電子商 務(wù)法律的暨南大學(xué)教授劉穎告訴法制日報記者。他認(rèn)為， 要完善對二維碼支付等移動支付手段的監(jiān)管，不單單是要針對這兩項內(nèi)容立法，而是要完善整個電子商務(wù)領(lǐng)域的立法?！耙钛a電子商務(wù)領(lǐng)域的立法缺位， 還有很多重點和難點需要逐個擊破。 ”劉穎說， “比 如電子商務(wù)環(huán)境中的糾紛解決機制，就是一個很大的難點。 電子商務(wù)尤其是眼下界限模糊 的手機支付涉及到法律的管轄權(quán)，這類網(wǎng)絡(luò)糾紛的侵權(quán)發(fā)生地很難確定。不像傳統(tǒng)交易， 公司開在廣州，管轄地就是廣州。 ”劉穎建議，完善包括移動支付在內(nèi)的電子商務(wù)法律，可以分三步進(jìn)行： “首先

25、應(yīng)有一 部叫電子商務(wù)法的法律，用于規(guī)定一些基本的問題，包括市場準(zhǔn)入、電子支付的合同和傳 統(tǒng)合同的差異化問題；第二，在傳統(tǒng)的法律中增加一些條款就可以了；第三，可以訂立一 些單行的法例， 比如在韓國， 就有一個 電子資金基本法 ，里面單列一些領(lǐng)域條款。 ”記（ 者范傳貴 ）窺私大盜盯上移動支付機具 手機刷卡器到底安不安 全2012-11-30 09:33:09 來源: 廣州日報 （廣州） 有0 人參和近期深圳有不少市民的銀行卡遭異地盜刷，有報道稱犯罪嫌疑人疑似使用拉卡拉手機 刷卡器進(jìn)行作案。有業(yè)內(nèi)人士告訴記者，不法分子盜刷是需要獲取賬號信息還有密碼的，因此并非如坊 間流傳的僅憑身份證號碼就能刷走銀

26、行卡里的錢。 昨日， 拉卡拉方面向記者表示， 拉卡拉手 機刷卡器和此事完全沒有關(guān)系，完全可以保證持持卡人的用卡安全。本報記者調(diào)查發(fā)現(xiàn)，目前移動支付雖然帶來了不少方便，但同時也面臨著被間諜軟件 威脅盜取信息的安全問題，而銀行業(yè)內(nèi)人士更是認(rèn)為移動支付目前增加了克隆卡變現(xiàn)的渠 道，其影響不容忽視。本報訊 據(jù)媒體報道， 日前， 家住平湖的打工仔鄧先生突然收到一條短信 “您尾號 2994 的儲蓄卡賬戶 11 月 25 日 8 時 42 分網(wǎng)絡(luò) ATM取款支出人民幣 3032.00 元，活期余額 83.65 元。”根據(jù)報道，當(dāng)時銀聯(lián)客服給鄧先生的回復(fù)稱，他的存款是在河南鄭州一家銀行被提走 的，而另外十余名

27、受害者中， 10 名事發(fā)地在河南境內(nèi)， 2名在山西境內(nèi)。鄧先生告訴媒體， 對方告訴他， 這是一種來自手機的網(wǎng)絡(luò) ATM刷卡消費。 報道稱， 這是一起疑似使用拉卡拉手 機刷卡器作案的異地盜刷銀行卡案，警方已經(jīng)派人去外地調(diào)查。記者了解到，近年來，經(jīng)常出現(xiàn)銀行卡被盜刷的案例，但通過手機刷卡器作案的還并 不多見。拉卡拉：非手機終端問題昨日，拉卡拉方面向記者表示，“就已披露信息而言，這是犯罪團伙通過不明渠道竊 取用戶銀行卡信息制作偽卡， 進(jìn)行異地 ATM提現(xiàn)的案件。 在某些媒體的不實報道中， 把手機 刷卡器想象成提現(xiàn)工具， 是完全沒有根據(jù)的聯(lián)想。 ”拉卡拉方面稱，拉卡拉手機刷卡器和此 事完全沒有關(guān)系。

28、拉卡拉手機刷卡器的安全性是經(jīng)過銀聯(lián)安全認(rèn)證的，一卡一密， 一機一密，加上拉卡拉多重風(fēng)險控制保障，完全可以保證持卡人的用卡安全。拉卡拉方面還表示，拉卡拉手機刷卡器是個人支付工具，有著嚴(yán)密的安全保障體系。 只獲知身份證號是不可能被刷走卡中金額的 （除個人身份證外， 必須同時滿足以下 5 點才可 使用： 用本人身份證驗證開通的手機刷卡器、 綁定的手機號、 開通時設(shè)定的登錄密碼、 銀行 卡實體而非銀行卡賬號、銀行卡密碼，缺少任何一個環(huán)節(jié)都不可能使用）。央行將發(fā)布移動支付標(biāo)準(zhǔn)來自網(wǎng)秦 的數(shù)據(jù)顯示，今年第三季度，網(wǎng)秦查殺到可具備盜取用戶支付賬戶密碼行為 的間諜軟件 357 款。安全專家透露， 目前不法分子

29、主要通過兩種形式威脅用戶支付安全， 一 是通過篡改一些知名電商使用， 在其中嵌入木馬程序， 盜用支付密碼； 二是通過專門截獲手 機的支付驗證碼形式，直接模擬用戶的購物行為。據(jù)媒體報道， 11月 27 日，央行科技司副司長陸書春透露， 近期將發(fā)布中國金融移動支 付標(biāo)準(zhǔn)。 央行方面下一步會積極推動標(biāo)準(zhǔn)使用試點示范以及基礎(chǔ)設(shè)施的完善， 并為移動支付 營造更好的環(huán)境。爭議：手機刷卡器到底安不安全？手機支付是近年興起的一種手機支付新業(yè)務(wù)，因其支付便捷，隨著智能手機的興起而 逐漸火熱。 而手機刷卡器僅一張卡片的四分之一大小， 厚度和一般手機相同。 該產(chǎn)品主要面 對個人消費者， 是一款連接智能手機的外設(shè)刷卡

30、終端， 支持 iPhone 、Android 等主流智能手 機及 Pad 產(chǎn)品。專家：僅憑身份證號碼不能刷走金額最近，一則“只要掌握機主身份證號碼即可手機刷走他人卡上金額”的消息引起廣泛 關(guān)注。 網(wǎng)秦科技手機安全專家鄒仕洪對本報記者表示，電商終端還相對安全，但實際上，由 于目前手機不法分子通常會根據(jù)攻擊目標(biāo)的安全系數(shù)來調(diào)整自己的攻擊方法， 在未能及時辨 別的狀態(tài)下，用戶仍然存在安全風(fēng)險。鄒仕洪表示，如果只是知道用戶的身份證號碼，不法分子是不可能盜刷成功的，因為 沒有獲取用戶具體哪個銀行的銀行卡賬號信息以及密碼。 鄒仕洪認(rèn)為， 這種盜刷， 極有可能 是不法分子此前已經(jīng)成功克隆了用戶的銀行卡信息以

31、及通過不法途徑獲得了用戶的銀行卡 密碼， 才借助某個平臺進(jìn)行盜刷， 這和此前被曝光的盜刷性質(zhì)是一樣的， 只是平臺進(jìn)行了更 換。為此，鄒仕洪博士提醒用戶，要定期更換賬戶密碼，并采用較為復(fù)雜的密碼保護機制， 發(fā)現(xiàn)賬戶活動異常時及時咨詢、舉報和對交易賬戶進(jìn)行鎖定。銀行：移動機具若審核不嚴(yán) 易被利用犯罪目前網(wǎng)上有很多銀行卡的資料，甚至可以買到磁條、密碼的信息，很多不法分子利用 制作假卡， 再在手機做支付進(jìn)行套現(xiàn)， “現(xiàn)在隨手可得的移動支付機具太容易讓不法分子獲 得刷卡的機會了”， 某股份制銀行技術(shù)部門負(fù)責(zé)人對本報記者表達(dá)了擔(dān)憂， “如果賣移動支 付機器的時候沒有強制的身份驗證， 如果有企業(yè)為了擴大用戶

32、量， 對刷卡機具的準(zhǔn)入的機制 也很放松，這讓移動支付的業(yè)務(wù)很具風(fēng)險。該負(fù)責(zé)人說，不法分子如果要通過ATM機變現(xiàn)，有視頻監(jiān)控進(jìn)行監(jiān)管，在商場刷卡，也有視頻監(jiān)控和簽名等機制進(jìn)行管理。 但是， 一旦銀行卡被克隆， 這種移動支付方式就提供 了一種前所未有的輕而易舉的非法變現(xiàn)途徑。案例間諜軟件竊取手機驗證碼據(jù)悉，近日一款竊取手機驗證碼的間諜軟件“窺私大盜”正在一些論壇里散發(fā)，只要 不小心被安裝了，支付驗證碼很有可能輕易就被“復(fù)制”，進(jìn)而被偷走錢。 “大家都以為手 機驗證碼是網(wǎng)上賬戶的安全保障，其實不是?！?網(wǎng)秦安全工程師提醒，如果用戶一個時期內(nèi) 頻繁收到多個手機驗證碼，這時候就要多個“心眼兒”了。另外，

33、間諜軟件一開始常被用于 非正當(dāng)?shù)纳虡I(yè)獲取機密，也有人用來監(jiān)視自己的朋友、家人。（記者李婧暄、段郴群）拉卡拉方面還表示，拉卡拉手機刷卡器是個人支付工具，有著嚴(yán)密的安全保障體系。 只獲知身份證號是不可能被刷走卡中金額的 （除個人身份證外， 必須同時滿足以下 5 點才可 使用： 用本人身份證驗證開通的手機刷卡器、 綁定的手機號、 開通時設(shè)定的登錄密碼、 銀行 卡實體而非銀行卡賬號、 銀行卡密碼，缺少任何一個環(huán)節(jié)都不可能使用）。 近期深圳有不少 市民的銀行卡遭異地盜刷，有報道稱犯罪嫌疑人疑似使用拉卡拉手機刷卡器進(jìn)行作案。有業(yè)內(nèi)人士告訴記者，不法分子盜刷是需要獲取賬號信息還有密碼的，因此并非如坊 間流傳

34、的僅憑身份證號碼就能刷走銀行卡里的錢。 昨日， 拉卡拉方面向記者表示， 拉卡拉手 機刷卡器和此事完全沒有關(guān)系，完全可以保證持持卡人的用卡安全。本報記者調(diào)查發(fā)現(xiàn)，目前移動支付雖然帶來了不少方便，但同時也面臨著被間諜軟件 威脅盜取信息的安全問題，而銀行業(yè)內(nèi)人士更是認(rèn)為移動支付目前增加了克隆卡變現(xiàn)的渠 道，其影響不容忽視。本報訊 據(jù)媒體報道，日前，家住平湖的打工仔鄧先生突然收到一條短信 “您尾號 2994 的儲蓄卡賬戶 11 月 25 日 8 時 42 分網(wǎng)絡(luò) ATM 取款支出人民幣 3032.00 元，活期余額 83.65 元。 ”根據(jù)報道，當(dāng)時銀聯(lián)客服給鄧先生的回復(fù)稱，他的存款是在河南鄭州一家銀

35、行被提走 的，而另外十余名受害者中， 10 名事發(fā)地在河南境內(nèi)， 2名在山西境內(nèi)。鄧先生告訴媒體， 對方告訴他，這是一種來自手機的網(wǎng)絡(luò) ATM 刷卡消費。報道稱，這是一起疑似使用拉卡拉 手機刷卡器作案的異地盜刷銀行卡案，警方已經(jīng)派人去外地調(diào)查。記者了解到，近年來，經(jīng)常出現(xiàn)銀行卡被盜刷的案例，但通過手機刷卡器作案的還并 不多見。拉卡拉：非手機終端問題昨日，拉卡拉方面向記者表示， “就已披露信息而言，這是犯罪團伙通過不明渠道竊取 用戶銀行卡信息制作偽卡，進(jìn)行異地 ATM 提現(xiàn)的案件。在某些媒體的不實報道中，把手機 刷卡器想象成提現(xiàn)工具，是完全沒有根據(jù)的聯(lián)想。 ”拉卡拉方面稱，拉卡拉手機刷卡器和此 事完全沒有關(guān)系。 拉卡拉手機刷卡器的安全性是經(jīng)過銀聯(lián)安全認(rèn)證的， 一卡一密， 一機一密， 加上拉卡拉多重風(fēng)險控制保障，完全可以保證持卡人的用卡安全。拉卡