信息消费的安全隐患

曾剑秋

互联网和信息技术的飞速发展，使人们进入了信息消费的时代，随之出现了社交网络、电子商务、跨平台移动即时通信、手机支付等越来越多的信息消费平台，信息消费已成为扩大内需，拉动消费的重要原动力。

随着信息消费的快速发展，信息消费中的信息安全问题也浮出水面，如手机病毒、网络欺诈、信息泄密、垃圾短信等，给个人、企业、国家带来了极大的损害，引起了社会广泛关注。

为实现2015年信息消费总量超过3.2万亿元的目标，除了丰富信息产品，鼓励信息消费外，还需要加强信息保护，提升互联网和移动互联网领域的信息安全，实现安全、健康的信息消费。

安全隐患颇多

信息消费的安全问题需要从多维度进行分析。

2013年8月14日，工业和信息化部要求在推进信息消费进程中需要构建安全可信的信息消费环境，依法加强个人信息保护，规范信息消费市场。2013年12月23日，中国消费者协会发布的信息消费与安全的报告显示，用户资料泄漏、通过支付渠道诈骗以及电脑安全问题成为消费者最为担忧的问题。

首先，用户个人信息泄漏、垃圾短信泛滥。短信在以惊人的速度发展之时，也因其超常规的发展速度，法律与政策的缺失以及巨额隐性利益促使制造“垃圾短信”，而面临逐渐增多的非议。除受利益驱使外，消费者对自身权益的保护不到位的习惯也是导致垃圾短信泛滥的原因。此外，垃圾短信的发送渠道更加隐蔽，“僵尸短信”等恶意软件可以操纵用户的手机，点对点发送垃圾短信；另一类恶意软件，利用安卓系统或其他软件的漏洞，将自身号码进行伪装，将有害信息伪装成“短信”形式蒙蔽用户。

垃圾短信泛滥的根本原因在于用户个人信息的泄漏，信息泄漏包括两种：“主动”泄漏和“被动”泄漏。“主动”泄漏指攻击者直接诱骗用户，诱导用户主动打开诈骗链接，对用户电脑、手机等终端设备中植入木马等恶意软件，通过这些渠道将信息贩卖以及泄漏给攻击者。“被动”泄漏指在第三方的信息库中存储的用户关键信息，如商场会员卡、租房买房、网站注册时填写的个人信息，而第三方信息公司将用户一些关键的信息贩卖给攻击者。在移动互联网时代，恶意软件成为窃取个人信息的重要手段。客户相关信息泄漏之后，提供群发短信服务的服务商可以利用其获得巨额利益。群发垃圾短信行业形成了一条从窃取用户个人信息到点对点发送垃圾短信的完整产业链，从有需求的内容提供商、到提供群发短信服务的服务提供商、再到各类用户号码的信息提供者等，最终手机用户成了被动的接受者。

其次，新型网络欺诈威胁信息消费安全。智能终端、二维码应用、支付宝等渠道给予人们以便捷的消费方式，同时这些方式也带来了安全隐患。二维码扫描由于使用方便且安全性高，在多个领域被使用，现阶段成为黑客不断攻击的渠道。通过网络进行欺诈的渠道分为两种：一种是攻击者自己进行账号注册，利用群发短信软件发含有木马程序的欺诈信息，用户的终端设备在点击之后，就会即刻被植入木马；另一种是在一般的网上折扣商城中，利用消费者往往对于低价商品缺乏抵抗力的心理弱点，诱骗用户。而针对二维码应用的欺诈现象则属于第一种，由于可以通过二维码扫描添加链接，攻击者通过为二维码添加附带木马程序的连接，用户在扫描二维码时，即刻手机便开始被植入木马，木马程序就可以通过后台运行获取用户支付宝账户的信息，并可以数据信息伪装成用户的手机，从而代替用户进行认证，此时的操作是非授权的。这些类型的网络欺诈如此泛滥，其最重要的原因也在于消费者个人信息的泄漏。

再次，网络钓鱼成为信息消费安全威胁之首。网络钓鱼，是指攻击者通过伪装，利用网络诱骗受害人透露自己的账号、密码等信息的欺诈活动。据调查报告显示：2013年前三季度，360安全中心共截获新增金融投资类钓鱼网站6.4万个，较上年全年增长 42%，其影响范围较上年呈明显扩大趋势。随着安全软件的普及，现在木马的生存空间越来越小，网络钓鱼则成为攻击者采用的最主要方式。“网络钓鱼”收益主要来源于银行存款的直接套现，即钓鱼大都发生在买卖双方的交易过程当中，钓鱼者通过发布让人心动的宝贝吸引买家，在买卖双方交流沟通的过程中，卖家会把钓鱼网站链接发过去，如果买家点击进行交易，存款和支付宝账户就很有可能都会被盗取。近年来，网络钓鱼案件呈逐渐上升的趋势，受害群体的范围也更为广泛，钓鱼网站的存活期以小时计算，仅靠黑名单的防护方法并不及时和足够，如何在客户端动态有效地甄别钓鱼网站是一项有挑战性的课题。

与此同时，超级网银无法回避安全问题。超级网银又被称为“第二代支付系统”，能为银行业金融机构提供灵活的接入方式、清算模式和更加全面的流动性风险管理手段，实现网银互联，支撑新兴电子支付的业务处理和人民币跨境支付结算，实现本外币交易的对等支付 （PVP）结算。今日，超级网银突陷安全漩涡，攻击者通过钓鱼链接、交易失败提示、客服聊天等组合，诱骗受害者进行“网银授权支付”，由于“超级网银”并不对双方关系进行认证，攻击者可轻易将受害者资金盗取。

网银在西方国家已是非常普遍的支付手段，超级网银的发展方向虽然正确，但与此同时，涉及的安全问题无法回避。首先，网上支付的相关技术在不断进步，对应的支付金额也在快速增长。其次，从安全方面来讲，黑客攻击也开始抬头，全球的金融系统面临着巨大的挑战。最后，从相关调查上看，网上支付所占的市场份额也已出现了较大幅度的增长。“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标。

如何根治

为推动信息消费的增长，必须保证信息安全，国务院《关于促进信息消费扩大内需的若干意见》提出要加强信息消费环境建设，提升信息安全保障能力，加强个人信息保护，规范信息消费市场秩序等。从近期信息消费发展的实践来看，建立诚信的社会体系，提升信息安全保障能力以及加强个人信息保护能力成为保障信息消费安全时不我待的事情。

在诞生之初，就以强大的募资能力吸引公众舆论的余额宝的规模已经突破了1000亿元，微信5.0版本也增加了支付功能，其支付场景在不断扩充，从优惠券、到售货机、再到百货商场以及海底捞餐饮等，这些产品的发展让互联网金融如火如荼。然而互联网金融商业模式中，目前最具代表性的网络信贷之所以取得如此迅猛的发展，主要原因在于其不需要抵押担保，而是依靠用户的信用评价体系来决定放贷。endprint

只有让消费者放心，各种信息消费才能真正发展壮大。在互联网金融发展的众多商业模式中，目前只有第三方支付得到了严格监管，但对网络贷款、众筹融资以及财富管理还存在监管空白。第三方支付的身份认证体系是由账户名、密码和短信组成的，短信是其中一个非常关键的认证要素。从技术层面来讲，短信属于双信道通信，是一种简单有效的增强安全的机制。它与其他安全机制并不冲突，经过合理的设计，可以与其他安全机制进行结合，发挥更好的作用。但是在智能手机中，操作系统开发接口允许应用对短信进行读取，这就带来了安全隐患。

互联网金融面临的信用拷问体系问题，在信息消费的诸多其他领域同样严重，例如网络购物、移动支付等。目前，支付宝等平台打造的电子商务诚信体系与消费金融创新的结合对国家信用体系的建设正在发挥作用，除了能够帮助其更好地判别消费者的信用，对于消费金融公司更好地掌握消费者所贷资金的动向也有好处。

伴随智能手机、移动互联网的快速发展，移动终端上的安全问题也日益凸显。智能手机的功能已经远远超过了传统意义上对手机打电话、发短信等功能的界定，还具备个人信息管理以及基于无线数据通信的浏览器和电子邮件等功能，这就使得以前电脑存在的安全问题转移到了智能手机上。

目前智能手机使用的最为广泛的安卓操作系统，由于其开源和免费的特性，导致安卓系统碎片化问题越来越严重。一方面，安卓系统的碎片化令其及时更新非常困难；另一方面，厂商定制在某种程度上破坏了原生安卓系统的安全机制，并在引入新功能时将新的安全漏洞同时引入到系统中。为此，强健智能移动终端的安全性，实现 PC 端和智能移动终端的跨平台统一安全防护非常关键。

要降低信息消费风险，最重要的是克服用户的心理弱点并提升安全意识。网络欺诈之所以能够成功，在于其掌握了消费者的心理，以超低的价格或者超高的收益为诱饵，引诱消费者上当，如果消费者能够冷静客观地分析，就能够防止很多欺诈。

然而，国内用户信息消费安全意识明显不足，仅52.8%的网上支付用户关注网上支付的安全问题，还有47.2%的用户对网上支付安全问题表示非常不关注或较不关注。为此，用户需要提升信息消费安全意识，一方面，需要随时随地留意可能造成信息泄漏的场景，保存所有可能涉及自己个人信息的文件。另一方面，消费者在网络购物需要进行支付时，要对相应的电子支付渠道的安全状况增加了解，选用有安全保障的电子支付产品，尽量避免使用二维码扫描这种刚刚出现、片面强调创新而过于缺乏安全保障的电子支付渠道。在目前法律还有待细化的情况下，最为重要的还是消费者增强自我的保护意识，不轻易泄露自己的个人信息。

信息消费作为国家政策被提出，已经昭示了一个新时代的到来，无论是信息通信技术从3G到4G的迭代，还是互联网应用、移动互联网业务模式的创新，都在为信息消费市场的扩大打基础。随着信息消费市场的不断扩容，与之而来的信息安全问题也逐渐引起了消费者的关心，为保证信息消费政策的稳健实施，不仅需要调整和完善消费政策，营造保护信息消费安全的政策环境，还需要引导消费观念，提高信息消费安全保护意识和能力。只有在信息消费产业链的各个环节保障消费者的安全，建立安全可靠的信息基础设施、信息终端设备，保护信息消费者权益，才能实现信息消费的健康、持续发展。

（作者为北京邮电大学教授，裴延萌、杨萌柯对本文亦有贡献）endprint