全民进入“扫码”时代 安全问题如何解决

全民进入“扫码”时代 安全问题如何解决

打开支付宝或微信，让商家扫一扫码，就可以付款；或者消费者扫一下商家的二维码，输入付款金额，也可以买单。二维码支付的出现改变了人们的付款方式，但是当“二维码被植入木马病毒”“莫名其妙被扣款”等安全隐患曝出，对此类网络支付的安全使用越来越需要引起人们的警惕。

比银行卡更易被盗刷

不管是商场超市还是街边小店，扫码支付已经成为标配。上海一家羊肉粉店老板称，平时一天营业额两千或三千元，差不多一半都来自于扫二维码支付，不用找零。

与二维码蓬勃兴起相伴的，是不少业内人士的担忧：二维码没有防伪功能，支付指令验证手段单一，容易被不法之徒利用。事实上，确实有不少用户因二维码“中招”。

江西赣州的陈女士是一个网商，她透露，今年5月份，有一个名叫“深夜里的徘徊”的客户给她发信息说要买货，付款时，客户让陈女士提供一个二维码进行扫码支付。而实际上，这个二维码是陈女士的“付款码”，是陈女士付款给对方。由于搞不清“收款”和“付款”的区别，陈女士前后给该客户发了三次“付款码”照片。结果，当晚陈女士发现，自己的银行卡被盗刷了2300多元钱。

“二维码支付在2014年初势头太猛，而且确实存在一些安全隐患，再加上那时候银联和银行也没做好准备，冲击比较大，所以央行选择了暂时叫停。”一位来自第三方支付机构的业内人士如是说。

在中国社科院支付清算研究中心主任杨涛看来，二维码在交易差错处理、纠纷解决机制等配套规范并没有跟上。

支付限额被“分级”

从2014年的一纸禁令，到如今“承认其官方地位”，消费者最关心的安全问题究竟有没有实质性的改变？

金融分析专家表示，目前在安全性方面的要求明显提高了，“比交易时要采用三种验证要素——包括消费者本人知悉的要素，如静态密码等；消费者本人持有并特有的、不可复制或不可重复利用的要素，如经过安全认证的数字证书、电子签名、一次性密码等；消费者本人生理特征要素，如指纹等。另外，对交易限额根据不同的风险防范能力也做了分级。采用不足两类要素对交易进行验证的，为C级，因为安全性太低，同一客户单日累计支付金额不超过1000元。”

此外，在硬件设备方面也作了规定，包括支付企业需遵循客户实名制的准则，支付过程中的条码生成和受理需遵循一系列操作规范和移动支付技术安全标准；开展条码支付业务所涉及的业务系统、客户端软件、受理终端/机具等，应当持续符合监管部门及行业标准要求。

“二维码支付以软件的形式通过开放的移动互联网处理交易，因此安全性低于传统的银行卡刷卡交易。在即将出台的规范中，最重要的就是要保证支付过程中的安全。”

对于“扫”或“被扫”两种扫码方式，在业内人士看来，仍存在安全隐患。消费者扫描商户二维码支付，本质上是通过二维码定位商户第三方支付账户，再进行转账操作，此种方式存在缺少防伪功能、指令验证手段单一等问题；而商户用扫码枪扫消费的付款码，此时付款码就相当于银行卡+密码，全程无用户验证，消费者权益容易受到损害。

就像杭州的金先生所言，第一次使用付款码时吓了一跳，商家扫完条码就直接支付了，他扫了付款码后，最好是消费者收到一个支付金额的提醒，并且要支付方输入支付密码后支付才能完成。

商业银行起步较慢

“相对于传统Ukey等硬件支付方式来说，扫码支付的安全性的确较弱，但总体风险还属于可控的范围，这也是经过一段时间的实践慢慢被公众和监管部门接受的原因。”上海市信息安全行业协会专委会副主任张威表示。

实际上，即使监管部门未放开扫码支付，第三方支付公司仍旧变着法地玩，比如微信的“面对面收钱”、每年双十二支付宝推出的优惠活动，都引得大爷大妈纷纷抢着使用扫码支付。

支付行业场景为王，更多的支付场景代表着更高的用户黏性、更多的沉淀资金和进一步的客户金融需求。扫码支付由于其便捷性，成为第三方支付公司扩展线下消费场景的利器。而在扫码支付中沦为支付接口的商业银行们，自然也没闲着。

工商银行率先在北京推出了二维码支付产品，同支付宝一样，可以用手机扫码支付，也可以由POS机扫描手机付款码支付。据悉，工行的二维码支付产品嵌入Token技术，通过对卡号的变异处理，保护客户的资金和信息安全。此前已经和ApplePay合作的中国银联，拟把二维码这一种交互方式充实到“云闪付”产品系列中，作为非接触式支付的补充。

扫码支付是移动支付市场即将燃起的又一股热潮。银行的风控能力和业务规范能力更强，但第三方支付企业的先发优势明显，在初期投入巨大资源进行了大量的市场和商家推广，用户培育效果明显。

链接：误点陌生支付链怎么办

日常浏览网页，常会见到曝光钓鱼网站、非法链接的案例，银行也时不时发信息提醒注意财产安全，切勿点击陌生的链接。于是就有人忍不住要问，收到条短信，是熟人发的，还有链接，当时没有太注意就点了，打开后显示未知错误，这才想到会不会是木马病毒？是不是钓鱼网站？个人财产就危险了吗？今天，我们就从两个案例中来看误点陌生链接该怎么办。

案例一：小兰收到银行官方客服发来的短信，内容是：“我行喜讯通知：您账户已满1000积分，可兑换5%的现金，请登录手机网查询兑换，逾期失效。”小兰确实有一张该行的信用卡，于是立即点击了短信中的链接。“当时页面也挺逼真的，我想应该不会有什么问题，就按照上面的要求，填写了姓名、卡号、身份证号和取款密码。”随后，手机接连收到了三条提示短信，他的信用卡被刷了三次，每次2500元，合计7500元。小兰立即致电银行客服冻结了信用卡，才没造成进一步的损失。随后，他向公安机关报警求助。

案例二：张先生收到了一条95588发来的短信，内容是：“尊敬的用户您好，您的工商银行账户积分可兑换1998元现金，请及时登录我行网址进行兑换，逾期失效。”紧接着，张先生便点开了短信里的链接，按照步骤开始操作。当操作到最后一步，要求张先生输入个人信息包括银行卡信息时，张先生突然停住了，“我脑子突然就跳出了之前看过的电信诈骗的新闻，觉得有点不对劲。”为了验证自己的想法，张先生立即打电话给工行的客服进行询问，证实了银行没有搞过类似的活动，他收到的短信确实是诈骗短信。

安全提示：这两个例子是最常见的，虽然都点击了钓鱼网站，但是一个输入了自己的信用卡信息，一个最后一步醒悟终止了操作，那结果也是不同的。由此可见，误点了陌生的链接，只是电信诈骗的大门，并不意味着现在你的财产就危险了，如果及时停止，给手机杀杀毒，一切都还不晚。当你点了陌生链接，而又输入了信用卡的个人信息时，才是最危险的一步，一旦收到消费短信，应立即致电发卡行冻结信用卡，并报警，减少财产的进一步损失。

此外，银行积分兑换时不会进行“虚拟扣款”，如短信中提示为支付信息，请高度警惕；如对银行发来的相关短信存在疑问，建议暂不要做任何操作，第一时间向银行网点工作人员咨询。一旦发现信用卡被盗刷，请立即致电银行客服热线冻结信用卡，并向警方报案，避免扩大损失。