卜士矩

手机支付值得看好有关难题亟待攻关

卜士矩

随着移动支付市场的不断扩大，手机网民数量的高速增长，以及移动电子商务相关产业链的日趋成熟，我国网上支付和手机支付的总体规模迅速扩大。统计显示截至2013年12月末，使用网上支付的用户规模达到2.6亿，使用率达到42.1%。其中手机在线支付增长更为迅猛，用户规模达到1.25亿，使用率超过 25%，较2012年底提升了11.9个百分点。互联网支付交易规模超过5.3万亿元，同比增长46.8%。手机支付交易规模超过1.2万亿元，同比增速超过了700%。

最近一段时间阿里巴巴旗下的支付宝平台，与腾讯微支付平台在手机支付市场展开了贴身厮杀，通过互联网理财产品、春节红包、手机打车软件等烧钱抢盘，竞争得异常激烈，几场战役下来让网民对手机支付的认知度迅速扩大提高，对于推进市场普及教育，改变支付行业格局带来了积极变化，在国内手机支付市场中，支付宝钱包、各大银行网银客户端、拉卡拉、微信支付形成了第一军团，占据了超过90%的市场份额。支付宝钱包遥遥领先，占据了约60%的市场。腾讯的微支付增长迅猛蓄势待发下一轮，成为冲击支付宝钱包老大地位的有力竞争者。

看好手机支付理由很充足

美国移动支付公司Square的出现，引领了一场支付方式革命——抛却繁琐的现金交易和各种名目繁多的银行卡，只需要一部智能手机或平板电脑即可完成付款；正如Square的宣传语一样，整个交易过程“无现金、无卡片、无收据”。包括Square在内 GoogleWallet、PayPal以及其他NFC支付技术，正在引领市场走向无纸质货币时代。通过其iPhone等智能手机，用户就能完成存取款、转账等各种操作，存取票据用手机拍照保存即可，再也不用跑去银行取号排队办理业务。

随着3G技术的兴起和发展，带来了移动电子商务的兴起，使手机成为更为便捷的交易终端。最近几年我国互联网高速发展普及率不断提高，为电子商务的发展打下了坚实基础。物流业发展是电子商务得以运行的保障，手机支付有赖于互联网技术支撑及物流业兴旺发达，虽然物流业发展存在这样那样的问题，但是随着市场的不断发展和完善，政府出台政策解决物流业问题，物流业的健康发展将为手机支付带来丰富的业务。

国内众多第三方支付企业以及运营商，都在加紧布局手机支付应用。如今通过手机支付完成消费正逐渐成为人们的习惯，其中增长潜力最大的就是手机银行的使用。手机支付这一新兴的购物模式，不仅是网络购物的延伸，而且成为都市年轻人群快节奏生活方式的象征。未来在手机支付业务中支付额度将逐渐向大额支付领域延伸，通过移动支付购买实体商品的种类逐渐丰富，支付业务种类逐渐从手机钱包扩展到移动借记卡、移动信用卡等信用媒介。预计未来几年我国手机支付将迎来爆发式增长。

随着网上商务活动不断发展壮大，国家加强政策法规规范网上交易。相继出台了《电子签名法》、人民银行电子支付指引（第一号）。我国金融机构在加紧发展电子支付业务的同时，吸收融合先进的国际规范与惯例，加紧建立较为完善的电子支付和结算的同业规范。进一步消除制约网上结算业务发展的不利因素。

手机支付风险分析

自2013年下半年以来，随着互联网金融概念的火热，越来越多的网民加入了使用手机支付和手机理财的人群，与之相随的是针对手机支付的恶意攻击也愈演愈烈日趋突出，受害者损失超过了以往的互联网诈骗造成的损失程度。从国内移动支付业务的开展情况看，仍然缺乏统一的被广泛认可的支付安全标准。亟待形成一个相对完善的行内标准，给用户提供诚信的支付环境。经分析恶意攻击手机支付呈现以下几种形式：

1.手机验证码大盗。该病毒的特点是非常简单的低成本病毒，开发门槛很低掌握社会工程学技巧就能够轻易得手。病毒的主要功能是拦截短信，验证码大盗病毒有的拦截所有短信，有的只拦截与验证码有关的短信，病毒将拦截下来的短信通过电子邮件或短信转发传递给犯罪嫌疑人，犯罪嫌疑人用偷来的验证码和从受害者处得到的身份证号、密保信息、银行卡号等个人信息即可重置密码。得到登录和支付权限之后就可以立刻转出余额、进入消费（一般是买游戏点卡和手机充值卡），或是通过快捷支付消费关联银行卡的活期存款、申请淘宝贷款，受害者损失可以高达数十万元。

2.网购退款钓鱼。网民正常交易之后骗子假冒网购卖家，谎称交易失败联系要买家退款。聊天中发送钓鱼网站骗取受害者银行卡、身份证及验证码信息。得手后通过互联网支付工具迅速转移受害者网银资金。受害者除通过网络购买一般商品会上当外，一些预订机票的客户在起飞前被犯罪嫌疑人拨通电话，借口航班取消或改签欺骗受害者退款，聊天过程中让受害者通过网银或ATM转账的，类似案例大量出现成为目前的热点。

3.以办信用卡骗取信息。以办理大额信用卡为幌子，欺骗受害者提供个人信息，办理银行卡开户，将新储蓄卡关联犯罪嫌疑人手机号，犯罪嫌疑人迅速通过互联网支付工具，采用和类似的补办手机SIM卡方法，将受害者新办储蓄卡里的所有资金转走。除此之外还有犯罪嫌疑人制作了各种山寨的网银、支付类应用客户端诱骗用户下载使用，获取用户信息。让用户在不经意间泄露个人信息，给账户财产安全造成极大威胁。

4.以假身份证翻新诈骗短信。通过非法购买个人信息伪造他人身份证，在管理不严的电信运营商营业厅补办手机卡，谎称受害人的手机SIM卡失效，致使新SIM卡直接落入犯罪分子手中，其后的结果和验证码大盗中毒，犯罪嫌疑人可轻易通过重置密码来获得受害者资金的支配权。为了获得用户的手机号、银行账号、银行卡密码，不法分子设计话费中奖类诈骗短信，诱骗用户点击短信的“钓鱼网站”兑取奖金。该短信采用“伪基站”的手段，将发送号码伪装成中国移动的服务号码10086，增加诈骗短信的迷惑度。用户一旦进入钓鱼网站，就会被要求填写的手机号、银行账号、密码等信息，并且下载看似“中国移动客户端”正规的软件，实则是新型手机病毒，拦截了来自银行正真验证短信。

专家建议及解决方案

发生手机风险案件有两个条件：第一是各种原因导致的个人信息泄露；第二是手机支付依赖的手机验证码信息到了犯罪嫌疑犯手中。要阻止网络犯罪发生须同时满足两个基本条件，建议如下：

1.研制通用标准，提供技术支撑。加强手机支付安全保障基础和通用标准研制，为移动支付的安全提供基础性技术支撑；加强支撑手机支付业务应用的RFID标准研制，突破RFID空中接口安全保障技术，加快RFID空中接口协议的制定；移动支付产业链中各部门加强合作，制定通用移动支付安全保障流程、协议、安全标准，保障手机支付业务系统的互联互通，促进手机支付产业的安全、快速、健康发展。

2.认识密码重要性。用户在没有意识到账户安全风险的情况下杜绝主动泄密，主动泄露往往伴随着不法分子精心设计的各式“钓鱼陷阱”。近日百度手机卫士就识破了一个以“钓鱼”手段骗取用户信息的移动支付“连环陷阱”。重要的、关键的网络服务（比如常用邮箱、B2C网站账号、QQ、微博等），必须确保不重复使用密码。重复使用密码如同一把钥匙能开所有的门，只要任意一个网站被黑客入侵，就会危及所有关键网络服务的安全。手机支付者可以选择在电脑上使用密码管理软件，生成复杂密码将生成的密码加密存储在本地计算机，注意定期更换重要服务密码。

3.协同保护个人信息。相关企业、协作单位共同保护个人信息。掌管用户个人信息的企业、单位、国家机关防止黑客入侵，加强信息系统安全管理，司法机关加强对非法倒卖个人信息犯罪的查处，依法打击黑客非法入侵；厂商、媒体、银行等机构对网民进行持续性的安全常识教育，让手机支付使用者养成自觉保护个人信息的习惯。

使用安全软件拦截手机应用软件，存在的权限滥用问题，阻止手机软件非法收集个人信息。

亟待解决的技术难题

手机支付方式存在两个明显的技术弊端：一是大多数手机受到SIM卡容量的限制，发送的信息全部为明码致使支付安全性较低；二是通过短信支付即时性较差，难免造成资金流和物流的停滞。若要使手机支付达到理想的快捷、安全的层面，至少还要从技术角度解决两个方面的问题。

首先是如何实现SIM卡与STK卡的融合。STK卡是小型编程语言软件，可以固化在SIM卡中接收和发送GSM的短信数据，起到SIM卡与短信之间的接口作用。允许SIM卡运行自己的应用软件。其次是如何通过技术手段保障信息传输的及时性。利用手机支付一般设计要求短信手段在遇到存储等问题，使其不能及时转发而有一定的时延。解决物品购买不能用短消息而需用语音实现导致的交易成本增加。如何通过语音回拨等方式对SMS、WAP、GPRS等传输手段机型综合比较、择优定型。

2014年腾讯管家发布“移动支付安全升级版”，在业内创新了移动支付“前、中、后”闭环保护，为移动支付的支付终端安全性提供保障。随之而来的是国家法律保障不健全，交易安全问题仍未得到妥善解决。譬如电子支付方面的法律规范，需要明确电子支付的当事人之间，包括付款人、收款人和银行之间的法律关系，制订相关的电子支付制度。同时还应出台对于电子支付数据的伪造、变造、更改、涂销问题的相关规则。从加强交易安全的角度，需要交易主体资格的确认、确立信用制度立法、其他相关的电子商务法律，诸如加强数据保护、保证用户个人隐私权、保证用户具有对互联网信息进行控制的自主权等，以解决电子商务发生的种种纠纷，防止诈骗等案件的发生，保证当事人在电子支付中的合法权益不受侵犯。

链接：

移动支付也称为手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合，为用户提供货币支付、缴费等金融业务。移动支付主要分为近场支付和远程支付两种，所谓近场支付，就是用手机刷卡的方式坐车、买东西等，很便利。远程支付是指：通过发送支付指令（如网银、电话银行、手机支付等）或借助支付工具（如通过邮寄、汇款）进行的支付方式，如掌中付推出的掌中电商，掌中充值，掌中视频等属于远程支付。目前支付标准不统一给相关的推广工作造成了很多困惑。