文 本刊编辑部

网络支付需警惕钓鱼网站与病毒木马

文 本刊编辑部

2015年7月，中国互联网协会发布的《中国网民权益保护调查报告（2015）》显示，我国互联网用户近一年来因个人信息泄露、诈骗信息等问题，导致总体损失约805亿元。网络支付的安全问题已经不容小觑。

安全风险始终成为笼罩在网络支付之上的一层阴云。从发送钓鱼网站链接到病毒木马植入，互联网用户的银行账户、社交软件账号等核心信息被非法窃取，钱包正在遭遇空前危机。据业内人士对介绍，无论钓鱼网站怎样伪装，其诈骗都有几个常规步骤：诱导用户点击陌生链接，然后跳转至钓鱼网站，得到个人信息、银行卡账号及密码，再通过木马拦截用户手机来自银行的验证码及消费提示进行盗刷。而随着智能手机的普及，钓鱼网站也逐渐瞄准了移动支付领域。

公安部网络安全专家表示，近几年手机端的钓鱼网站明显增多。“最常见的是通过伪基站发送短信。在我们见到的直接造成财产损失的案例中，占绝对主流。对方通过伪基站的方式进行短信群发，伪造假银行网站的非常多，基本国内的商业银行都被模仿过。”而面对移动支付安全问题频发的情况，据网安专家介绍，手机的防范难度很高，这与手机和电脑系统的差异有很大关系。电脑杀毒软件的权限很高，但是手机不一样。有的手机可能不会有任何这方面的提醒。此外，通过恶意链接、二维码以及伪装APP将木马植入手机，也是一种重要方式。另外，节日期间的红包大战已经泄露了红包木马的巨大能量。据了解，抢红包神器、红包大盗等木马程序通过窃取用户社交账号及密码，或者以伪APP等方式，植入手机木马病毒，留存用户银行卡号、身份证号等敏感信息后，从而对用户的银行卡进行盗刷。

在钓鱼网站与病毒木马频发的背后，是网络支付诈骗行业背后的暴利。2015年11月5日，猎网平台（由北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立，目前是国内第一个网络诈骗全民举报平台）发布的首个《现代网络诈骗产业链分析报告》显示，2014年1-9月共接到全国网民举报网络诈骗案件20086起，涉案金额高达8901万元，人均损失4431元。据初步统计，网络诈骗产业的从业人数至少有160万人，“年产值”超过1100亿元。在高昂利润的驱使下，网络支付诈骗早已形成了一条完整的黑色地下产业链。

据了解，在这条黑色产业链中，涉及支付类的病毒木马售价通常高达数千元甚至上万元。而且通常有使用期限，到期需要再度续费。有业内人士表示，“这是一个很完整的产业链。行骗的是一批人，做网站的是另一批人，之间都互不了解，也根本不会见面，全在网上进行交易。甚至还包括最后的洗白销赃环节。”

网络支付的未来

随着互联网支付规模，特别是移动支付规模的不断增长，解决支付安全风险迫在眉睫。在今年的全国两会上，腾讯马化腾提出，要重点打击电信网络诈骗等新型犯罪。加大刑事案件打击力度，遏制网络黑客犯罪的蔓延趋势。此外，他还提出，企业要建设共同治理网络安全的生态体系。其中，互联网企业应发挥大数据分析、云计算和云存储能力，对用户行为建立模型。而电信运营商则应禁止网络改号电话等非法运营项目，加强对伪基站的打击配合和重点地区的线路排查，清理二手4G卡买卖市场，落实手机卡实名制等等。

事实上，国家相关机构已经从法律和网络上对网络支付的风险作出限定。2015年6月底，十二届全国人大常委会第十五次会议已经审议了《网络安全法（草案）》，并于2015年7月初向社会公开征求意见。《草案》的重要内容则包括，将我国公民个人信息保护纳入法律正轨。

2015年7月31日，央行也在其网站公布了《非银行支付机构网络支付业务管理办法（征求意见稿）》。该《管理办法》传达了明确的监管意见：鼓励支付机构定位于支付通道，限制账户功能，账户功能仅限于小额支付。

但网络安全专家李铁军说，“未来互联网支付诈骗依然会很严重，我国是移动支付做得最好的国家，问题是网民的安全意识还很薄弱。病毒的技术含量并不高，如果用户提高防范意识，不随意点击短信里的陌生链接，不在钓鱼网站输入个人信息，则不会对用户的财产安全造成损害。”他同时还表示，从技术上来说，也不可能消除支付诈骗。“骗子总是会随着时代的发展而更新骗术，常骗常新。”随着微信的广泛应用，虚假公众账号诈骗，微信投票、点赞诈骗，微信扫码关注等新兴诈骗方式已经兴起。

网络支付的安全之路，任重而道远！

链接1：红包大战开启个人网络支付时代的到来

“抢红包了吗？”在已经过去的春节，大部分人在拜年问候之后可能都会问出这句话。“红包”这个并不年轻的节日传统，目前已经成为移动支付行业大战的导火索。猴年新春的网络红包大战，标志着个人网络支付时代的全面到来。几乎所有的中国网络巨头都参与这场红包大战，搅动了亿万国人的神经。

根据中国人民银行2016年春节期间支付清算系统停运的安排，各商业银行在2月6日19：00至2 月9日20:00小额支付汇路和网银互联汇路停运，跨行转账和跨行资金归集等业务暂停服务。网络红包大战恰恰就集中发生在这个期间，“红包”非常简单容易地成为个人跨行资金往来的替代者。

网络支付时代全面到来

“咻一咻”“刷一刷”“摇一摇”“拍一拍”猴年春节让更多的用户意识到，免费午餐越来越不容易得到了。少数人获得百元以上的“巨款”和多数人获得“几块钱”，哪种情况用户更开心？这更说明这个游戏最开始的目的就不是为了让大家开心，而是其商业属性。

红包的目的还是支付。社科院金融研究所研究员表示，亿万民众参与网络红包大战，恰恰使个人学会了、弄懂了、实践了网络个人资金账户间资金往来的便利性、有效性。经过此轮网络红包大战，个人网络资金账户体系有能力替代个人商业银行账户体系，从这个意义上说，标志着个人网络金融时代的正式开启。

从红包大战看移动支付未来

红包大战的背后，对于互联网巨头们来说，深层次上争夺的其实是对移动支付市场的入口。移动支付是互联网时代平台运作最基础的能力，商业生态模式都将建立在支付的基础上才能够实现。

阿里：春晚期间，支付宝红包扔出了8亿红包，创下了3245亿次互动，共208个国家和地区的用户参与福卡互动。在晚会进行当中，“咻一咻”互动平台总参与次数达到3245亿次，是去年春晚红包互动次数的29.5倍，在21点09分，用户的参与热情达到了顶峰210亿次/分钟。

腾讯：除夕到初五，微信红包收发次数达321亿次，5.16亿人通过红包与亲朋好友分享节日欢乐，比羊年春节增长10倍。除夕当天，微信红包收发总量为80亿次，共有4.2亿人参与，摇一摇参与人数1.8亿人。

百度：猴年大年初一中午12时，百度钱包开福袋次数达112亿，共发放出价值42亿的福袋。“开福袋”活动语音互动累计达3.2亿次，在除夕夜23 点56分，570多万声“过年好”一起迎接钟声。

找到别人没有的、或想不到的商业模式并实现它，便是创新。以红包作为载体，这是因为红包的发放，绝不仅仅是一个经济分配的问题，更多的是社交关系的互动。简单来说，没有一个人能够依靠抢红包发财致富，但是借助着发放红包契机，将激活社交群体的交往动力，强化与弱关系朋友的互动联系。因为，这才是支付的明天。

所以从红包的本质来说，更为重要的是其社交属性，而非其交易属性，这也决定了没有社交沉淀的红包发放，可能并不能带来真正的社交沉淀。而基于真实朋友圈的私信活跃，才能使得关系与支付的关系更加黏合。各种移动支付都将会是基础，连接更多的支付场景，这是移动支付真正要去关注的引爆点，通过过年发红包的行为，让用户绑定银行卡，这只是连接用户支付的第一步。

链接2：中国网络空间安全协会在京成立

2016年3月25日上午，中国网络空间安全协会在京举行成立大会，这是我国首个网络安全领域的全国性社会团体。

据介绍，中国网络空间安全协会是由国内从事网络空间安全相关产业、教育、科研、应用的机构、企业及个人共同自愿结成的全国性、行业性、非营利性社会组织。协会发起会员共计257个，其中单位会员190多个，囊括了国内主要互联网企业和网络安全企业、权威科研机构，具有广泛的代表性。

成立背景：维护网络安全已成时代课题

国家网信办副主任王秀军出席大会并致辞说：“互联网的迅猛发展使网络安全的重要性日益凸显，维护网络安全已经成为政府、企业、社会和我们每个网民等各个方面必须面对和重视的时代课题。”

公安部网络安全保卫局副局长邓宏敏表示，网络空间特有的开放性、交互性、匿名性、跨地域性和跨时空性给网络社会治理提出了新的课题。

“从网络安全到网络空间安全，这是一个安全境界上的巨大飞跃。”会员代表、哈尔滨安天科技发展有限公司首席架构师肖新光提出，应完善网络空间安全风险认知，建立总体安全观。

针对网络空间治理的特点和难点，李欲晓秘书长表示，推动全社提升网络安全意识，健全机制，形成一个安全、可信、可靠的环境，通过这样的环境的构建，推动我们国家整个从网络大国向网络强国迈进的步伐。

工作方向：紧紧围绕网络强国战略

对中国网络空间安全协会的工作方向，王秀军副主任提出四点希望：一是紧密围绕网络强国战略，着眼国家维护网络安全的基本方针和中心任务开展工作，牢牢把握正确发展方向；

二是广泛吸纳网络安全领域具有代表性的各类机构和人才，不断增强行业代表性和权威性，同时加强同国际上相关组织和人士的交流，积极开展网络安全国际交流合作；三是加强线上线下统筹，动员社会力量参与维护网络安全；四是积极促进行业自律，推动网络安全行业健康发展。