神刀安全网

网上盗刷事件频发,风险肇始于“快捷支付”?

刚过去的一段时间里,银行卡被网上盗刷的各种新闻屡屡见诸报端。

在正文开始前,先普及下“网上盗刷”的基本知识:

除电话诈骗外,目前银行卡主要通过技术手段的盗刷犯罪手段主要分为线上和线下两种。线下盗刷从复制磁条盗窃密码到改造POS复制付款令牌等等不一而足,随着金融IC卡的逐渐普及以及降级交易的逐渐关闭,此类风险事件的发生概率在逐渐减少;而网上盗刷这个新的犯罪手法,则在短短的五六年内急速发展。由于网上盗刷具有批量化、无需接触受害者实体介质等特点,总量已反超线下盗刷。

而在很多报道中,以分析技术问题为主要内容,以痛斥银行不给赔付最终第三方支付解决问题以及电信运营商管理不力导致验证码泄露结尾,却只字不提网上盗刷的渠道所存在的问题,仿佛“它”就应该摆在那里不做改变一样。 然而要想解决网上盗刷问题,渠道绝不应该是被忽视的地方。

快捷支付的前世今生

前面提到的网上盗刷的渠道,大部分都是通过一个名为“快捷支付”的业务进行的。而这个业务本质上是第三方支付所提供,由支付宝首创,在发展一定时间后各家第三方支付开始跟进。

支付宝在当时发展快捷支付是有其客观需求的。在淘宝发展的早期,网上支付量快速增长,特别是“双11”这类人造购物节日更是集中了很长一段时间的流量在一天内爆发。而大部分银行的网关支付相关建设并没有为这种爆发性的交易需求做好准备,导致实际支付成功率与支付宝所期望的有一定差距。

因此, 支付宝便要求银行为其提供类似于代扣水电费保费之类的代扣功能,绕开了银行本身的网关支付,减少了双方核心系统之间的通讯环节,提高了支付宝实际付款的成功率。 鉴权/核身+代扣,这就是快捷支付的早期形态。

在那个时候,从银行角度看快捷支付并不是一个太大的问题。在收益方面有支付宝沉淀的存款和个人客户新开卡,还可以降低网关支付的压力;在风险方面支付宝当时已经发展到一定规模因此卷款跑路的可能性很小,如果出现小范围风险问题也可以将接口关闭,完美。至于互联网金融,那是什么?

2011年4月,支付宝的快捷支付正式推出,风险问题也随之而来。同年8月银监会下发《关于加强电子银行信息管理工作的通知》,要求快捷支付类产品首笔业务前必须经由银行方进行身份验证。而快捷支付实际上只是由第三方支付向银行发送客户在银行所预留相关信息和手机号码来核对客户身份进行开通,并不是由银行在其自身的物理或电子渠道进行客户身份验证,自然更谈不上确认客户自行开通的意愿。银行据此向支付宝提出修改意见,但有传言称支付宝以影响客户体验为由拒绝了,这也是之后2014年工行支付宝之争中工行方指责支付宝“快捷支付违法”、“拒不改正”的原因。

在现在看来,银监会在2011年所下发的管理文件从风控角度讲其实已经看到了快捷支付的风险点所在,在执行方面却出现了问题。在之后的几年中,各类隐私泄露日趋严重,通过快捷支付渠道的网上盗刷案件急速增加,而包括支付宝在内的第三方支付早已经发展到一个很大的规模,快捷支付为很多客户所接受,接口已经不能随意关闭,如不寻找其他方式进一步收紧限制,银行原本的风控设计将沦为空谈。

2014年3月前后,四大行分别下调包括支付宝在内的所有第三方支付快捷支付渠道限额,以此来降低被盗客户在盗刷案件中的损失金额。但四大行安全程度较高的网关支付限额并未同步调整,因此在部分业内人士看来,此举应是监管层非公开指导下的风险防控行为。

然而当时恰逢余额宝发布不足一年,银行间市场资金荒仍未退去,高企的货币基金利率所引发的投资狂热使得余额宝在某个层面上成为了支付宝的护身符,“谁敢动支付宝就是要动余额宝,而谁敢动余额宝就是与人民为敌”俨然成了那个时间段网络上的政治正确,四大行的限额调整自然被骂的狗血淋头,即使再三强调通过网关支付仍可投资余额宝也收效甚微。

最终,事情以支付宝指责工行“知法犯法”后将备付金存管账户转至建行,四大行逐步将原来由各省分行分头接入的各家第三方支付快捷支付接口统一上收至总行管理,监管当局再次发文强调对银行和第三方支付公司的合作要加强管理而结束。 至于四大行到底是为了风险控制还是如阿里所指责的那样为了限制余额宝发展,已成为一场罗生门。

防弹衣的缺口

事实上,快捷支付被银行诟病已久,从开通到每次支付,都与银行传统的风控理念相去甚远。目前快捷支付的开通方式是由第三方支付向银行发送客户输入的银行所预留相关信息和手机号码来核对客户身份进行开通,并不验证银行卡密码。但从银行角度来看,个人客户资金的安全措施最重要的是密码以及本人现场验证,其他信息和方式都仅仅是辅助。而快捷支付所验证的身份资料、预留手机号等都不是银行眼中的关键性安全因素,在实际上打破了银行原有的支付安全体系。即使银行后来为竞争而推出了类快捷支付产品,但开通验证内容中必须有卡密码,这也从一个侧面验证了银行和第三方支付对关键性安全因素的认识差异。

2015年底,马云对传统金融和互联网企业的风控区别是这么评价的:“传统金融可能做的风险是把防弹衣做得越来越厚,越来越好,而我们的创新是让杀手根本不可能靠拢你。”从这个角度看,快捷支付实质上是第三方支付在银行以密码为安全核心的“防弹衣”上破坏出的一个缺口,虽然有安全措施,但“杀手”只要被漏过来,资金被盗就是必然的结局。因此, 目前通过快捷支付被盗的资金由第三方支付而不是银行进行赔付也是有其道理所在, 并不是像某些媒体所说银行店大欺客只有第三方支付才为客户考虑之类。

隐私的泄露与黑色产业链

如果仅仅是防弹衣上存在缺口但无人利用,并不会有目前如此猖獗的盗刷行为。然而目前个人隐私泄露的情况可以说是触目惊心,快捷支付与银行方核对的客户相关信息早已经不能作为识别客户身份的完善依据,更不足以成为防范风险的屏障。

4月10日,中央电视台新闻三十分节目中播出了银行卡盗刷的来龙去脉。大概内容说的是犯罪分子通过伪基站发送钓鱼短信、架设免费WIFI、改装POS等方式盗取个人信息、短信验证码和银行卡信息,再通过复杂的黑色产业链最终将资金窃取。

事实上,包括你我在内的绝大多数普通人的隐私早已经在某一群人手中流传。任何一个存储海量个人信息的网站被“拖库”或被内部人卖出后,这群人的饕餮盛宴便随之开始,而依靠这些个人信息和密码来进行客户身份验证的网站自然成为下一轮攻陷的目标,最终他们的数据库将会成为比你我更了解自己的存在。例如某些人仍在津津乐道的“社工库”,暴露在大众面前的不过是冰山一角,多个不同渠道拿到的数据库根据身份证和手机号等关键键值就可以将信息匹配在一起,对每个人的隐私信息都有了完美的画像,在黑色产业链中形成了另外一个意义上的“千人千面”。

除了非法手段之外,很多企业对客户的隐私的漠视也是隐私泄露的重要原因。比如目前移动要求客户更换4G卡时将客户常去的地址提供给电话营销人员、之前爆出的蚂蚁花呗催收通过联系关系人来提醒借款人进行还款的方式等,都是将客户隐私交给组织内权限较低的人员甚至外包人员,大大增加了泄漏的可能和日后追责的难度。

至此,快捷支付与银行所核对的信息已经失去了验证客户本人身份和意愿的能力,只有手机验证码在苦苦抵挡。

躺着也中枪的电信运营商

“如果我决定用支付宝做我家大门的门锁,被盗了之后可以指责它嘛?”这是笔者一个在移动工作的朋友所讲的笑话。虽然听起来是无稽之谈,但这却正是电信运营商在网上盗刷案件中所面临的窘境。

短信验证码是快捷支付核对用户身份的重要环节。然而手机通讯技术经过了多年的发展,从模拟信号到GSM,再到现在的4G LTE以至未来的5G,技术一直在不断的进步,网速越来越快,通话质量越来越好。但各代技术却有一个共同点:手机号码及短信不作为重要安保措施。即使体量大如移动,也一直是在NFC这条路上前行。

这其实是很正常的思路。对电信运营商来说,主营的电信业务实际上所涉及的客户资金只有话费,而话费提现要经过很复杂的流程且金额并不大,因此没有多少对卡及手机号安全方面保护的想法,若不是国家要求恐怕连实名制的想法也没有。毕竟即使卡丢失或补办,对电信运营商及其客户也不会有什么直接性的损失。直到有一天,他们被绑架到了快捷支付的战车上,才发现自己虽没有从中获得多少利益,却已被千夫所指。

目前,除了常见的伪基站伪造号码以及批量发送钓鱼短信之外,电信运营商所提供的一些服务也成为犯罪分子利用的工具。比如之前的短信保管箱保存短信验证码、最近爆出的通过邮箱发送诈骗短信等等。而虚拟运营商的170号段更是成为了钓鱼短信发送的重灾区。 这些问题都在实际上将快捷支付所撕开的缺口越扯越大。然而换个角度看,第三方支付这种“没打招呼就从隔壁邻居家拿根油条当门栓”的方式又有什么立场来指责“油条”不够坚固呢?

监管与未来发展

前面的分析里,银行、第三方支付公司、电信运营商看起来各自有各自的原因和委屈,然而即使谁都没错,用户的钱被盗了也是事实。因此整个链条上的企业都应该主动承担更多的社会责任,毕竟资金的风险问题还是遵循着木桶理论的。目前,银行及电信运营商已在电话号码用户识别、换卡二次验证、伪基站自动排查、钓鱼网站拦截等方面做了大量的工作,但对于快速扩散的网上盗刷案件来说,仍有很长的路要走。

同时,监管方面并没有选择继续等待。

2015年12月底,央行出炉了《非银行支付机构网络支付业务管理办法》。在这个文件中,央行强调了银行是客户资金安全的管理责任主体,应在首笔交易时自主识别客户身份并与客户直接签订授权协议,承诺无条件全额承担此类交易的风险损失先行赔付责任,这其实是对银行提出了对快捷支付特别是开通方面的管理要求,与11年银监会的文件在本质上一脉相承。

另外,《办法》中也规定了支付机构对不能有效证明因客户原因导致的资金损失及时先行全额赔付,并对支付机构进行了风险分类,风控能力较弱的第三方支付每笔200元以上非定期的快捷支付都必须由银行方进行验证,风控能力较好的第三方支付可以与银行通过协议自主约定由支付机构代替进行交易验证,但必须将支付相关信息告知银行。

2016年4月,《非银行支付机构分类评级管理办法》正式出台。结合前面提到的《非银行支付机构网络支付业务管理办法》来看,一些技术能力不足,业务水平有限,风控能力较差的中小型第三方支付公司将逐渐弱化,直至退出舞台;而技术能力较强、业务水平较高、风控能力较强的大型第三方公司将获得优待。

同月,中央十四部委联合印发了《非银行支付机构风险专项整治工作实施方案》, 第三方支付包括快捷支付在内的直连银行模式可能将在一段时间后走到终点,取而代之的可能是一个新的网络支付结算平台。

当这些监管文件落实到位的时候,我们可能需要告别原有模式的快捷支付;而迎接我们的,则是一个依然便捷但更加安全的未来。

作者微信公众号:拔剑四顾心茫然

*文章为作者独立观点,不代表虎嗅网立场

本文由四顾剑 授权虎嗅网 发表,并经虎嗅网编辑。转载此文章须经作者同意,并请附上出处(虎嗅网)及本页链接。原文链接http://www.huxiu.com/article/146806/1.html

关注微信公众号虎嗅网(huxiu_com),定时推送,福利互动精彩多

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 网上盗刷事件频发,风险肇始于“快捷支付”?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址