互联网+时代,越来越多的消费和支付从线下转移至互联网。而春节红包大战,以及Apple Pay的高调入华,更让移动支付日益普及。但随之滋生的,是日益增多的互联网支付安全风险。
2015年7月,中国互联网协会发布的《中国网民权益保护调查报告(2015)》显示,中国互联网用户近一年来因个人信息泄露、诈骗信息等问题,导致总体损失约805亿元。
互联网支付的安全问题已经不容小觑。这背后的黑色渠道和利益链是怎样实现的?互联网支付安全的未来又在哪里?
网络支付的阴云
安全风险始终成为笼罩在互联网支付之上的一层阴云。
从发送钓鱼网站链接到病毒木马植入,互联网用户的银行账户、社交软件账号等核心信息被非法窃取,钱包正在遭遇空前危机。
据《华夏时报》记者了解,钓鱼网站主要是采用模仿正规网站域名、篡改正规网站页面等方式,得到用户提供的银行卡号、密码、账户等信息。
有业内人士对记者表示,其实无论怎样伪装,钓鱼网站的诈骗都有几个常规步骤:诱导用户点击陌生链接,然后跳转至钓鱼网站,得到个人信息、银行卡账号及密码,再通过木马拦截用户手机来自银行的验证码及消费提示进行盗刷。
而随着智能手机的普及,钓鱼网站也逐渐瞄准了移动支付领域。
猎豹安全专家李铁军对记者表示,这几年手机端的钓鱼网站明显增多。“最常见的还是通过伪基站发送短信。在我们见到的直接造成财产损失的案例中,占绝对主流。”
“对方通过伪基站的方式进行短信群发,伪造假银行网站的非常多,基本国内的商业银行都被模仿过。”他对记者说。
而来自腾讯的《2015互联网安全报告》也显示,在钓鱼网站的分布上,除了传统的虚假网购、中奖诈骗外,仿冒手机银行、运营商的钓鱼网站开始呈现爆发式增长。此外,仿冒证券公司的虚假投资网站也在2015年达到高峰。
面对移动支付安全问题频发的情况,李铁军对记者表示,手机的防范难度很高,这个跟手机和电脑系统的差异有关系。电脑杀毒软件的权限很高,但手机不一样。例如苹果就可能不会有任何这方面的提醒。
此外,通过恶意链接、二维码以及伪装APP将木马植入手机,也是一种重要方式。
春节期间的红包大战已经泄露了红包木马的巨大能量。
据记者了解,抢红包神器、红包大盗等木马通过窃取用户社交账号及密码,或者以伪APP等方式做为入口,植入手机木马病毒,留存用户银行卡号、身份证号等敏感信息后,从而对用户的银行卡进行盗刷。
腾讯发布的上述报告显示,目前手机上常见的支付病毒有10种,其中16.81%的支付类病毒会隐藏自己的真实目的,以躲避安全软件的查杀。此外,窃取隐私数据的支付病毒占比则达到14.80%。
黑色地下产业链
在钓鱼网站与病毒木马频发的背后,是网络支付诈骗行业背后的暴利。
此前据猎网平台于2015年11月5日发布的首个《现代网络诈骗产业链分析报告》显示,去年1-9月,共接到全国网民举报网络诈骗案件20086起,涉案金额高达8901万元,人均损失4431元。
而据其初步统计,网络诈骗产业的从业人数至少有160万人,“年产值”超过1100亿元。
据记者了解,猎网平台由北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立,目前是国内第一个网络诈骗全民举报平台。
而在高昂利润的驱使下,网络支付诈骗早已形成了一条完整的黑色地下产业链。
上述业内人士对记者表示,在这套产业链上有负责制作网站的开发者,负责批发零售的“包马人”,还有实施“种马”的拉单人,以及最后的洗白销赃环节。
“这是一个很完整的产业链。行骗的是一批人,做网站的是另一批人,之间都互不了解,也根本不需要见面,全在网上进行交易。”他对记者说。
据记者了解,在这条地下产业链中,涉及支付类的病毒木马售价通常高达数千元甚至上万元。而且通常还带有使用期限,到期需要再度续费。
但高价并不能阻碍“包马人”的热情,因为这其中的利益更为丰厚。
据记者了解,此前被宣判的浮云木马的制作人,在两个月里得到了20万元的收入。而他开发的浮云木马则涉嫌窃取了数百名网银用户的上千万元。
而此前据记者登陆淘宝网发现,有众多抢红包神器出售,价格从几元到几千元不等。而这些抢红包软件往往被植入木马,一旦安装就可以用它来收集用户的隐私信息、盗取账号等。
李铁军也对记者表示:“这一行业一条龙下来的很少,大部分都是相互拆开。交易的方式也很成熟。”他同时还表示,微信内置的安全功能会对红包木马植入自动进行大规模拦截,因此红包木马不会是主流的欺诈方式。
网络支付的复杂心情
用风声鹤唳、草木皆兵来形容用户对互联网支付的复杂心情,并不为过。
一个典型的例子,是今年1月10日晚上,微信钱包用户大规模解绑银行卡的蝴蝶效应。
当晚微信朋友圈被微信公开课PRO版的“我和微信的故事”刷屏,而有关应用链接会盗取微信号和支付宝号的谣言也随之扩散。
虽然各方随即都进行了辟谣,但“微信之父”张小龙曾在随后的发布会上感慨,“很多,真的是很多,是百万级的用户开始提现、解绑自己的银行卡了,我们这个服务器也几乎挂掉了。”
解绑事件无疑折射出用户对互联网支付风险的警惕。而这种警惕,则是源于层出不穷的互联网安全信息风险中监管的缺失。
事实上,想要做到对互联网支付的完全监管并不容易。
李铁军对记者表示,网络支付诈骗越过了几种监督渠道。“比如伪基站是通过骗子手中自身的设备发送,绕过了运营商的网络,根本无法发现,成本还很低。”
据记者了解,伪基站发送的短信号码可以随便定义。诈骗者将带有恶意链接的短信伪装成银行、电信的常用客服号码发送,具有极大的隐蔽性和欺骗性。
此外,互联网支付诈骗的风险很小。
猎网平台分析显示,网络诈骗地下产业规模之所以迅速扩大,主要是由于网络诈骗犯罪具有异地作案、小额多发、取证困难等特点,打击难度大。
此外,目前针对互联网支付产业链的相关法律还并未到位。而对移动支付过程中的金融风险监管也存在缺位。
而上述业内人士也对记者表示,由于产业链上各条分工严密,异地作案,很难追查到钓鱼网站或者木马背后的利益相关者。
互联网支付的未来
尽管监管难以到位,但随着互联网支付规模,特别是移动支付规模的不断增长,解决支付安全风险迫在眉睫。
在今年的全国两会上,腾讯CEO马化腾提出建议,要重点打击电信网络诈骗等新型犯罪。加大刑事案件打击力度,遏制网络黑客犯罪的蔓延趋势。
此外,他还提出,企业要建设共同治理网络安全的生态体系。
其中,互联网企业应发挥大数据分析、云计算和云存储能力,对用户行为建立模型。而电信运营商则应禁止网络改号电话等非法运营项目,加强对伪基站的打击配合和重点地区的线路排查,清理二手4G卡买卖市场,落实手机卡实名制等等。
事实上,国家相关机构已经从法律和网络上对网络支付的风险作出限定。
在2015年6月底,十二届全国人大常委会第十五次会议已经审议了《网络安全法(草案)》,并于7月初向社会公开征求意见。
而《草案》的重要内容则包括,将我国公民个人信息保护纳入法律正轨。
此外,在去年7月31日,央行在其网站公布了《非银行支付机构网络支付业务管理办法(征求意见稿)》。该《管理办法》传达了明确的监管意见:鼓励支付机构定位于支付通道,限制账户功能,账户功能仅限于小额支付。
但李铁军对记者说:未来互联网支付诈骗依然会很严重,中国是移动支付做得最好的国家,问题是网民的安全意识还很薄弱。
他对记者表示,病毒的技术含量并不高,如果用户提高防范意识,不随意点击短信里的陌生链接,不在钓鱼网站输入个人信息,则不会对用户的财产安全造成损害。
他同时对记者表示,从技术上来说,也不可能消除支付诈骗。“骗子总是会随着时代的发展而更新骗术,常骗常新。”
事实上,随着微信的广泛应用,微信虚假公众账号诈骗,微信投票、点赞诈骗,微信扫码关注等新兴诈骗方式已经兴起。而互联网支付的安全之路还任重而道远。