數(shù)據(jù)來(lái)源：中國(guó)支付清算協(xié)會(huì)、中國(guó)銀聯(lián)

二維碼暗藏支付陷阱

制作成本低，騙子可隨時(shí)更改賬號(hào)，往往打掉一批又出現(xiàn)一批，很難從根本上杜絕

家住北京海淀區(qū)的李浩有一輛私家車，平時(shí)開(kāi)得少，也從未吃過(guò)罰單。一個(gè)周末，李浩開(kāi)車去大興區(qū)的朋友家做客，看到小區(qū)周邊道路停滿私家車，他也就把車停在了路邊。從朋友家出來(lái)，李浩卻發(fā)現(xiàn)自己車的擋風(fēng)玻璃上多了一張印有二維碼的“違章停車通知單”。

“一開(kāi)始以為是誰(shuí)放的小廣告，細(xì)看發(fā)現(xiàn)有交警支隊(duì)的公章，還抄了我的車牌號(hào)。”李浩看附近車輛都有這樣的“通知單”，便信以為真，開(kāi)始按“通知單”提示準(zhǔn)備掃描二維碼繳款。正在這時(shí)，另一位車主走來(lái)，將自家車上的“通知單”揭下，李浩上前詢問(wèn)才知，原來(lái)這是一種支付欺詐手段，一旦支付成功，錢款就轉(zhuǎn)入了騙子的微信賬號(hào)。

拿到李浩提供的“通知單”，記者打開(kāi)手機(jī)微信掃描了二維碼，手機(jī)立刻轉(zhuǎn)入支付界面，金額為200元，還有“北京市大興區(qū)交通支隊(duì)”的字樣，暗示用戶在繳納罰款。然而，記者仔細(xì)查看支付頁(yè)面，在用戶頭像下方，卻有一排“向個(gè)人用戶轉(zhuǎn)賬”的提示，表明這是個(gè)人賬號(hào)。記者點(diǎn)擊下方“轉(zhuǎn)賬”按鈕，彈出“收款方微信支付賬號(hào)已被凍結(jié)”的字樣，顯示這一賬號(hào)已被舉報(bào)查封。

“現(xiàn)在吃飯、購(gòu)物都是習(xí)慣性地掃描二維碼，沒(méi)想到二維碼還可以這樣騙錢。”李浩告訴記者，經(jīng)過(guò)這件事，他對(duì)二維碼支付的安全性產(chǎn)生了懷疑。

武漢大學(xué)生鄭凱就曾吃過(guò)二維碼的虧。今年3月，他在學(xué)校附近準(zhǔn)備使用共享單車，根據(jù)提示掃描二維碼后，就跳轉(zhuǎn)到微信支付頁(yè)面，用戶頭像是該單車品牌的LOGO，金額為99元，鄭凱誤以為是要求支付押金，點(diǎn)擊付款后，微信錢包里的錢就被轉(zhuǎn)走了，單車卻并沒(méi)有開(kāi)鎖，小鄭這才發(fā)現(xiàn)，原來(lái)自己掃描的二維碼是貼在車身上的，揭下這張，才露出原來(lái)的單車二維碼。

“就這么在光天化日下公開(kāi)進(jìn)行詐騙，難道就沒(méi)有辦法管管?”鄭凱抱怨。他找到當(dāng)?shù)嘏沙鏊?，警方表示，類似的二維碼騙局已經(jīng)發(fā)生多起，目前只能要求支付機(jī)構(gòu)查封相關(guān)賬號(hào)，盡力幫助被害者追回?fù)p失，但因?yàn)槎S碼制作成本太低，騙子又可以隨意生成新賬號(hào)，往往是打掉一批又出現(xiàn)一批，很難從根本上杜絕。

如今，出門不帶錢、一部手機(jī)走天下成為不少人的習(xí)慣，而在諸多移動(dòng)支付方式中，二維碼因?yàn)榉奖憧旖莩杀镜偷葍?yōu)勢(shì)，成為小額支付最主要的形式。中國(guó)金融認(rèn)證中心的調(diào)查顯示，在當(dāng)面支付100元以下金額時(shí)，用戶首選使用手機(jī)二維碼、條形碼支付的比例為28%，位居首位。

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)披露的數(shù)據(jù)顯示，中國(guó)手機(jī)用戶常遇手機(jī)安全軟件問(wèn)題中，支付陷阱占比88.3%，排第一。

“相比其他支付方式，二維碼支付對(duì)硬件設(shè)備的要求最低，但這種低成本優(yōu)勢(shì)是雙刃劍，一方面推動(dòng)其快速布局，另一方面也極大降低了不法分子實(shí)施支付欺詐的成本。”中國(guó)銀聯(lián)支付安全專家王宇告訴記者，從技術(shù)角度看，二維碼誕生之初是為物聯(lián)網(wǎng)設(shè)計(jì)的，與金融行業(yè)要求的絕對(duì)安全有一定差距。

“正是考慮到二維碼在安全性上存在不足，二維碼并沒(méi)有被商業(yè)銀行認(rèn)可和大規(guī)模使用。”華夏銀行戰(zhàn)略發(fā)展部戰(zhàn)略室負(fù)責(zé)人楊馳對(duì)記者說(shuō)，目前二維碼造成的支付風(fēng)險(xiǎn)主要表現(xiàn)為釣魚風(fēng)險(xiǎn)，即通過(guò)二維碼鏈接將用戶帶到偽造的網(wǎng)站或支付頁(yè)面，普通用戶很難辨別真?zhèn)?，同時(shí)二維碼支付是在開(kāi)放的網(wǎng)絡(luò)環(huán)境中完成，可能造成網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)泄密風(fēng)險(xiǎn)。此外，由于用戶自身手機(jī)丟失等造成的設(shè)備風(fēng)險(xiǎn)也是重要因素。

信息泄露成為支付風(fēng)險(xiǎn)源

一些第三方支付機(jī)構(gòu)違規(guī)操作、挪用客戶資金的行為，可能引發(fā)連鎖金融風(fēng)險(xiǎn)

今年“十一”期間，廣州居民李文生一家到美國(guó)自由行，回國(guó)不久就收到短信，稱可申請(qǐng)退稅簡(jiǎn)易流程，他按提示撥打400開(kāi)頭的電話后，對(duì)方以銀行客服身份要求李文生登錄其提供的銀行英文網(wǎng)頁(yè)進(jìn)行操作，在輸入了卡號(hào)、密碼、驗(yàn)證碼等信息后，李文生發(fā)現(xiàn)賬戶資金減少，隨即找到真實(shí)的銀行客服電話詢問(wèn)才知，他的賬戶資金已經(jīng)通過(guò)第三方支付機(jī)構(gòu)在網(wǎng)上消費(fèi)掉了。

“平時(shí)我也聽(tīng)說(shuō)過(guò)有這種釣魚網(wǎng)站，但對(duì)方掌握我去美國(guó)的詳細(xì)行程，甚至連一些消費(fèi)地點(diǎn)都知道，我才相信了。”李文生說(shuō)。

“移動(dòng)支付的快速發(fā)展，讓支付驗(yàn)證開(kāi)始脫離硬件設(shè)備，進(jìn)入到單純靠信息驗(yàn)證的階段，這就對(duì)用戶敏感信息保管提出了更高要求，一旦信息泄露，意味著可能的資金損失。”王宇說(shuō)，近年來(lái)很多新出現(xiàn)的第三方支付機(jī)構(gòu)，出于擴(kuò)大市場(chǎng)的考慮，往往降低安全管控，對(duì)交易管理的識(shí)別、反欺詐能力相對(duì)較弱，不能很好地?fù)?dān)負(fù)起資金把關(guān)人的職能，而技術(shù)投入上的不足，很容易造成用戶支付信息外泄。

中國(guó)支付清算協(xié)會(huì)發(fā)布的報(bào)告顯示，2016年有近200家網(wǎng)上商城或支付平臺(tái)被曝出存在安全漏洞導(dǎo)致數(shù)據(jù)庫(kù)信息被竊取，其中多家網(wǎng)站泄露的用戶信息達(dá)數(shù)百萬(wàn)條，最多甚至達(dá)到上千萬(wàn)條。

中國(guó)人民銀行副行長(zhǎng)范一飛表示，由于互聯(lián)網(wǎng)的虛擬化、支付服務(wù)的移動(dòng)化、參與主體的多樣化，支付風(fēng)險(xiǎn)呈現(xiàn)蔓延速度快、隱蔽性強(qiáng)、潛伏期長(zhǎng)、外溢效應(yīng)明顯的特點(diǎn)，支付行業(yè)在敏感信息保護(hù)、客戶資金安全、業(yè)務(wù)連續(xù)性等方面壓力較大，信息泄露已成為支付安全問(wèn)題的風(fēng)險(xiǎn)源頭。

不僅如此，一些第三方支付機(jī)構(gòu)違規(guī)操作、挪用客戶資金的行為，存在引發(fā)金融風(fēng)險(xiǎn)的可能性。“一旦支付機(jī)構(gòu)違規(guī)挪用資金，客戶支付就會(huì)出現(xiàn)問(wèn)題，如果眾多支付風(fēng)險(xiǎn)在短時(shí)間內(nèi)同時(shí)爆發(fā)，可能引發(fā)連鎖金融風(fēng)險(xiǎn)。”楊馳說(shuō)。

據(jù)不完全統(tǒng)計(jì)，近3年來(lái)，共有48家第三方支付機(jī)構(gòu)被監(jiān)管部門處罰71次，累計(jì)被罰近1億元。因注銷、主動(dòng)申請(qǐng)注銷、不予續(xù)展和續(xù)展合并等因素，270家非銀行支付機(jī)構(gòu)在2016年縮減為255家。

今年3月，非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付清算平臺(tái)(簡(jiǎn)稱“網(wǎng)聯(lián)”)啟動(dòng)試運(yùn)行，根據(jù)央行要求，自2018年6月30日起，支付機(jī)構(gòu)受理的涉及銀行賬戶的網(wǎng)絡(luò)支付業(yè)務(wù)全部通過(guò)網(wǎng)聯(lián)平臺(tái)處理，旨在管住資金通道，防范系統(tǒng)性風(fēng)險(xiǎn)。

平衡效率與安全的蹺蹺板

支付機(jī)構(gòu)看重體驗(yàn)、商業(yè)銀行看重安全，兩者需要互學(xué)、互融

雖然移動(dòng)支付面臨種種安全風(fēng)險(xiǎn)，但并未阻擋其快速發(fā)展的步伐，中國(guó)支付清算協(xié)會(huì)的統(tǒng)計(jì)顯示，今年第二季度，我國(guó)移動(dòng)支付業(yè)務(wù)持續(xù)保持較快增長(zhǎng)，移動(dòng)支付業(yè)務(wù)筆數(shù)和金額同比分別增長(zhǎng)40.51%和33.84%，非銀行支付機(jī)構(gòu)處理網(wǎng)絡(luò)支付業(yè)務(wù)筆數(shù)和金額同比分別增長(zhǎng)67.85%和34.87%。

“移動(dòng)支付雖然有風(fēng)險(xiǎn)，但讓我退回到全靠銀行U盾支付的環(huán)境也不太可能了，誰(shuí)會(huì)出門消費(fèi)帶著U盾和電腦呢?”上海浦東的年輕白領(lǐng)劉婧告訴記者，自己身邊很多人，哪怕是被騙過(guò)錢的人，都并沒(méi)有放棄對(duì)新興移動(dòng)支付方式的使用。

中國(guó)銀聯(lián)發(fā)布的調(diào)查報(bào)告顯示，我國(guó)移動(dòng)支付已進(jìn)入全面普及階段，2016年有96%的受訪者使用過(guò)手機(jī)等移動(dòng)設(shè)備支付，較上年增長(zhǎng)14%，而使用網(wǎng)銀支付的比例僅20%，較上年下降15%。在支付驗(yàn)證方式上，2016年46%的被調(diào)查者使用過(guò)指紋識(shí)別方式，同比增長(zhǎng)2.5倍，其中“95后”受訪者中，這一比例高達(dá)7成，U盾、數(shù)字證書等傳統(tǒng)驗(yàn)證方式使用比例呈明顯下降趨勢(shì)。

“以U盾為代表的支付驗(yàn)證措施，依然是目前最安全的驗(yàn)證手段，在大額支付領(lǐng)域短期內(nèi)不可替代，但也確實(shí)存在使用繁瑣、流程復(fù)雜等問(wèn)題。”楊馳告訴記者，基于各自不同的發(fā)展目標(biāo)，第三方支付機(jī)構(gòu)往往把支付體驗(yàn)放在第一位，而風(fēng)險(xiǎn)偏好較低的商業(yè)銀行則把支付安全放在第一位，兩者需要相互學(xué)習(xí)、相互融合，共同打造便捷安全的支付環(huán)境。

“金融科技帶來(lái)的支付創(chuàng)新都面臨一分為二的挑戰(zhàn)。”中國(guó)社科院金融研究所所長(zhǎng)助理?xiàng)顫硎荆屡d支付手段的創(chuàng)新，提升了經(jīng)濟(jì)交易效率，促進(jìn)消費(fèi)和投資，但同時(shí)，支付創(chuàng)新也要避免過(guò)猶不及，平衡好效率與安全的蹺蹺板。

專家和業(yè)內(nèi)人士普遍認(rèn)為，保護(hù)支付安全，絕不意味著不要支付創(chuàng)新，而是要在滿足支付便利性的同時(shí)，從攻守兩方面加強(qiáng)安全防范。

——在攻的方面，應(yīng)加快支付技術(shù)的更新?lián)Q代，在保障安全的基礎(chǔ)上，最大限度給用戶支付創(chuàng)造便利。

在指紋支付快速普及的同時(shí)，一些支付機(jī)構(gòu)開(kāi)始將刷臉支付、聲波支付等作為創(chuàng)新方向，并通過(guò)多種生物特征交叉認(rèn)證，進(jìn)一步降低支付風(fēng)險(xiǎn)。

傳統(tǒng)銀行也不甘落后。工商銀行網(wǎng)絡(luò)金融場(chǎng)景合作處處長(zhǎng)謝翔告訴記者，目前，工行已為客戶提供短信、靜態(tài)密碼、指紋等多樣化的支付認(rèn)證方式，有效兼顧了支付安全與便捷的需要。

——在守的方面，應(yīng)加強(qiáng)對(duì)現(xiàn)有支付方式的風(fēng)險(xiǎn)防控，用技術(shù)和保險(xiǎn)手段保障支付安全。

“支付寶目前用一整套智能實(shí)時(shí)風(fēng)控系統(tǒng)，對(duì)平臺(tái)上每天發(fā)生的上億筆交易進(jìn)行實(shí)時(shí)掃描，從用戶行為、交易環(huán)境、關(guān)聯(lián)關(guān)系等多維度去分析，對(duì)風(fēng)險(xiǎn)進(jìn)行稽查及處置。”螞蟻金服高級(jí)安全專家朱通向記者介紹，這套安全系統(tǒng)還會(huì)通過(guò)數(shù)據(jù)分析、挖掘，自動(dòng)更新完善風(fēng)險(xiǎn)監(jiān)控策略，不斷提升風(fēng)控能力。

工行在業(yè)內(nèi)率先研發(fā)投產(chǎn)“外部欺詐風(fēng)險(xiǎn)信息系統(tǒng)”，運(yùn)用大數(shù)據(jù)對(duì)公安部門偵查出的電信詐騙賬戶進(jìn)行有效布控和業(yè)務(wù)辦理實(shí)時(shí)預(yù)警，從源頭上實(shí)現(xiàn)對(duì)電信詐騙的防控。系統(tǒng)投產(chǎn)3年多來(lái)，已識(shí)別并攔截電信詐騙10.8萬(wàn)筆，為客戶避免經(jīng)濟(jì)損失16億余元。

除了技術(shù)上的措施，保險(xiǎn)功能也在近年被引入支付風(fēng)險(xiǎn)防范，多家保險(xiǎn)公司聯(lián)合支付機(jī)構(gòu)推出了“盜刷險(xiǎn)”，發(fā)生支付損失時(shí)由保險(xiǎn)公司進(jìn)行賠償。