每经记者 张威发自北京
移动互联网大潮正席卷全球,影响着人们生活的方方面面。用手机支付对于很多人来说已经并不陌生,但是安全地使用手机用于消费支付却是一个难题,由于有不同的技术安全手段,而对应不同手段,各自的支付流程自然也不尽相同。尴尬之处恰恰在于,这种支付方式上的“乱局”,在一定程度上反而加大了用户的安全性疑虑。
在国外,尽管移动支付技术同样受到种种安全方面的质疑,但很多标准都是统一的,只需要推广在终端范围的使用。国内推行统一标准势在必行。
没有用过微信银行的张丽近日告诉《每日经济新闻(博客,微博)》记者,她向微信银行打入5000块钱,由于没有经验所以担心安全,随后又将微信银行的钱打回银行卡。但过了一个下午才收到款,和打出钱花费时间相差甚远,这让第一次使用微信银行的张丽着实紧张了一番。
随着“方便、快捷”理念在支付领域迅速发展,手机支付已经成为继银行卡支付、网络支付后的又一潮流。其中二维码扫描付款在各大商场、饭店均可看到,NFC手机近场支付通过标有Quickpass的商场机器也随时可以完成交易。
然而对于张丽这样的新手而言,哪种手机支付方式更快捷同时又更安全,是一个难题。“前几年就有很多做移动支付的,都是因为安全问题解决不了,一直没有太快扩张。”一位曾研究过手机支付的人士直言。而目前的移动支付方式上的“乱局”加大了用户对于资金安全的担忧。
风险在于“个人习惯”?
2013年下半年,各大银行纷纷加大推广手机银行力度,手机支付也成为其拓展业务的重要一环。
据中国电子商务研究中心监测的数据显示,2013年手机在线支付快速增长,用户规模达到1.25亿,使用率为25.1%,较上年底提升了11.9个百分点。
“手机支付包括近场和远程支付,现在远程支付多一些,用的基本都是小额支付,如果成熟的盈利模式出现后我们也会加大规模。”某银行电子银行部人士向 《每日经济新闻》记者坦言。
上述电子银行部人士表示,现在手机支付最大的风险就是资金安全问题。比如近场支付,将手机放入手提包中,在拥挤的地铁或者公交上,旁边的人的手机靠近手提包里的手机,便有可能从手提包里的手机中扣除一定的资金。该人士表示,以前该行便接触过这种案例。
日前,记者在某股份制银行现场观摩该行推出的NFC手机支付,工作人员现场演示中,将两个手机相碰一下,其中一部手机便可从另外一部手机中划走一定金额的资金。
这样资金的瞬间转移,自然会让更多对于技术问题不太了解的客户产生对于资金安全的疑问。对此,某股份制银行人士告诉记者,手机支付的风险在于个人习惯,现在一旦发明了什么技术,不法分子都会利用这个技术进行犯罪,从银行端来讲要加强监控,T+0实时监控,根据客户的交易规律,如果发现客户的交易和之前规模不太一样,就短信或者电话通知客户,确认是否为本人操作,银行有责任维护安全。
“其实手机支付与现金钱包有什么太大的区别?现金钱包也会有丢钱的危险。”上述股份制银行人士反问道,“这其实与钱包持有人的生活习惯密切相关。”
支付“乱局”加大安全疑问
那么,在手机支付应用时间还很短的背景下,现有的技术是否可以控制相应的风险呢,银行目前又面临怎样局面呢?
上述银行电子银行部人士对《每日经济新闻》记者表示,手机支付是银行争取客户的一个业务手段,肯定有一些不安全的地方,客户用起来要十分小心,不要见到二维码就扫,有可能是木马病毒,因为很多信息都可以做成二维码,而且没有多少技术含量。“但是,安全手段和风险肯定是相互发展、相互制衡,当下手机最大的风险是资金被盗。”
上述股份制银行人士也表示,手机支付最大的风险是在支付的过程中有些信息会被截取,用户在使用微信或者手机QQ过程中要特别警惕,不要打开不安全的网页。“现在安全技术对手机支付风险不是完全能解决,而是随时出现,银行随时想办法。”
“银行工作人员更多注重如何推广这块业务,对于手机支付安全技术层面的肯定专做技术的人更为清楚。这是未来的一个发展趋势,日本、韩国手机支付比较普遍,这两年中国做得也比较好。”上述研究人士告诉《每日经济新闻》记者。上述研究人士表示,手机支付在最早的时候是用手机绑定银行卡,其实完成的是卡的支付。但是之前有一个问题,就是身份确认,谁在使用这个手机,另外短信也不是一个可靠的身份认证手段。
该人士进一步解释说,“手机支付的安全问题,无非是如何能保证通道安全,需要做出一个数字签名,否则交易中间被攻击都不知道。咱们用普通的SIM卡没有se(安全单元),就没办法放入身份信息等,普通手机没有安全控制,信息很容易被窃取,现在很多在做安全的se。”
“安全的se有几种形态,一个就是运营商发的SIM卡带了一张相当于银行卡的安全芯片,可以保护信息安全;另外一种是SD卡,普通SD卡就是一个存储卡,如果把身份信息放入里面很不安全,手机下载了恶意软件可以控制SD卡里的信息,SD卡也可以做一个安全单元,类似网银用的U盾,U盾拆开后最关键是安全芯片;还有一种就是全终端,出厂之前安全就做入内化。这三种方式都可以保证移动支付的安全。”上述研究人士说。
对应不同的安全技术手段,各自的支付流程自然也不尽相同。而在另一位关注移动支付的人士看来,尴尬之处恰恰在于,这种支付方式上的“乱局”,在一定程度上反而加大了用户的安全性疑问。
国外移动支付:面临质疑但标准统一
每经实习记者 史青伟 发自上海
尽管国外的移动支付发展路径与我国并不相同,但据知情人士告诉《每日经济新闻》记者,在国外,移动支付技术同样受到种种安全方面的质疑,厂商们在制定安全标准和采用先进的技术后,还会通过担保交易安全的方式让消费者放心使用。
快钱相关人士表示,国内外区别在于整个移动支付生态圈环境。在中国,推动移动支付需要运营商、商业银行、终端制造厂商、第三方支付企业等多个合作伙伴共同行动,才能齐步走。国外很多标准都是统一的,只需要推广在终端范围的使用。
此外,随着云计算的应用,一种全新的移动支付模式——“数字钱包”开始进入用户视野,但这同样会引发新的安全质疑。
谷歌钱包发展迅速
在美国,主流的移动支付方为S-P,即Square和Paypal两大公司,不过随着谷歌在移动支付领域发力,谷歌钱包也抢占了一部分市场。
Square公司成立于2009年,依靠移动刷卡器连接智能手机,在任何3G或WiFi网络状态下,通过应用程序刷卡消费。Paypal成立于1998年,依靠其在传统线上支付领域的经验,移动支付发力较早,也处于领先地位。
基于NFC的移动支付领域,以Google、三星、诺基亚、微软等厂商为代表,如谷歌钱包(GoogleWalet)发展迅速,此外还有ISIS(美国三大电信运营商Verizon、T-Mobile与AT&T联营的支付公司)。
在日本和韩国,已经渐渐形成一整套运营模式和标准:日本形成运营商主导的支付体系;韩国则在2011年确立移动支付标准,LG电信早在2003年就推出了手机银行业务。
金融机构分担风险
在国外,迅速发展的移动支付技术也受到种种安全方面的质疑,厂商在制定严格的安全标准和采用先进的技术后,通过担保交易安全的方式让消费者放心使用。
尽管移动POS机容易让人接受使用,不过VeriFone公司曾批评Square的读卡器和验证系统并不安全,原因在于移动POS机可能存在非接触盗刷情况。
业内人士告诉《每日经济新闻》记者,非接触盗刷情况出现的可能性极小,移动POS机灵敏度很低,不过国外还是采取了一些措施应对。
英国要求厂商规定哪些信息是可以非接触式获取的,还要求POS机拥有终端安全机制,如PSAM或者银行发的SE(SecureElement)安全元件,PSAM即销售点终端安全存取模块,支持多级密钥分散机制,用分散后的密钥作为临时密钥对数据进行加密、解密、MAC等运算,对信息的机密性和完整性进行保护。
相较于刷卡器,NFC遭受的安全质疑更多。业内人士向记者介绍了几种NFC盗刷的情况,一种是用NFC手机获取非接卡片的非加密信息,通过复制卡信息变成伪卡交易,第二种是用NFC手机改造为POS终端,进行盗刷。
此外,为了确保交易过程中出现的信用风险,美国联邦政府有消费者信用保护法,要求金融机构分担用户风险,使用户能够放心使用。