13.1互联网电子商务安全问题
13.1.1电子商务安全问题
随着网络技术和信息技术的飞速发展, 人类正在进入以网络为主的信息时代, 基于Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式, 越来越多的企业和个人用户依赖于电子商务的快捷、高效。但电子商务的安全问题变得越来越突出, 建立一个安全、便捷的电子商务应用环境, 关键在于保证整个商务活动中信息的安全性, 使基于Internet的电子交易方式与传统交易方式一样安全可靠。电子商务安全包括计算机网络安全和商务交易安全: 网络安全技术包括病毒防范技术、身份识别技术、防火墙技术和虚拟专用网技术; 商务交易安全主要是通过加密技术、安全认证手段和安全协议进行保证的。
13.1.2电子商务的内涵
电子商务, Electronic Commerce, 首先将电子商务划分为广义和狭义的电子商务。广义的电子商务定义为, 使用各种电子工具从事的商务活动。这些工具包括从初级的电报、电话、广播、电视、传真到计算机、计算机网络, 到NI I ( 国家信息基础结构——信息高速公路) 、GII ( 全球信息基础结构)和Internet 等现代系统。而商务活动是从泛商品( 实物与非实物, 商品与非商品化的生产要素等等) 的需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。狭义电子商务定义为, 主要利用Internet 从事商务活动。电子商务是在技术、经济高度发达的现代社会里, 掌握信息技术和商务规则的人, 系统化地运用电子工具, 高效率、低成本地从事以商品交换为中心的各种活动的总称。这个分析突出了电子商务的前提、中心、重点、目的和标准, 指出它应达到的水平和效果, 它是对电子商务更严格和体现时代要求的定义, 它从系统的观点出发, 强调人在系统中的中心地位, 将环境与人、人与工具、人与劳动对象有机地联系起来, 用系统的目标、系统的组成来定义电子商务, 从而使它具有生产力的性质。
从电子商务的定义中, 可以归结出电子商务的内涵, 即信息技术特别是互联网技术的产生和发展是电子商务开展的前提条件; 掌握现代信息技术和商务理论与实务的人是电子商务活动的核心; 系列化、系统化的电子工具是电子商务活动的基础; 以商品贸易为中心的各种经济事务活动是电子商务的对象。
13.1.3电子商务发展过程中遇到的安全问题
电子商务中的安全隐患可分为如下几类:
信息的截获和窃取。如果没有采用加密措施或加密强度不够, 攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式, 获取输的机密信息, 或通过对信息流量和流向、通信频度和长度等参数的分析, 推出有用信息, 如消费者的银行帐号、密码以及企业的商业机密等。
信息的篡改。当攻击者熟悉了网络信息格式以后, 通过各种技术方法和手段对网络传输的信息进行中途修改, 并发往目的地, 从而破坏信息的完整性。这种破坏手段主要有三个方面: 篡改- 改变信息流的次序, 更改信息的内容, 如购买商品的出货地址; 删除- 删除某个消息或消息的某些部分; 插入- 在消息中插入一些信息, 让收方读不懂或接收错误的信息。
信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后, 可以假冒合法用户或发送假冒信息来欺骗其他用户, 主要有两种方式。一是伪造电子邮件, 虚开网站和商店, 给用户发电子邮件, 收定货单; 伪造大量用户, 发电子邮件, 穷尽商家资源, 使合法用户不能正常访问网络资源, 使有严格时间要求的服务不能及时得到响应; 伪造用户,发大量的电子邮件, 窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份, 如冒充领导发布命令、调阅密件; 冒充他人消费、栽赃; 冒充主机欺骗合法主机及合法用户; 冒充网络控制程序, 套取或修改使用权限、通行字、密钥等信息; 接管合法用户, 欺骗系统, 占用合法用户的资源。
交易抵赖。交易抵赖包括多个方面, 如发信者事后否认曾经发送过某条信息或内容; 收信者事后否认曾经收到过某条消息或内容; 购买者做了定货单不承认; 商家卖出的商品因价格差而不承认原有的交易。
13.1.43电子商务提出的安全需求
电子商务面临的威胁的出现导致了对电子商务安全的需求, 也是真正实现一个安全电子商务系统所要求做到的各个方面, 主要包括机密性、完整性、认证性和不可抵赖性。
机密性。电子商务作为贸易的一种手段, 其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的( 尤其Internet 是更为开放的网络) , 维护商业机密是电子商务全面推广应用的重要保障。因此, 要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。
完整性。电子商务简化了贸易过程, 减少了人为的干预, 同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。此外, 数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除, 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。
认证性。由于网络电子商务交易系统的特殊性, 企业或个人的交易通常都是在虚拟的网络环境中进行, 所以对个人或企业实体进行身份性确认成了电子商务中得很重要的一环。对人或实体的身份进行鉴别, 为身份的真实性提供保证, 即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时, 鉴别服务将提供一种方法来验证其声明的正确性, 一般都通过证书机构CA 和证书来实现。
不可抵赖性。电子商务可能直接关系到贸易双方的商业交易, 如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中, 贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴, 确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的电子商务方式下, 通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
有效性。电子商务以电子形式取代了纸张, 那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式, 其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此, 要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防, 以保证贸易数据在确定的时刻、确定的地点是有效的。
案例13-1-1:
“互联网+粮食”遭遇三重安全风险
“我们现在的主要业务就是往大型粮食企业跑,希望拉拢这些企业在我们的网站注册会员,通过互联网进行原粮交易。只要能在天量的粮食交易中获得一小部分市场份额,企业未来的发展规模,都会让人惊叹。”
整整一天,刘凯(化名)的手机几乎都处于无人接听状态。直至傍晚,记者才打通了这名国内大型粮食电子交易平台业务部负责人的电话。他告诉记者,他们最近正在各地寻求合伙人,以期快速扩大平台影响力,并打开市场局面。
“粮食属于大宗交易,我国每年的粮食交易额是天量。不过,大宗原粮交易仍然属于传统交易方式,因此,或许是‘互联网’可以挖掘的最后一个行业。”刘凯说。
“互联网+”能给传统的粮食行业带来怎样的不一样?
这个问题的答案,或许可以从下面这组数据中探得几分:
截至2014年9月,通过中华粮网电子商务平台成交国家政策性粮油共计1亿多吨,成交金额超过2000亿元。
这组数据的提供者,北京工商大学商业经济研究所所长、中国食品(农产品)安全电子商务研究院院长洪涛在接受《法制日报》记者采访时说,随着粮食电子商务的蓬勃发展,其中存在的安全问题逐渐引起业内关注。
行业转型
粮食电子商务是否可以理解为在网上买卖粮食?
洪涛的答案是“不可以”。
他的解释是:从2004年起,我国逐步实行了稻谷和小麦的最低收购价政策,通过以最低收购价等方式集中一部分粮源,再以网上交易等电子化手段,使这些粮源在关键时刻能够快速投放市场,达到稳定粮食市场,进行粮食宏观调控的目的。由此,日趋形成以国家政策粮交易为主、个性化粮食电子商务为辅的粮食电子商务模式。
实际上,在刘凯看中“大宗粮食交易”这片蓝海之前,许多资金已经提前进入。
“粮食属于大宗商品,粮食电子商务也是大宗商品电子交易的一部分。大宗商品电子交易市场的建设不仅可以促进现货流通,还可以形成定价中心,进而带动金融、物流等行业的发展,激发了各地政府极大的热情,近年来呈现出蓬勃发展的态势。”洪涛说。
记者注意到,多个网上粮食交易平台都宣称,粮食网上竞价交易突破了传统的空间限制,可以提供24小时的全天候营业时间,使其有更多的机会将产品销售到更远的地方,同时农业电子商务可以将地理范围分散的、少量的、单独的农产品交易规模化。
北京一家大宗粮食交易平台的负责人表示,电商平台的最大优势在于,粮食价格信息公开化,发布价格信息便捷及时,操作简单,灵活方便;加速粮食的交易速度,降低成本,减少人力资源的浪费,“同时,利用网络快捷、跨地域优势进行信息传递,改变交易模式,不受地理位置限制,尤其是异地交易”。
多重风险
尽管传统粮食产业正在快速与互联网融合,但也有不愿透露姓名的业内专家表示,并不看好这两个行业的仓促结合。
“并不看好”的一个原因,在于我国粮食电子商务面临诸多安全隐患。
“比较突出的是信息安全。如果粮食信息被非法窃取或泄露,可能给粮食交易市场、粮食企业等带来严重的后果和巨大的经济损失。如果不能及时得到准确、完备的信息,粮食交易市场、粮食企业就无法对交易进行正确的分析和判断,无法做出符合理性的决策。非法删除交易信息和交易信息丢失可能导致经济纠纷,给交易的一方或多方造成经济损失。”对于粮食信息安全的不良后果,洪涛坦言“比民众想象的更严峻”。
他说,最常见的信息风险是信息的非法窃取和泄露,它往往引起连锁反应,形成后续风险,典型表现是网络欺诈,不仅使粮食交易主体在经济上蒙受重大损失,更重要的是可能会使人们对粮食电子商务这种新的经济形式失去信心。
另一个安全隐患是交易安全。洪涛解释说,粮食电子商务交易安全,是指粮食电子商务交易过程中存在的各种不安全因素,包括交易的确认、货品和服务的提供、货品和服务的质量、货款的支付等方面的安全问题。
“与粮食行业传统的线下交易不同,电子商务具有自己的特点,如市场松散化、主体虚拟化、交易网络化、货币电子化、结算瞬时化等。这使得粮食电子商务的交易风险表现出新的特点,出现新的形式,并且被放大。”洪涛说。
在所有安全隐患中,资金安全不得不提。
众所周知,粮食作为大宗商品,交易额往往比较大,对资金的安全性、到账速度等要求比普通商品贸易更高。然而,近年来,由于各种原因,粮食电子商务参与者面临着资金等经济利益风险。
“资金安全往往是粮食电子商务安全问题的最终形式,也是粮食电子商务信息安全问题和粮食电子商务交易安全问题的后果。”洪涛说,粮食电子商务资金安全问题主要表现为财产损失和其他经济损失,如客户的银行资金被盗;交易者被冒名,其资金被窃取等,后者如信息的泄露、丢失,使粮食企业的信誉受损,经济遭受损失;遭受网络攻击或故障,企业电子商务系统效率下降甚至瘫痪等。
法治“缺位”
安全漏洞、技术误差等传统的电子商务安全隐患也同样存在于“互联网+粮食”中。不过,由于粮食行业的特殊性,其电子商务的安全问题更多来源于行业内的法治不完善。
洪涛说,粮食电子商务产业由于利益驱使和监管缺失,在发展过程中暴露出一些风险问题,折射出电子交易市场存在着交易规则随意修改、无法与现货市场对接、投机资金操纵价格等问题,饱受“变相期货”的指责,严重影响了中国电子商务市场的健康发展。
“相关法律、法规、行业规范和标准的滞后是造成上述风险的重要原因。”洪涛坦言,现有的《大宗商品电子交易规范》仅属于技术管理文件,未被强制推行。由于无法可依,使得一些不规范的电子交易市场及业内投机钻营分子,利用法律漏洞游走于政策边缘牟取暴利。
查阅相关资料,记者注意到,国家已经关注到此类行业风险。国务院分别于2011年11月下发《国务院关于清理整顿各类交易场所切实防范金融风险的决定》,于2012年7月下发《国务院办公厅关于清理整顿各类交易市场的实施意见》,两份文件明确了各类交易场所清理整顿的政策界限和措施,引发交易场所的清理整顿风暴。2013年11月8日,《商品现货市场交易特别规定(试行)》发布,该规定自2014年1月1日起正式实施。
“的确,上述政策法规实施以后,各省市关于各类交易场所的清理整顿工作取得了一定成效,但违法违规乱象仍然存在。”洪涛说,他们调研发现,在粮食电子商务发展过程中,同样面临监管主体不明确、缺乏行业管理机构、监管不力等问题,进而导致交易平台良莠不齐、违法违规交易等问题的出现。
“国家虽针对各种粮食品种制定了较为详细的质量标准,但由于粮食这种特殊商品受环境影响较大,在不同的温度、湿度条件下或者在不同时间,其质检结果会有很大差别;在具体操作时,可能存在主观性强、可操作性差、争议性大等缺点。一旦交易双方出现标的物质量分歧,双方很难达成一致意见,从而增加粮食质量监督的难度。”洪涛说,监督处罚机制也不到位,“粮食电子商务虽已发展多年,但有部分粮食承储企业经营理念尚未转变,粮食虽然进入了市场进行交易,但在粮食实际交割中还存在刁难购粮客商的行为,需要客户在交易前与卖方协商好相关事宜才能竞拍,不然即使拍得粮食,也很难提货,这就造成外地客商不愿跨地区拍粮”。
在洪涛看来,必须尽快制定专门规范粮食电子交易的法律法规,弥补交易行为、内部风险控制和交易机制的法律监管缺位,使此交易市场的设立、运行和管理等均有法可依。
“针对当前粮食电子交易中存在的问题,一方面要加强政府部门对粮食电子交易市场的监管,明确监管机构,解决无管理主体的问题;另一方面,应建立较为严格的核准制,提高市场准入门槛,实行严格的市场准入管理。”洪涛说,只有通过制定专门法律规范并切实有效的实施,才能为粮食电子交易市场的正常运行提供法律保障,才能有利于防范市场交易风险,促进我国粮食电子商务的健康发展。
(案例来源:法制日报)
13.2移动电子商务安全问题
20世纪90年代以来,以互联网为代表的网络信息技术迅猛发展。移动电子商务就此诞生,它突破了功能和地域的局限,为人类开创了一个全新的信息空间,对人类社会的各个领域都产生了革命性的影响,使人们的工作和生活方式产生了巨大的改变。商务活动作为人类最广泛、最普遍的活动,决定了电子商务成为互联网最普遍、最有前景的领域。移动电子商务是21 世纪世界经济发展的重要驱动,它所带来的机遇和挑战,赢得了世人的普遍关注。然而,日益恶化的网络环境,泛滥的恶意软件和钓鱼网站,逐渐暴露的网络安全漏洞都对移动电子商务产生了消极的影响,越来越突出的安全问题正严重制约着移动电子商务的进一步发展。
13.2.1.移动电子商务时代的信息安全现状
2007 年以来,信息技术的飞速发展尤其是移动终端通信技术和工业设计上的突破使得移动支付成为电子商务发展的重要推动力。智能手机的出现将电子商务方便快捷的特性发挥到了极致,人们购物、打车、交费等都可以通过便捷支付瞬间完成。在2012 年,国家工业和信息化部门发布的《电子商务“十二五”发展规划》就明确指出,在“十二五”期间我国电子商务交易额要翻两番,突破18 万亿元人民币,其中发展的重点就包括推动移动支付、公交购票等移动电子商务应用的示范和普及推广。正因为如此,“移动中”的收益也吸引了银行、金融服务商、软件、硬件制造商的关注。根据iResearch 艾瑞咨询的统计数据显示,2012 年中国第三方支付行业移动支付业务交易规模达1511. 4 亿元,同比增长89. 2%。2013 年第三方移动支付市场交易突破万亿,规模达12197. 4 亿,同比增速707. 0%。2014Q1 中国第三方移动支付市场交易规模增至15328. 8 亿元;2014Q2 中国第三方移动支付市场交易规模下滑至13834. 6 亿元。数据显示,移动第三方支付规模呈快速增长趋势。
然而,人们在享受电子商务带来的巨大便利的同时,却忽略了一个严重的问题,信息安全威胁随着电子商务参与度的提升而增加。用户的手机存储着大量的用户信息,从基本的通讯数据如电话号码,通讯录等信息到定位系统,图片图像再到第三方的交易信息如购买记录、交易数据,甚至支付账号和密码。这些信息一旦漏出去,会给人们的生活带来巨大的不变甚至是非常严重的经济损失。2014 年3月15 日,一年一度的消费者维权日披露了一款名为“重庆小面”的APP 软件,该软件可以说是移动电子商务的典型,软件可以通过手机网络为人们进行美食的推送,并通过定位信息让用户发现身边的商家信息。报告披露通过APP 在后台可以得到手机用户的私人信息,包括头像、手机号码、年龄、文化程度等,个人的位置也可以被迅速地跟踪到。以此同时一次对卓越网、当当网、贝塔斯曼网、旌旗网、机械工业出版社等五家网上书店的调查发现,网民的个人信息普遍没有得到足够的重视。五家网上图书网站都使用了Cookies 来对用户的网上行为进行了跟踪,但只有卓越和贝塔斯曼对此给消费者进行了提示Cookies 中可能存储有消费者的口令等相关的敏感信息,但除了卓越网会对部分用户信息加密外,其他四家网站所使用的Cookies 都没有加密,这使得消费者在转换网站的访问和占用计算机时有可能泄露相关个人信息。目前对用户信息安全造成的威胁主要有以下几点:
移动终端操作系统安全隐患
目前的智能手机操作系统主要有、Android、IOS、BlackBerry OS、Windows Mobile、Linux、Palm OS等。其中Android 和IOS 两大系统的智能手机市场占有率则逼近100%,达到了91. 1%。市场占有率居前三的系统全部为外国研制,被国外所垄断,其所有公司对于用户信息安全的保护又缺乏监管。2013年6 月前中情局( CIA) 职员爱德华·斯诺登曝光美国国家安全局的“棱镜”项目,将包括谷歌微软在内的互联网公司推上了风口浪尖,让我们对于智能手机操作系统的安全性产生了质疑,操作系统公司是否对用户的信息进行监听,是否有以盗用客户信息安全牟利的行为发生。
此外,由于智能手机的操作系统是开放式的,手机的源代码是对外开放的,如开放源代码的Android 操作系统,程序人员可以通过逆向工程对系统进行深度的分析,进而发现潜在的漏洞。而且,Android 操作系统的开放性也造就了系统的碎片化,各类在Android 基础上定制修改的系统五花八门,缺乏安全保障。
移动终端软件安全隐患
恶意软件是故意在计算机系统上执行恶意任务的病毒、蠕虫和特鲁伊木马的总称,在PC 机上已经存在了很多年。随着智能手机的巨大市场被开发,大量开发者转为开发手机APP。在巨大的利益驱使下,智能手机和APP 就成了恶意软件和黑客的攻击目标。恶意软件的类型有很多种,对用户信息安全的威胁造成了极大的威胁。信息窃取型恶意软件会暗中窃取用户的照片、短信通讯录等信息进行倒卖从而牟利; 通信吸费型恶意软件会把恶意扣费代码嵌入进APP 中使用户不知不觉中产生了资费,从而牟利; 2014 年9 月9 日,网秦发布《2014 年上半年网秦全球手机安全报告》。报告显示,中国大陆继续成为全球智能手机病毒重点感染区域榜首。中国大陆地区以18. 20%感染比例高居全球智能手机病毒重点感染区域第一。印度、沙特、印度尼西亚分别以14. 20%、9. 60、8. 20% 紧随其后,美国以7. 70% 感染比例居全球第五。
这些数据都充分显示了移动终端的安全受到了极大的威胁。
移动终端支付安全隐患
目前的移动终端支付从场景上主要有远程支付和近场支付两种,远程支付指的是消费者通过移动终端( 手机、平板等设备) 及移动支付设备( 包括刷卡器、金融SD 卡以及快捷支付如支付宝等) 发起的支付,主要通过短信、WAP、和手机客户端; 近场支付是指消费者先将金融钱包下发到自己的移动终端上,用终端作为载体在近场支付的POS 机上完成的支付,即大家熟知的“闪付”,例如NFC 支付,RM -SIM 支付等。其特点是小额快速消费,消费者无需密码即可完成消费。目前支付手段的安全隐患是加密问题和即时性问题。
加密问题和即时性问题是手机支付普及的主要障碍,虽然WAP 功能的手机支付时,能够采用移动网络的加密技术,相对而言,并不能很有效地保证安全,如果引入短信动态密码的方式,采用银行卡与手极号绑定模式,受手机卡技术的限制,所发送的信息为明码,短消息通过公网传输,没有加密功能。如果引入软件令牌形式的动态密码具有生命周期,在传输线路上存在被截获的可能。
移动终端丢失安全隐患
目前,手机的普及率非常高,但是日常生活中会经常出现频繁丢失的情况,为此造成的信息泄露屡见不鲜,照片、通讯录、都有可能被落入他人手中,个人隐私受到了极大的威胁。随着移动终端功能的不断发展,智能手机上的电商软件越来越多,其中不少软件都提供手机绑定,记住密码,甚至有些软件和网站提供手机修改密码,这给了不法分子可乘之机,给人们的财产安全造成了极大的威胁。
互联网网络安全隐患
互联网网络安全威胁主要是缺乏对业务信息传输加密保护,国与国之间信息窃密与反窃密斗争形势日益严峻,西方发达国家通过各种渠道对移动互联网上传输的信息进行窃听、分析和攻击。对于目前普通用户而言,网络信息安全还表现在公共无线网络的安全威胁。自2004 年起,WIFI开始应用在机场、商场、酒店、学校等公共场所,这给人们上网带来了极大的便利,不少公共场所把是否提供免费WIFI 作为宣传的噱头,当人们身处这些公共场所时,打开手机自然会搜到这种免费的WIFI信号。同样,在进行移动支付时,在付费的数据流量和免费又快捷的WIFI 之间选择,人们通常会选择后者。然而,这种WIFI 特点大多都使用民用级设备,有的甚至连密码都没有,这就给黑客留下了可乘之机。而一般用户在支付过程中涉及到的支付账号和密码、购买物品的相关信息,当这些信息泄露出去,后果不堪设想。
案例13-1-2:
支付安全风险掣肘移动电商发展
随着移动电子商务的日益发展,移动支付正在成为使用频率最高的移动应用之一。但作为移动电商业务的核心环节,移动支付的安全问题却越来越突出。360互联网安全中心监测数据显示,针对智能手机的移动支付诈骗行为呈现出高危态势,除了新型的移动支付诈骗手段层出不穷,各类恶意程序数量和感染量也开始快速增长。
对此,多数业内人士表示,愈演愈烈的移动支付安全问题,除了对消费者构成直接的危害外,对整个电子商务产业而言,也会造成巨大的伤害。因此,业内厂商及机构应尽快建立起产业“大联盟”,共同协作,一起来应对移动支付领域的安全风险。
移动支付新型诈骗迭出
360互联网安全中心最新发布的《2015中国移动支付安全绿皮书》(以下简称“《绿皮书》”)显示,随着移动电商业务的发展,移动支付的应用场景正在变得越来越广泛。除了淘宝、支付宝等专门的移动电商应用具备移动支付功能外,微信、微博等社交应用也开始提供便捷的移动支付功能。但也正是随着移动支付应用场景的增多,使得借助微信等渠道,针对移动支付的新型诈骗层出不穷。
甘肃省酒泉市的邵先生是手机游戏“太极熊猫”的热心玩家。2015年4月,邵先生在微信上搜索“太极熊猫”时,偶然看到一个名为“太极熊猫限量礼包”的公众号。于是邵先生就添加关注了这个微信公众号。
关注该公众号后,邵先生看到一个充值兑换的优惠活动信息,但充值只有通过微信公众账号进行才有效。邵先生并没有过多的怀疑,就点击了活动公告参加优惠活动,并购买了968元的套餐产品。
可是,邵先生刚刚完成付款没多久,就有一个自称是客服的名为kefu568的微信号联系了邵先生,并告诉邵先生其购买的商品出现了问题,资金已被冻结,需要给邵先生退款。kefu568向邵先生提供了两种解决方案,一个是再付一次款,这样前一次的付款就会自动退回。另一种方法是等9-10个工作日后到银行去办理退款手续。
但邵先生认为这两个方法都很难接受,最后kefu568给邵先生发了一个二维码,要求邵先生用支付宝扫描一下这个二维码就可以完成退款。邵先生扫描了这个二维码后,账户中又被转走了968元。对方称这可能还是交易异常,请邵先生再扫一次二维码。结果邵先生扫过二维码后,支付宝又被扣款968元。
kefu568告诉邵先生,72小时后钱会自动退款到邵先生的网银账户。次日,邵先生再次向kefu568询问自己的钱什么时候能退,对方则继续劝邵先生等待。又过了半天,邵先生发现kefu568已经联系不上了,而“太极熊猫限量礼包”的公众账号也找不到了,这时邵先生才知道自己上当了。
360互联网安全中心介绍,上述案例是典型的“虚假微信诈骗”,和“退款诈骗”、“积分兑换诈骗”均属于近期流行且高发的新型诈骗方式。这类诈骗方式,往往通过微信等第三方手机应用,制造一个连环骗局。由于微信、旺旺、微博等社交应用,本身属于聊天工具,在正常的沟通中,对使用者的聊天内容并不做过多限制,因此并没有针对移动支付进行相应的反诈骗机制,所以就给了诈骗者可乘之机。
360互联网安全中心介绍说,二维码的本质其实是一个网址链接,但通过二维码就可以绕过多数社交应用的网址安全监测机制;对用户而言,通过二维码并不能甄辨出二维码关联的网址,就有可能造成经济损失。
恶意应用程序数量飙升
除了各类令人防不胜防的新型诈骗外,针对移动支付应用的各类恶意程序数量也大幅飙升。
《绿皮书》显示,2015年第一季度,360互联网安全中心共截获假冒或篡改各类移动支付及购物程序的恶意程序1147个,较此前监测量明显增长。360方面介绍,从恶意程序的制作方式上看,上述恶意程序主要分为两大类别:一种是篡改特定官方客户端程序并植入恶意插件的篡改类程序;一种是纯粹假冒其它应用程序的假冒类程序。在这1147个篡改恶意程序中,篡改类程序共有795个,假冒类程序共有352个。
这些恶意程序篡改的对象均是用户使用广泛的移动支付或移动电商应用。在795个篡改类恶意程序的篡改对象中,农行掌上银行最多,占比约为28.4%;其次是美团团购,占比约为21.4%;接下来是手机淘宝和1号店,占比分别为16.9%和13.3%。在352个假冒类恶意程序的假冒对象中,大智慧占比最高,达到了20.1%;支付宝钱包和同花顺排在二三位,占比分别为16.8%和14.8%。
《绿皮书》还指出,除了上述恶意程序外,针对淘宝等电商的FakeTaobao木马同样不容掉以轻心。早在2013年5月,360互联网安全中心就监控到了第一个FakeTaobao家族的木马。监测数据显示,自2014年9月份以后,该木马家族的样本数量开始激增,短短半年时间里,样本总量就已经从3万多个激增到接近13万个。
搭建产业联盟刻不容缓
360、阿里、腾讯等多家互联网公司均向《经济参考报》记者表示,目前用户面临的移动支付安全风险是全方位的,应用仿冒篡改、移动应用安全漏洞、手机病毒、钓鱼诈骗、伪基站、假WiFi、安卓系统漏洞等都有可能成为用户手机安全中的短板而被利用。为了应对这些问题,上述互联网厂商均作出了不同形式的努力,并尝试建立行业联盟,促进业内公司以合作的形式,共同应对移动支付安全风险。
2014年,360发起成立中国手机反骚扰反欺诈联盟,并联合业内厂商和公安机关一同预防和打击各类移动支付诈骗行为;阿里旗下支付宝则在2014年联合多方建立安全基金,首批投入4000万元;腾讯也在2013年联合广东省公安厅、深圳市公安局反信息诈骗联盟专线、中国互联网协会、银行协会、三大运营商等政府组织、企业共同发起国内首个反信息诈骗联盟。
不过,也有业内人士表示,目前国内的行业联盟其实还是“小联盟”,即围绕主要互联网厂商形成的行业联盟。但目前针对移动支付的诈骗行为,不但手法多样,数量也不断增长。因此,单靠某一家小联盟很难为用户提供有效的移动支付安全保障。因此,建议各大厂商携手,尽早建立由更多厂商和机构参与的“大联盟”,相信通过各方优势,能够进一步提升移动支付的安全环境,有效防止各类欺诈事件的发生。
(案例来源:经济参考报2015)
