支付寶快捷隱憂：盜刷再現 身份驗證致最大漏洞

　　11月中旬的一個下午，身在上海的王雷（化名）發現自己的手機突然失去信號，諮詢運營商後的答案令人吃驚：他的手機被挂失重新補辦號碼了。此後發生的事情讓他更摸不著頭腦——自己的銀行賬戶被轉走了共計6萬多元。

　　這是一起盜刷案件，不法分子獲取王雷的身份和銀行卡資訊後，通過偽造其身份證在廣東補辦了王雷手機卡號，再通過註冊一個支付寶賬號關聯了王雷的銀行卡，從而達到轉賬目的。

　　這已經不是支付寶“快捷支付”第一次爆出盜刷事件。所謂“快捷支付”，就是把銀行卡賬戶與“支付寶”等第三方支付平臺的賬戶相連接，在網購時可以直接輸入後者的密碼進行交易。易觀國際高級分析師張萌昨天告訴《第一財經日報》記者，快捷支付和網銀支付最大的區別是不需要像網銀支付一樣跳轉到銀行網關。

　　昨天，支付寶（中國）網路技術有限公司（下稱“支付寶公司”）相關負責人在接受本報記者採訪時強調了資訊安全的保障性，但並不否認，如前述事件中用戶資訊大量洩露，其賬戶風險概率會很高，“相當於表面上的防線被別人全部掌握了。”

　　在網際網路金融日益深入的今天，支付寶面臨的“快捷隱憂”也是整個第三方移動支付行業面臨的安全課題——一面是用戶享受到的支付便捷，另一面卻是為了追求用戶體驗而埋下的風控隱患。

　　“目前第三方支付行業，不能光發了牌照就好了，行業準入門檻要提高，例如支付寶平臺運作時，有快捷支付這樣的創新之舉，但更加要做好創新過程中的監管問題，樹立行業的安全標準。”中國電子商務研究中心主任曹磊對本報記者説。

　　快捷底線

　　2011年，支付寶推出“快捷支付”。通過該支付平臺，用戶無須開通網銀，可以直接通過輸入卡面資訊快速地完成支付。“換言之，他們就是通過一個賬號來實現支付。”一家不願意透露姓名的第三方支付業內人士對本報記者透露。

　　這意味著這樣的支付可以繞開銀行，首次關聯也無須輸入銀行卡的取款密碼，這點得到了支付寶客服的確認。本報記者在支付寶上嘗試快捷關聯了一張銀行卡，發現確實只需要通過輸入手機收到的驗證碼就可以完成一筆支付。

　　也就是説，欺詐者只需要掌握了用戶的身份資訊和銀行卡號，並且能獲取手機驗證碼，就可以成功盜取銀行卡中的錢款。這也是不法分子首先拿王雷的假身份證去補辦SIM卡的重要原因。

　　便捷是否讓安全的“邊界”模糊起來？“支付寶快捷支付存在一些安全隱患，比如，第一次驗證也不需要輸入銀行密碼，相對來説，銀行在身份驗證上做得更嚴格許多。”一家股份制銀行電子銀行部負責人透露。

　　昨天，本報記者致電工商銀行和建設銀行，這兩家銀行的客服人員均表示，客戶在使用“快捷支付”時，不用通過銀行網銀，所以交易過程不受銀行保護。

　　電子商務觀察者、萬擎諮詢CEO魯振旺稱：“支付平臺的風險關鍵存在於快捷‘支付密碼’的設置上；當手機和銀行卡綁定後，撿到手機的人不需要輸入卡號，就可以獲取密碼。這是支付平臺存在的巨大隱患，而且這個隱患越來越嚴重。”

　　近期，國內部分媒體曾多次報道，因“快捷支付”銀行卡遭遇網路盜刷的事件。今年8月份，騰訊旗下第三方支付平臺財付通的一些用戶也抱怨賬戶被盜。

　　支付寶回應

　　昨日晚間，支付寶公司相關負責人向本報記者回應盜刷事件稱，事件的起因在於有人使用假身份證在營業廳補辦SIM卡，這本身是支付寶不可控的；對於任何起因的快捷支付被盜問題，該支付寶用戶將獲得平安保險100%的賠償，本身不會有任何損失。

　　2011年，支付寶就明確表示，用戶使用快捷支付如果遭遇資金損失，支付寶將全額給予賠付。2013年10月17日，支付寶宣佈向所有“快捷支付”用戶免費贈送一份資金保障險，該保險由中國平安財産保險股份有限公司承保。

　　但王雷還未享受到這一“福利”，“支付寶到現在都沒有任何説法。”王雷告訴本報記者，目前距離盜刷事件已經過去了將近一週的時間。

　　使用支付寶快捷支付時，不用輸入銀行卡密碼，是不是降低了資金的安全性？上述支付寶公司人士表示，按照網際網路支付的國際慣例，一般不會直接輸入銀行卡的取款密碼。原因在於，首先，銀行卡的6位數字密碼用在網際網路上安全強度不夠；其次，如果遭遇釣魚網站或駭客攻擊，銀行卡密碼洩露的風險更大。

　　他表示，除了“快捷支付”密碼、手機校驗碼等，支付寶還有用戶看不見的後颱風控系統，但是，該人士也承認，客觀上説，上述盜刷事件中受害人身份資訊幾乎全部洩露，其賬戶風險概率會很高。

　　“對身份證資訊驗證不足，輸入密碼時缺少多重認證，正是支付寶快捷支付最大的漏洞。”一位銀行業人士分析，快捷支付是一種創新，但身份證驗證是一種底線，如果沒有足夠的風控能力，只是省略程式就當做創新，這是對整個行業的一種傷害。

　　安全VS快捷

　　中國電子商務投訴與維權公共服務平臺監測數據顯示，在2012年度全國第三方支付領域投訴中，財付通佔比為23.50%，國付寶佔比為19.83%，支付寶佔比為16.70%，易寶支付佔比為9.35%，百付寶佔比為4.90%。

　　“第三方支付的安全問題的性質，與傳統的信用卡被盜刷等現象類似。”IBM資深戰略分析師王祺認為，第三方支付平臺提供增值服務，簡化交易流程是對整個支付模式的改變，安全問題是該模式內可控的問題，只是需要找到改進和完善的方法。

　　“銀行的信用認證是靠個人身份證認證，這是唯一的身份認證；支付寶等第三方支付則有多種認證方式，如：實名身份認證、手機、郵箱等。”王祺分析稱，相較于銀行個人身份證認證的物理性，第三方支付平臺可以使用手機、郵箱等虛擬資訊進行認證；少了實物認證後，用戶交互體驗的複雜度降低，這就增加了用戶體驗。

　　在王祺看來，這也表明在第三方支付平臺，用戶體驗和安全性的平衡點在於：你是選擇虛擬資訊認證還是實物認證。但頗為微妙的是，這個選擇權既在第三方支付平臺手中，也在每個用戶自己的手中。

　　魯振旺認為，快捷和安全之間需要找到一個均衡點，不能為了快而降低安全水準。他分析稱，網銀支付之所以麻煩是因為要輸入所有資訊，快捷支付的安全問題解決手段可以考慮輸入賬號的後4位數或設置消費額度等來解決。曹磊稱，首先要確保安全性的前提下，縮短流程再改進用戶體驗。

　　前述支付寶人士也表示，安全與便捷之間需要一個平衡，安全性越高可能用戶使用更加複雜；其內部將不斷提高智慧風控精準度，同時提示用戶注意自己的資訊保護。

　　僅從技術角度而言，王祺認為，目前網際網路金融的快捷支付暴露出安全問題並非全是壞事，“想要兼顧便捷與安全，必然推動新的技術出現；比如：指紋識別、虹膜識別等體感技術未來可能運用到支付解決問題。”

　　另一個令外界關注的是監管問題，央行金融消費權益保護局局長焦瑾璞近日表示，網際網路金融給金融消費權益保護帶來了挑戰，“網際網路金融歸誰管？是銀監會、證監會還是保監會？誰也搞不清楚。出了問題怎麼辦？老闆拿著錢跑了怎麼辦？誰來承擔這個責任？”

　　中國社科院數量經濟與技術經濟研究所副所長何德旭透露，網際網路金融已引起監管層重視，央行成立了專門研究小組對全國網際網路金融狀況進行分析調研。