目前已经出现的移动支付类风险案件大致可分为三类,如下表所示。
“补卡攻击”类案件是近年出现的一种新型犯罪手法。为了给客户提供便捷的移动支付服务,多家银行和第三方支付机构都采用发送手机短信验证码作为资金交易的身份识别方式,而我国电信运营商在为客户发放或补发手机号码时的身份审核管理参差不齐,业务操作缺乏规范性,很多营业厅的工作人员也未意识到手机号码与客户银行资金的密切关系,因此短信验证方式的风险控制出现了薄弱点,未形成一个坚固的闭环。不法分子也就利用了这一缺陷,通过使用假的身份证件或冒充客户本人,在通讯营业厅补办客户的手机卡,之后通过猜测密码、重置密码、转移绑定手机等方式,盗划客户资金。
钓鱼Wi-Fi是犯罪分子在有无线热点的公共场所,如咖啡馆、快餐店等搭建经过改造的钓鱼无线路由器,设置与公共场所真正Wi-Fi名称相似的假Wi-Fi,并且不设密码,可以轻松接入。一旦客户接入钓鱼网络,只要通过用户名和密码访问网站,黑客便可窃取其隐私信息,导致客户资金损失。
移动终端恶意程序攻击也是近几年较为常见的犯案方式,恶意程序通常有两种形式,一种是篡改官方客户端应用,植入恶意代码。另一种是仿冒正常应用的图标及名称。犯罪分子在制作出这些恶意程序后,往往会编织一个诈骗陷阱,如冒充购物卖家或银行系统升级等,通过短信、微博、微信等渠道发送假链接,当客户受骗点击链接或下载恶意应用后,移动设备便被病毒感染。客户的账号、密码等私密信息也就直接泄露给黑客。为了能骗取更多的信息,犯罪分子的诈骗方式也不断“升级”,2013年又出现了恶意二维码和伪基站等新型诈骗,让客户防不胜防。
面对越来越多的风险案件,我们不能坐以待毙,应该时刻提高警惕,防范这类案件的发生。
1.作为银行的角度应该合理配置移动渠道的身份认证方式及资金交易限额,对于大额交易应尽量采用与移动设备相互独立的第二通道身份验证方式,这样即使客户的手机丢失或号码被盗也能最大限度的降低客户的损失。商业银行还应建设交易监测系统或机制,并与网络安全公司合作主动监测和屏蔽钓鱼网站。同时银行还应定期开展业务系统的安全评估,提早发现系统漏洞和隐患,及时弥补。最后,商业银行应加强客户教育,提升客户的风险防范意识和能力。
2.作为电信运营商的角度,应提高对客户手机号安全作用的认识,短信认证方式是建立在客户手机号与身份相绑定的基础上,离开了这个前提,短信认证也就失去了其基本的安全性。所以运营商应与金融及支付机构通力合作,确保客户的支付安全。
3.作为客户的角度,首先应该提升自身的风险防范意识。如发现自己的手机卡突然不能用,无手机信号,或提示卡无效,应第一时间联系运营商、银行等机构,冻结相关账号。然后再去找回自己的手机号,如果确认遭遇补卡攻击,还应主动报警。
在公共场所上网时,应拒绝来路不明的Wi-Fi,尽量选择三大运营商和商家提供的热点。
移动设备中安装安全防护软件,不要轻信陌生人发来的链接,不要随便安装应用程序。下载银行或支付机构的应用时,应通过官网或选择大型正规的应用商店。下载应用前仔细看清该应用的图标、名称和开发商等信息,并尽可能阅读一些其他网友的相关评论,一旦发现可疑迹象,应立即停止下载。如收到银行系统升级、交易介质更换等信息,又无法判断其真伪时,应直接拨打银行或支付机构的官方客服电话联系工作人员进行咨询,不要点击信息中的网址。即使接到银行官方号码发送的信息,如对内容存在疑虑,也一定不要直接拨打短信中留下的联系电话,而是要通过银行官方客服进行咨询。