(电子商务研究中心讯) 摘要:近日,网经社主任曹磊在接受山西经济日报记者采访是表示,“目前第三方支付行业,不能光发了牌照就好了,行业准入门槛要提高,例如支付宝平台运行时,有快捷支付这样的创新之举,但更加要做好创新过程中的监管问题,树立行业的安全标准。”
以下为该报道原文全文,原题:《支付宝“快捷支付”再曝盗刷事件银行称交易过程不受保护》
支付宝推出“快捷支付”。通过该支付平台,用户无须开通网银,可以直接通过输入卡面信息快速地完成支付。方便快捷的同时,这种支付方式也存在一些安全隐患,比如,第一次验证也不需要输入银行密码,相对来说,银行在身份验证上做得更严格。银行的客服人员表示,客户在使用“快捷支付”时,不用通过银行网银,所以交易过程不受银行保护。
上海用户支付宝“快捷支付”被盗刷
11月中旬的一个下午,身在上海的王雷(化名)发现自己的手机突然失去信号,咨询运营商后的答案令人吃惊:他的手机被挂失重新补办号码了。此后发生的事情让他更摸不着头脑——自己的银行账户被转走了共计6万多元。
这是一起盗刷案件,不法分子获取王雷的身份和银行卡信息后,通过伪造其身份证在广东补办了王雷手机卡号,再通过注册一个支付宝账号关联了王雷的银行卡,从而达到转账目的。
这已经不是支付宝“快捷支付”第一次爆出盗刷事件。所谓“快捷支付”,就是把银行卡账户与“支付宝”等第三方支付平台的账户相连接,在网购时可以直接输入后者的密码进行交易。易观国际高级分析师张萌指出,快捷支付和网银支付最大的区别是不需要像网银支付一样跳转到银行网关。
近日,支付宝(中国)网络技术有限公司(下称“支付宝公司”)相关负责人在接受采访时强调了信息安全的保障性,但并不否认,如前述事件中用户信息大量泄露,其账户风险概率会很高,“相当于表面上的防线被别人全部掌握了。”
在互联网金融日益深入的今天,支付宝面临的“快捷隐忧”也是整个第三方移动支付行业面临的安全课题,一面是用户享受到的支付便捷,另一面却是为了追求用户体验而埋下的风控隐患。
“目前第三方支付行业,不能光发了牌照就好了,行业准入门槛要提高,例如支付宝平台运行时,有快捷支付这样的创新之举,但更加要做好创新过程中的监管问题,树立行业的安全标准。”网经社主任曹磊表示。
没有通过网银交易不受银行保护
2011年,支付宝推出“快捷支付”。通过该支付平台,用户无须开通网银,可以直接通过输入卡面信息快速地完成支付。“换言之,他们就是通过一个账号来实现支付。”一家不愿意透露姓名的第三方支付业内人士对指出。
这意味着这样的支付可以绕开银行,首次关联也无须输入银行卡的取款密码,这点得到了支付宝客服的确认。记者在支付宝上尝试快捷关联了一张银行卡,发现确实只需要通过输入手机收到的验证码就可以完成一笔支付。
也就是说,欺诈者只需要掌握了用户的身份信息和银行卡号,并且能获取手机验证码,就可以成功盗取银行卡中的钱款。这也是不法分子首先拿王雷的假身份证去补办SIM卡的重要原因。
便捷是否让安全的“边界”模糊起来?“支付宝快捷支付存在一些安全隐患,比如,第一次验证也不需要输入银行密码,相对来说,银行在身份验证上做得更严格许多。”一家股份制银行电子银行部负责人透露。
近日,记者致电工商银行和建设银行,这两家银行的客服人员均表示,客户在使用“快捷支付”时,不用通过银行网银,所以交易过程不受银行保护。
电子商务观察者、万擎咨询CEO鲁振旺称:“支付平台的风险关键存在于快捷‘支付密码’的设置上;当手机和银行卡绑定后,捡到手机的人不需要输入卡号,就可以获取密码。这是支付平台存在的巨大隐患,而且这个隐患越来越严重。”
支付宝承诺全额赔付资金损失
日前,支付宝公司相关负责人向媒体回应盗刷事件称,事件的起因在于有人使用假身份证在营业厅补办SIM卡,这本身是支付宝不可控的;对于任何起因的快捷支付被盗问题,该支付宝用户将获得平安保险100%的赔偿,本身不会有任何损失。
2011年,支付宝就明确表示,用户使用快捷支付如果遭遇资金损失,支付宝将全额给予赔付。2013年10月17日,支付宝宣布向所有“快捷支付”用户免费赠送一份资金保障险,该保险由中国平安财产保险股份有限公司承保。
但王雷还未享受到这一“福利”,“支付宝到现在都没有任何说法。”王雷说,目前距离盗刷事件已经过去了将近一周的时间。
使用支付宝快捷支付时,不用输入银行卡密码,是不是降低了资金的安全性?上述支付宝公司人士表示,按照互联网支付的国际惯例,一般不会直接输入银行卡的取款密码。原因在于,首先,银行卡的6位数字密码用在互联网上安全强度不够;其次,如果遭遇钓鱼网站或黑客攻击,银行卡密码泄露的风险更大。
他表示,除了“快捷支付”密码、手机校验码等,支付宝还有用户看不见的后台风控系统,但是,该人士也承认,客观上说,上述盗刷事件中受害人身份信息几乎全部泄露,其账户风险概率会很高。
“对身份证信息验证不足,输入密码时缺少多重认证,正是支付宝快捷支付最大的漏洞。”一位银行业人士分析,快捷支付是一种创新,但身份证验证是一种底线,如果没有足够的风控能力,只是省略程序就当做创新,这是对整个行业的一种伤害。(来源:山西经济日报)