★期刊易论文网★全新改版-收录各领域省级、国家级、核心期刊共计12356种,是你发表的好帮手!
当前位置:期刊易论文网 > 论文范文 > 计算机论文 > 计算机论文 > 正文

互联网金融存在的安全问题亟待解决

2016/06/04|发布者: admin|阅读:
【摘要】针对手机被盗、用户身份泄露的情况下,用支付宝移动支付所存在的两个安全性问题提出相应的解决方案。目前手机支付宝APP仅凭手机验证码即可更改支付宝用户密码;而在转账环节,当需要转账到其他银行卡时,只需银行卡号...

【 摘 要 】 针对手机被盗、用户身份泄露的情况下,用支付宝移动支付所存在的两个安全性问题提出相应的解决方案。目前手机支付宝APP仅凭手机验证码即可更改支付宝用户密码;而在转账环节,当需要转账到其他银行卡时,只需银行卡号、持卡者名字以及转账方的手机号等,即可顺利转账。针对这两个安全问题,提出改进的安全模型中不再依赖移动运营商发送手机验证码,而是用注册支付宝时预留的私密信息或者增设的用户口令等。在转账的时候,不仅输入银行卡号和持卡者名字,而且输入在银行注册卡号时预留的私密信息。 
【 关键词 】 互联网金融;支付宝;移动支付;安全 
1 引言 
互联网金融近年来得到了广泛关注,主要表现在金融业与互联网业的交叉融合。金融背后所经营的是建立在数字载体之上的资本、信息、信用和风险,具有很强的数字化基础,表现形式极易被技术改造。随着移动支付、社交网络、大数据和云计算等互联网信息技术的发展浪潮,以第三方支付、P2P、网络贷款及金融机构线上平台为代表的互联网金融模式,既对传统金融机构形成直接冲击,也带来了新的风险和问题。 
作为整个经济和社会的血液,金融的安全和稳定,直接影响到我国经济与社会的整体发展。如果失去了金融安全,极有可能引起社会动荡。本文以手机支付宝存在的漏洞为例,探讨互联网金融存在的安全性问题及其相应的解决方案。 
移动支付也称为手机支付,就是允许用户使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。 
2 互联网网民、手机网民、在线支付网民的现状分析 
据2014年1月16日,中国互联网络信息中心(CNNIC)发布《第33次中国互联网络发展状况统计报告》中显示,截至2013年12月,中国网民规模达6.18亿,互联网普及率为45.8%。手机依然是中国网民增长的主要驱动力,使用手机上网的人群比例由2012年底的74.5%提升至81.0%,规模达5亿,并且继续保持稳定增长,年增长率为19.1%,远高于其他设备上网的网民比例,如图1所示。 
《报告》还表明,2013年以网络购物、团购为主的商务类应用在网民增长速度逐步放缓的背景下,依然呈现迅猛的增长势头,如图2所示。 
截至2013年12月,我国使用网上支付的用户规模达到2.60亿,用户年增长3955万,增长率为17.9%,使用率提升至42.1%,如图3所示。 
网上支付用户规模的快速增长主要基于五个原因:第一,网民的增长,尤其手机上网用户的增长,使得在线支付不再仅仅依赖个人电脑;第二,引入多种平台,不仅使支付多功能化,而且增加了支付渠道;第三,网民在互联网领域的商务类应用的增长直接推动网上支付的发展;第四,线下经济与网上支付的结合更加深入,促使用户付费方式转变,例如用微信AA制、支付宝支付团购费用等;第五,支付企业的差异化策略,跟着第三方支付在各领域的渗透渗出率进步和市场竞争的加剧,大多数运营商都瞄准了各细分市场,从而进一步促进了网上支付的发展。 
因此,在移动支付全面爆发的时代,移动支付安全问题不容忽视。在2014年5月的全球移动互联网大会上,中国支付清算协会副秘书长王素珍就曾表示,移动支付安全直接影响到客户的信息和接受度,是市场应用和推广的关键,应受到产业链各方的高度重视。 
3 移动支付存在的安全问题 
日前,央行发布2014年第一季度支付体系运行总体情况中指出,移动支付业务6.59亿笔,金额3.89万亿元,同比分别增长232.20%和255.37%。移动支付来势凶猛,这个行业的增长犹如火山喷发。然而,互联网金融为客商两方提供便捷的同时,也存在极大的安全隐患,移动支付目前主要面临中毒、短信欺诈和手机丢失三大风险。 
第一,第三方支付类APP典型病毒偷窃支付账号密码。 
根据腾讯发布的相关数据,手机病毒数从2011年的2.5万增长到2013年的79.3万,3年涨了32倍。同时,百度手机卫士与易观智库联合发布《中国手机安全市场现状研究报告》显示,2014年一季度跟移动金融相关的手机病毒样本量就达到了12万,支付类病毒感染用户总数达到1126.75万,给用户造成经济损失高达7500万元。而在整个手机支付过程中,19.74%的支付类病毒可以读取用户短信。这里的“用户短信”包括用户支付交易的手机验证码,该验证码若被黑客利用,再结合窃取到的用户手机号码等隐私信息,可以取消数字证书等设置,从而破解用户的支付账号。这类病毒如短信盗贼a.remote.eneity,该病毒可转发和拦截各类手机用户短信到指定号码;还有盗信僵尸a.expense.regtaobao.a,它可将中毒手机变成被黑客远程控制的机器,发送短信注册淘宝账号,同时可拦截屏蔽支付确认短信,盗取手机支付确认验证码和手机资费,甚至威胁手机支付app的账户余额。 
第二,短信欺诈内置钓鱼网址骗取账号密码。 
2014年一季度,某权威病毒查杀软件收到用户举报的垃圾短信中,广告类垃圾短信占比82.09%、诈骗类垃圾短信占比10.57%。其中,诈骗分子借助伪基站发送95、106开头的服务号诈骗短信具有极强的欺骗性,诈骗短信中的钓鱼网址成为窃取用户银行账号密码的主要手段。这类钓鱼诈骗的典型案例为:向拥有某银行账户的客户发送手机短信,告知其电子密码器将过期,并提供一个与该银行网址相似度极高的链接,要求客户尽快登录升级更新。用户登录该地址后,发现页面与该银行官方网页完全相同,于是输入账号密码,诈骗分子立即通过后台的数据库记录账号密码进行盗刷。全国各地手机用户屡遭此类短信诈骗,被骗走数万元到数百万元不等。

第三,手机被盗抢遭遇恶意转账盗刷。 
目前,因手机丢失而导致的支付宝、余额宝、银行资金被盗案件屡屡发生。因为广大民众因为日常办理各种业务需要经常携带身份证,所以手机通常和钱包放在一起,若手机丢失,以支付宝为例,其重要安全威胁体现在两个方面。 
首先是仅凭手机验证码即可更改支付宝用户密码。笔者与2014年5月尝试在手机系统已锁、进入支付宝需要手势密码的前提下,不借用其它用户私密信息,仅通过以下步骤即可轻松更改支付宝密码: 
①将原手机A中的SIM卡Sa取出放入另一个手机B当中; 用另一张SIM卡Sb即可顺利进入iOS系统; 
②打开支付宝APP,提示输入手势密码,此时点击“忘记密码”; 
③进入另一界面要求输入登录支付宝的密码(此时显示的用户名为SIM卡Sa的手机号),再次点击“忘记密码”; 
④出现界面要求填写手机号/邮箱和手机验证码;于是输入卡Sa的手机号码(即所丢失手机的手机号),通过手机B中接收到的验证码,再单击【下一步】,即可进入另一页面重置支付宝密码。 
支付宝密码重置后,非法用户便可进入支付宝中盗取用户的所有信息(包括用户的名字),并进入转账环节。 
其次是在转账环节,当需要转账到其他银行卡时,银行卡信息只需卡号、持卡者名字(必须以支付宝用户实名一致)以及转账方的手机号。在手机丢失的情况下,手机号的获取轻而易举,接下来便是银行卡必须和支付宝用户实名一致的问题。然而中国因人多字少、文化趋同、家谱限制等因素,重名较多,公安部全国公民身份号码查询服务中心公布的“中国重名最多的100个姓名”(表1只截取了前20名)显示,排名第一的“张伟”重名数高达290607人。根据其统计数字,前100个重名占中国总人口的1.26%。《重庆晚报》2008年统计,重庆市每月失窃手机一万多部,结合CNNIC报告所统计的在线支付网民数(2.6亿)所占的中国人口总额的百分比(20%),也就是说,仅在重庆市每月失窃的一万部手机中,有将近25部手机是来自于重名最多的100个姓名当中,有将近7部手机来自于表1所列的人当中。而这只是根据2008年的统计数字计算,随着盗窃手段的提高,这些数字在今年应该相应提高。 
也即,在需要输入卡号、持卡者名字时,非法用户完全可以利用另一同名的用户卡号即可顺利将支付宝中的余额转走。 
即便用户在丢失手机的情况下没有丢失身份证,不法分子仍可以通过被盗手机获取用户的身份,从而达到转账目的。所以支付宝在手机随机口令和密码验证的环节实际上是不够安全的,尤其在用户手机丢失的情况下,盗窃分子可以通过找回密码功能破解支付宝账号密码,然后还可以通过手机短信验证的方式完成支付,导致支付宝、手机网银被盗。因此,手机丢失导致的手机支付账户、银行账户被盗刷问题成为当前手机支付安全的重要风险之一。 
4 改进的移动支付安全模型 
在手机丢失后,用户应该立即挂失手机SIM卡以及相关的支付宝、银行卡账号;如果用户安装正规安全软件应开启手机防盗功能,一般安全软件可以在第一时间进行远程清空手机数据,确保手机中的所有信息都被清空。还可通过远程定位功能确定当前手机位置,帮助找回丢失手机。 
此外,整个移动支付的过程涉及到的支付参与者包括:消费者、商家(或金额接受方)、移动运营商、第三方服务提供商(如支付宝)、银行,支付业务的实现离不开这五方的结合。从而,移动支付需要考虑几个安全问题。 
(1) 移动终端接入支付平台的安全,包括用户注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。 
(2) 支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。 
(3)支付平台数据存储的安全,涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。 
以第3节提到的手机被盗、身份证号码泄露的情况下,存在的两个重要安全威胁为例,说明如何增强安全性,如图4所示。 
增强的模型中,不再依赖移动运营商发送手机验证码,取而代之的是注册支付宝时预留的私密信息,如最喜欢的一本书、小学就读学校,或者增设的用户口令等等,该信息用hash函数加密存放在数据库。若忘记该口令,则可以通过填写之前曾经用过的密码、或绑定的邮箱找回。在转账的时候,也不验证在银行预留的手机号,取而代之的是银行预留的私密信息。 
5 其他的解决方案 
移动支付存在的安全性问题,针对手机支付类病毒、短信欺诈和手机丢失,可以有几种解决方案。 
(1)下载官方软件,杜绝山寨支付网银类APP。例如伪淘宝(a.privacy.leekey.b)支付病毒仿冒程序,当手机用户安装“伪淘宝”木马客户端之后,在其登录页面输入用户名和密码,点击登录,就会执行发送短信的代码,将用户的账户名和密码发送到指定的手机号码,同时诱骗用户安装包名为taobao.account.safety的恶意子包,软件名称为“账号安全服务”。当用户安装完该恶意子包后,再次点击提交会发出广播,启动恶意子包服务。可以看出,该病毒的存在,使得手机购物、支付安全的风险大增。 
(2)安装权威查杀支付类病毒软件,例如360手机卫士、腾讯手机管家、百度手机卫士等。 
(3)不要轻信任何U盾升级、网银升级等诈骗短信,不要打开短信中的任何陌生网址。 
(4)不要“所有鸡蛋都放在同一个篮子里”。手机、身份证分开放,手机中不要存储用户的任何身份证信息,包括各种短信、聊天平台,发送完毕要删除。 
6 结束语 
密码不是全部,手机验证码也不安全。从以上例子可以看出,无论多长的原始密码,只通过发送手机验证码即可更改。而手机验证码只是在手机未丢失的情况下安全,若手机丢失,即便有手机密码锁,换了SIM卡或者通过修改密码的软件也能进入系统,所以通过手机发送的验证码方法不可取。

进入支付宝后的转账业务,加入银行卡时,再增设几道屏障,例如通过再银行预留的私密信息,或者在创建支付宝账户时填入的信息,该信息要求不可更改而且不公开。 
身份证在众多管理信息系统中,对于业务办理有着不可或缺的作用,除了支付宝,补办手机卡也只需要身份证以及其它信息即可成功办理。而身份证泄露是很容易的事情,例如买房购车,因此需要数据库的系统应该将身份信息通过Hash函数加密,而非明文存储,以免人为泄露,对广大用户造成无法挽回的损失。 
因此,仅从技术角度而言,IBM资深战略分析师王祺提出,针对目前互联网金融所暴露出安全问题,还可以通过指纹识别、虹膜识别等体感技术运用到支付解决问题。 
参考文献 
[1] “第33次中国互联网络发展状况统计报告”[网页]. 
[2] 支付宝交易规模继续增大因素[网页] .
[3] 移动支付安全,且付且珍重[网页]. 
[4] 左黎明. 实时网上交易的数据安全方案探讨[J]. 华东交通大学学报.,2003. 20(2):78-82. 
[5] 支付宝曝盗刷事件 央行成立小组调研互联网金融[网页] 


转载请标明出处,论文地址:

  • 1
  • 2
  • 3

【期刊易论文网】专业提供最新学术期刊论文范文在线阅读学习及期刊查询推荐发表服务!Tel:400-8813-556