2014年03月26日 星期三
移动互联网交易安全及用户身份识别问题亟待解决
许海光

    用户身份识别以及交易安全保护问题已成为移动互联网金融亟待解决的瓶颈问题。75%的非网上银行用户由于担心安全性而不愿尝试。

    近期发布的《2013年中国手机银行用户调研报告》显示,对安全性存疑的手机用户占比高达61.23%,手机病毒木马、手机遗失造成账户损失、出事后难以找到责任方等问题,令公众对移动互联网安全感到担忧,极大地阻碍了移动互联网金融的发展。

    1.预留手机号进行短信验证的身份认证方式存在很大安全漏洞

    移动互联网环境下,现有的身份识别方式基于客户预留手机号的短信验证,一旦手机卡被复制或验证短信被劫持转发等情况发生,犯罪分子可以非法控制被害人的手机银行,甚至“帮助”被害人注册开通手机银行,进行犯罪活动。

    从目前主流的电子支付方式看,如果用户办银行卡时有在银行预留手机号,那么只需填写银行卡号、姓名、身份证号和预留手机号就可实现银行卡的绑定,然后通过设置的支付密码就可实现消费,并不需要银行卡的密码,而姓名、身份证号、银行卡号等信息在网络上很容易泄露,存在较大的互联网身份盗用风险。

    二维码支付的业务流程中,在手机产生二维码的第三方账户极易被盗用,同时二维码扫描也给了犯罪分子诱使客户在不知情的情况下,被植入恶意木马窃取关键信息的机会。

    上述问题的存在,使得互联网金融服务中,重大资金被盗及资讯泄密案件频发。

    2.支付指令与验证指令单通道传输容易被篡改

    众所周知,银行和第三方公司在提供移动支付服务的同时已做了相应的安全措施,但由于客户与银行之间单通道的通讯传输方式(由手机、电脑等终端同时发送支付指令和验证指令到银行服务器),这种方式容易受网络中间人、浏览器劫持人所攻击,金融机构难以确认客户端操作者的身份,从而无法识别网络中间人对支付指令的篡改。消费者面对的是花样繁多且不断升级的攻击方式,操作稍有不慎即造成损失。而“U盾”“电子口令卡”等安全工具,还是存在着对客户安全使用意识要求较高且携带使用不便等诸多问题。

京ICP备06005116