近期,二维码成了移动支付安全的“众矢之的”。继央行发函通知将暂停二维码线下支付业务和虚拟信用卡后,央视又在315大会上曝光了二维码诈骗。本社咨询多位第三方支付人士以及网络安全专家,表示二维码支付确实存在一些漏洞,主要问题在于无法做到多因素身份识别和易被植入木马。
在《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》中,央行表示,线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全与资金安全。一起被叫停的还有虚拟信用卡业务,央行认为其突破了现有信用卡业务模式,在落实客户身份识别业务、保障客户信息安全方面尚需要进一步研究。
对此,上海信息安全行业协会副秘书长王怀宾对大智慧通讯社表示,二维码在行业应用中确实还存在很多问题,如果放开,特别是在移动支付市场中放开,会引发一些混乱。艾瑞金融发起人刘欣宇也表示,二维码支付,还需要突破很多安全技术壁垒。
首先,王怀宾解释,“二维码手机支付无法完成身份的多因素识别。如果有他人盗取手机,同样可以扫二维码。所以二维码支付应该要配上其他身份识别技术,比如指纹识别、声纹识别等才能实现多因素身份识别。”
其二,目前手机等移动端系统本身存在很大的漏洞。一位国内运营商内部人士对本社称,现在国内安卓系统手机有一半以上可能存在木马。这些木马可能是用户在没有防备的情况下扫二维码、或者是下载流氓APP的时候被感染。而目前大部分的APP都会或多或少读取用户的个人信息。
趋势科技近期发布了一分中国地下移动网络犯罪市场报告,该份报告中指出一个常见的地下移动网络犯罪情况:许多服务商都通过发送短信的方式验证用户帐号、重设密码和在线支付,短信转发木马设计窃取此类信息,窃取用户敏感信息,此类木马主要在Andriod平台上流行。
“其实一些支付机构知道二维码支付有风险。”一位第三方支付人士坦对本社表示,但是便捷性和安全性之间是有矛盾关系的,为了让用户更快地习惯移动支付,提高支付效率,第三方支付机构选择全赔地方式在超速发展,与之相匹配的安全技术还没有到位。
本社从知情人士处获悉,此次央行暂停二维码支付的导火索可能是因为一起大型的利用互联网手段套现犯罪,据该人士透露,该互联网犯罪套取并洗掉了超过百亿元,目前已经被公安部立案抓捕。
“隐患非常大,只是现在具备移动互联网技术犯罪能力的不法分子还比较少。”一位网络安全从业者认为,更大的隐患是现在普通手机用户对手机安全基本上没有防范意识。
A股二维码概念股有:新大陆(000997.SZ)、证通电子(002197.SZ)、航天信息(600271.SH)、中科金财(002657.SZ)等。