2014@/·第11期
栏目编辑-罗锦莉 E-mail:iuol02500@163 corn P矗僦
=维码支付风险防范及发展前景研究
■ 中国人民银行景德镇市中心支行 罗贺飞 杨力宏 占 鸣
一
.背景
当前,大量的移动设备造就了大量的移动消费,智
能手机和平板电脑等移动终端的普及,给二维码支付发
展提供了基础。简单、便捷、安全是判断某项技术发展
前景的重要因素,而二维码支付在国外发达地区已经成
为成熟的技术手段,其在日韩普及率达95%以上,由此
可见二维码支付在国内也将蓬勃发展。
二.概念
对于二维码支付,首先就要从二维码定义开始说
起。二维码是用某种特定的几何图形按一定规律在平
面(二维方向)分布的黑白相间的图形记录数据符号信
息的,也就是说二维码包含了文字或字母或阿拉伯数
字等,其表现形式有所不同。二维码支付就是基于这种
形式,将账号、商品价格、付款链接等交易信息汇编成
一 个二维码,印刷在各种报纸、杂志、广告、图书、网页
等载体,然后买家通过手机客户端扫描二维码实现与
商家账户的支付结算的方式。
三、风险
在我国二维码支付出现过很多风险事例,去年就曾
出现过二维码支付被骗案件:2013年11月13日,浙江嘉
兴一位淘宝店店主汪女士因为扫二维码,导致支付宝
余额、绑定银行卡、阿里信用贷款资金被转移,损失共
计l8万元。作案方式是:有人通过淘宝旺旺向汪女士发
来二维码信息,称其需要购买的商品图片在二维码当
中,请她扫 汪女士扫完二维码点开链接,但没有任
何显示。后来她查看支付宝账户,汪女士发现不仅是支
付宝及其绑定银行卡中的5 000多元被转走,余额宝以
及阿里信用贷款中的几万块也都被转走了0汪女士迅速
冻结了账号,并前往嘉兴洪合派出所报案,并通知了淘
宝客服。但就在做笔录期间,对方又转走了12多万元的
信用贷款。经过民警调查发现,汪女士扫二维码点开的
链接已被植入木马类病毒,汪女士手机中毒,同时服务
密码被窃取。
从这起在线发生的二维码支付案件可以看出,对
于这种新兴的支付方式,人们往往会忽视其安全隐患。
在今年3月14日,中国人民银行下发紧急文件《中国人民
银行支付结算司关于暂停支付宝公司线下条码 (二维
码)支付等业务意见的函》,由于其风险控制水平直接
关系到客户的信息安全与资金安全,所以暂停二维码线
下支付(即面对面支付)。对于这种举措,我们不妨从二
维码支付原理中来分析。
如图1所示,商品有关价格、名称、尺码、付款网址
o F-q
商品 终端
图1二维码支付原理
投稿邮箱:hnfc@21cn.net岔 秘拔咕 弋l 83
P 腻
等信息可以利用电脑或其他终端转化为二维码订单,
用户通过手机等移动终端扫描二维码,从中读取相关
信息,然后利用网络通信等方式进行付款。在整个步
骤中,贯穿始终的就是二维码,对于商户只须生成二维
码,对于消费者只须扫描二维码。那么,在这个过程中,
安全性就有待考究。
(一)扫描的二维码是否存在问题
自始至终,与消费者接触的只有二维码,那么二维
码的安全性就决定了这次交易是否顺利。如果不良商
户提供的是虚假二维码,其包含的不是商品信息和链
接,而是像上述例子中包含了木马病毒,诱使用户在扫
描后自动下载木马程序就会造成信息泄露、拦截短信、
存款被盗等事件的发生。
(二)支付是否需要身份认证
二维码支付的出现,便捷了用户支付方式,线上支
付小额无须输入密码,线下支付使手机成为了钱包。那
么当手机遗失或者被盗取后,他人利用二维码支付扫
拍功能,就相当于银行卡在内的一切与二维码支付绑定
的资金账户都会受到被盗用的威胁。
(三)智能手机终端设备的安全问题
一 切与智能手机有关的业务或者应用,都逃不开
一 个主题,那就是智能手机本身的安全问题。智能手机
具有独立的操作系统,能够支持第三方软件,并可以通
过软件对手机的功能进行扩充,那么它也同电脑终端一
样,面临着多种潜在的安全威胁。
1.手机病毒,比如今年8月爆发的超级手机病毒,
对许多用户造成了经济损失。
2.系统漏洞,这种漏洞可能是系统的不够完善引
起的,也可能像苹果泄密门事件的情况。
(四)支付后台系统的安全性
例如在微信支付中,微信通过自己的协议对URL内
容进行解析,链接到支付网关实现支付功能。这种认证
的实现方式其实跟微信的公共平台接入的实现方式有
异曲同工之处。现在微信公众平台的接口是公开的,未
来微信支付平台也会向商家公开,而接口公开就存在被
攻击的可能性。
四.防控
对于上述风险问题,不仅需要人们提高支付风险的
防范意识,更需要在规章制度上统一支付技术标准,提
高安全防范技术,同时还需要加大对违法行为的打击
84 I佐触¨救畸 弋投稿邮箱:hnfc@2lcn.net
2014年 -第11期
栏目编辑:罗锦莉 E—mail:luo102500@163 cort]
力度,从各方面保障消费者利益不受侵害。
(一)提高扫拍软件的识别技术
在用户利用软件扫描二维码进行支付时,应加入
分析比对或者通过云技术解析地址安全性,对于那些
已经被标识为危险的链接给予屏蔽,对于未检测的链
接给予提示。这样就能很大程度上降低支付风险,杜
绝连锁反应。
(二)提高支付认证安全
对于手机遗失、被盗取可能带来的风险,以及线上
支付等情况,应该加人支付间隔以及金额限制规定,超
过多少额度需要进行身份认证、输入支付密码等方式
增加安全性,同时每笔交易应该设置间隔时间,避免违
法份子利用小额快捷支付转移存款。对于线下支付,应
该加人身份证或者签字等形式扫拍二维码,避免他人
盗用手机的情况出现。
(三)提高智能手机终端设备的安全
智能手机就如同PC机一样,安全软件是必不可少
的,“常在网上走,哪有不中毒”,这就需要用户提高自
身防范意识,选好安全软件并及时更新系统漏洞补丁,
不访问未知链接,杜绝手机内部中毒而泄密的事件的
发生。
(四)统—二维码支付标准
在制定标准时要银行、商家、三方平台、监管部门
等多部门共同参与,通过协议统一相同应用的二维码
编码标准,尽量做到易用性和安全性的最佳平衡,使得
二维码的支付应用能够得到广大群众的认可,以利于大
力推
五.未来展望
当今正处于移动科技迅速发展的时代,截至2013
年明 ,中国智能手机普及率已到71%,而2014年随着4G
业务应用的推广应用,智能手机销量又将继续攀升。智
能手机的普及决定着移动支付发展的前景。近期出现的
支付宝 “当面付”、打车软件、微支付等应用,正把人们
生活引向更为简单、便捷的科技时代。
随着二维码支付的不断完善,简单、便捷、安全的
二维码支付方式将会被广泛接受并使用。在二维码支
付统一规范、完善防护措施后,二维码支付应用的未
来将更为广泛,手机真正替代钱包,小到公交大至银行
转账都将得以实现,届时手机将会成为生活中的“一卡
通”。圈