案例

    手機(jī)丟了支付寶賬戶輕易被盜？

    “如果你的手機(jī)丟了，任何人僅憑借手機(jī)接收到的校驗(yàn)碼就能找回你的支付寶密碼，解除你的數(shù)字證書，盜空你的支付寶賬戶”，上周，一則關(guān)于支付寶丟失后如何被攻陷的“驚悚實(shí)驗(yàn)”帖子在微博和微信朋友圈引起了轟動(dòng)。

    根據(jù)帖子的攻略，若一部裝有支付寶錢包的手機(jī)丟失，撿到手機(jī)的人可以使用支付寶PC短網(wǎng)頁專供忘記密碼時(shí)“找回密碼”的服務(wù)，輕易通過手機(jī)驗(yàn)證碼修改手機(jī)綁定的支付寶賬號密碼，從而成功突破密碼障礙，順利實(shí)現(xiàn)賬戶盜取和資金竊取行為。帖子稱試驗(yàn)過此操作方式，支付寶錢包存在這一輕易突破的漏洞。“撿到他人手機(jī)后，任何人都可以僅通過取回密碼的方式破解支付寶的登錄和支付密碼，從而盜走資金”。

    不過，日前本報(bào)記者青紫嘗試了一下支付寶手機(jī)錢包的找回密碼功能。記者在網(wǎng)頁支付寶上進(jìn)行操作嘗試，的確有提示“通過手機(jī)號碼”找回密碼的一項(xiàng)功能。不過，與網(wǎng)上帖子有所不同的是，當(dāng)記者點(diǎn)進(jìn)去之后，除了手機(jī)號碼和手機(jī)驗(yàn)證碼之外，系統(tǒng)設(shè)置中，取回密碼還需要驗(yàn)證身份證信息，而并非只憑一個(gè)手機(jī)驗(yàn)證碼就可以“打通關(guān)”。

    記者在網(wǎng)上看到，一些用戶根據(jù)帖子的指引模擬自己手機(jī)丟失后找回密碼的操作，發(fā)現(xiàn)果然通過一個(gè)手機(jī)校驗(yàn)碼就成功了，而更多用戶在測試過程中卻發(fā)現(xiàn)，網(wǎng)帖聲稱的方式并不可行。

    支付寶方面人士回應(yīng)表示，“如果真有別人撿到你的手機(jī)，想在別的電腦上找回你的支付寶密碼，他一定需要‘手機(jī)校驗(yàn)碼+身份證信息’等更高安全級別的校驗(yàn)，絕對不可能僅通過一個(gè)手機(jī)校驗(yàn)碼就找回你的密碼。”

    分析

    身份驗(yàn)證引發(fā)效率與安全的博弈

    雖然并非如帖子所說的“手機(jī)校驗(yàn)證碼是萬能”的，但這樣一個(gè)實(shí)驗(yàn)也確實(shí)使不少用戶出了一身冷汗。業(yè)內(nèi)人士表示，事實(shí)上對于第三方支付企業(yè)而言，只要在手機(jī)支付端多設(shè)幾重驗(yàn)證“關(guān)卡”，就可以很好的防止手機(jī)丟失后賬戶被盜的風(fēng)險(xiǎn)，如預(yù)設(shè)的登錄保密語句等，但行業(yè)大佬支付寶重點(diǎn)產(chǎn)品手機(jī)錢包為什么不多上幾道鎖呢？“在技術(shù)上這一點(diǎn)難度都沒有，而且多設(shè)驗(yàn)證關(guān)也是不花成本的事情，但是第三方支付，尤其是手機(jī)支付注重的是綜合體驗(yàn)，就是安全性和便捷性的平衡。我們測試過，事實(shí)上目前的支付寶出險(xiǎn)率比例是非常低的。另外，一旦真的發(fā)生資金被盜，我們與保險(xiǎn)公司合作進(jìn)行全額賠償。因此用戶不必過于擔(dān)心。”

    此前，阿里巴巴小微金融研究院院長房玄齡表示，支付寶目前資損率（支付過程中資金被盜損失的比率）為十萬分之一，但在國際上，如paypal之類的網(wǎng)絡(luò)支付，這一數(shù)據(jù)為0.3%“國內(nèi)無論是銀行或者是機(jī)構(gòu)都可能有一些死賬、壞賬、呆賬的問題，支付寶的業(yè)務(wù)有風(fēng)險(xiǎn)，但這個(gè)風(fēng)險(xiǎn)的概率是十萬分之一，遠(yuǎn)低于日常碰到的問題或者是交通工具可能出現(xiàn)的問題。”支付寶相關(guān)負(fù)責(zé)人表示，“目前支付寶規(guī)模已經(jīng)超過3萬億，沒有這個(gè)數(shù)據(jù)誰也不敢承諾風(fēng)險(xiǎn)賠付。互聯(lián)網(wǎng)是無孔不入，再厲害的銀行都會(huì)出現(xiàn)“資損”，因此賠付是必須的。

    據(jù)了解，整個(gè)公司有專職從事風(fēng)險(xiǎn)管理的人員400人左右，400個(gè)人里面，除了給用戶一些安全管理的服務(wù)人員，有三分之一的人員專門從事技術(shù)挖掘、技術(shù)開發(fā)和分析人員。此外，有1100多臺服務(wù)器專門負(fù)責(zé)安全交易檢測和分析，服務(wù)器大概占整體服務(wù)器量的五分之一，也就是說切出了20%的資源放到了用戶信息保護(hù)、檢測和分析上面。

    中國支付體系研究中心主任張寬海接受南方日報(bào)記者采訪時(shí)表示，無論支付方式如何創(chuàng)新變革，保證資金安全永遠(yuǎn)應(yīng)該是放在首位的。張寬海認(rèn)為，如果支付方式的創(chuàng)新以犧牲安全性為代價(jià)，這樣的“創(chuàng)新”對用戶而言就沒有實(shí)際意義。

    深圳市圓融方德投資管理有限公司董事長冉蘭也提出，對于移動(dòng)支付來說，安全性是用戶考量的首要標(biāo)準(zhǔn)。針對當(dāng)前日趨明顯的各自為戰(zhàn)的局面，冉蘭表示，“任何一個(gè)市場展開充分的競爭對于消費(fèi)者來說都是好事”。但是，各自為戰(zhàn)在實(shí)際上限制了用戶使用的便捷性，在易迅買東西需要財(cái)付通的賬號，淘寶上買東西要支付寶賬號，在京東上買東西還要一個(gè)賬號。這樣的競爭對用戶來說，便捷性和適用范圍都大打折扣。

    對策

    第三方支付紛紛聯(lián)手保險(xiǎn)提供損失賠償

    2013年，針對網(wǎng)絡(luò)支付的犯罪開始增加。支付寶提供的數(shù)據(jù)顯示，其聯(lián)合國內(nèi)外反釣魚組織及各瀏覽器廠商，共計(jì)屏蔽釣魚網(wǎng)站155282個(gè)，占全球金融類釣魚網(wǎng)站總量的43.49%。2013年，支付寶聯(lián)合全國14個(gè)地市公安機(jī)關(guān)，針對手機(jī)木馬等盜用、欺詐支付寶用戶案件開展打擊，全年打擊作案團(tuán)伙16個(gè)，抓獲犯罪嫌疑人35名，涉案總金額超千萬元。

    事實(shí)上，針對不斷出現(xiàn)的網(wǎng)絡(luò)盜刷，目前不少第三方支付機(jī)構(gòu)針對快捷支付、手機(jī)支付和余額寶等產(chǎn)品一直以來都采用全額賠付，以打消消費(fèi)者對網(wǎng)絡(luò)支付和移動(dòng)支付的疑慮和擔(dān)憂。去年4月份，支付寶開始以保險(xiǎn)的形式為用戶提供資金保障。支付寶的資金安全由平安保險(xiǎn)全額承保，用戶發(fā)生被盜，平安保險(xiǎn)會(huì)全額賠付，支付寶承諾賠付金額無上限，保費(fèi)全部由支付寶承擔(dān)。

    不久后，微信支付也宣布與中國人保財(cái)險(xiǎn)合作，推出全額賠付的保障。微信用戶如因使用微信支付造成資金被盜等損失，只需提供相應(yīng)證明，即可獲得全額賠款。在微信支付的使用場景以及營銷渠道不斷增加的趨勢下，財(cái)付通也及時(shí)與中國人保財(cái)險(xiǎn)達(dá)成合作，表示今后用戶如因使用微信支付和財(cái)付通造成的資金被盜等損失，將獲得相應(yīng)賠付，在一定程度上緩解了用戶對于資金安全隱患的擔(dān)憂。

    事實(shí)上，不少第三方支付企業(yè)都表示，目前無論是PC支付還是移動(dòng)支付，風(fēng)險(xiǎn)最大的地方還是出在木馬病毒釣魚網(wǎng)站中，尤其是手機(jī)上，99%的被盜跟此相關(guān)，其余是用戶被騙，而不是因?yàn)閬G失手機(jī)。

    ■對話支付寶

    “風(fēng)險(xiǎn)概率十萬分之一”

    針對日前網(wǎng)上流的丟失手機(jī)后支付寶輕易淪陷的實(shí)驗(yàn)，小微金融服務(wù)集團(tuán)首席風(fēng)險(xiǎn)官胡曉明日前發(fā)布了公開信，并向記者回答了多個(gè)問題。

    記者：那個(gè)“驚悚實(shí)驗(yàn)”是不是真的？

    支付寶：我們早在2013年9月15日、2013年11月23日就通過支付寶官方微博進(jìn)行過詳細(xì)說明。支付寶的安全基于我們一整套的風(fēng)險(xiǎn)防控體系，其中7×24小時(shí)的智能風(fēng)險(xiǎn)識別系統(tǒng)會(huì)對用戶的每一筆支付、每一次找回密碼等關(guān)鍵操作進(jìn)行智能識別，對不同風(fēng)險(xiǎn)級別的操作會(huì)要求不同的安全校驗(yàn)。

    有用戶根據(jù)帖子的指引模擬自己手機(jī)丟失后找回密碼的操作，一些人發(fā)現(xiàn)，果然通過一個(gè)手機(jī)校驗(yàn)碼就成功了。那是因?yàn)檫@些用戶就是在自己的電腦上模擬自己“真實(shí)被盜”的過程。就好比是用自己家的鑰匙開自己家的門，一開果然鎖開了，用戶不明就里認(rèn)為這存在風(fēng)險(xiǎn)，但如果自己的鑰匙開不了自己家的門，這不是更奇怪嗎？

    實(shí)際上，我們的風(fēng)控系統(tǒng)已經(jīng)識別到這只是發(fā)生在用戶自己電腦上的一次“模擬”。如果真有別人撿到你的手機(jī)，想在別的電腦上找回你的支付寶密碼，他一定需要“手機(jī)校驗(yàn)碼+身份證信息”等更高安全級別的校驗(yàn)，絕對不可能僅通過一個(gè)手機(jī)校驗(yàn)碼就找回你的密碼。

    記者：手機(jī)丟了賬號到底會(huì)不會(huì)輕易被盜？

    支付寶：這個(gè)問題如果停留在假設(shè)層面的討論沒有意義。支付寶的移動(dòng)支付已經(jīng)開展了好幾年，僅支付寶錢包的用戶已經(jīng)過億，相信這其中丟過手機(jī)的用戶也不在少數(shù)，那么這些用戶中有多少因此而導(dǎo)致支付寶被盜？即便按照這個(gè)“驚悚實(shí)驗(yàn)”所要求的條件來匹配，要么同時(shí)丟失手機(jī)和電腦，或者同時(shí)丟失手機(jī)和身份證，并且上述所有設(shè)備通通無密碼，這個(gè)概率估計(jì)比腦袋被石頭砸中的概率還小。

    記者：手機(jī)支付到底安不安全？

    支付寶：支付寶創(chuàng)立時(shí)最初的名字其實(shí)是“支付保”，就是希望通過這樣一個(gè)產(chǎn)品保護(hù)大家在網(wǎng)上交易中的安全。“你敢付，我敢賠”這句話是來自2003年的支付寶為用戶提供的安全策略。

    到了移動(dòng)互聯(lián)網(wǎng)時(shí)代，大家的支付都轉(zhuǎn)移到了手機(jī)上。支付寶錢包為用戶提供了兩道密碼防護(hù)，登錄時(shí)需要輸入登錄密碼，并設(shè)置手勢密碼，而在支付時(shí)則有專門的支付密碼的保護(hù)。這些只是用戶看得見的保護(hù)，在用戶看不見的后臺，支付寶有自主研發(fā)的智能風(fēng)險(xiǎn)識別系統(tǒng)7×24小時(shí)在保護(hù)大家的安全，全部用戶和賬戶信息都進(jìn)行128位SSL加密傳播，并由專業(yè)團(tuán)隊(duì)進(jìn)行分級、存儲。

    我們設(shè)置了專職的首席風(fēng)險(xiǎn)官，有業(yè)內(nèi)最大的風(fēng)險(xiǎn)管理團(tuán)隊(duì)，五分之一的員工從事安全相關(guān)的工作。支付寶在安全方面投入的服務(wù)器集群超過2200臺，疊起來高度超過帝國大廈。基于我們的安全體系，支付寶的風(fēng)險(xiǎn)概率不到十萬分之一，在全球范圍都處于絕對領(lǐng)先水平。

    記者：但世界上沒有絕對的安全，一旦發(fā)生資金被盜怎么辦？

    支付寶:2013年4月16日，我們以保險(xiǎn)的形式為用戶提供資金保障。支付寶的資金安全由平安保險(xiǎn)全額承保，如用戶發(fā)生被盜，平安保險(xiǎn)會(huì)全額賠付，賠付金額無上限，保費(fèi)全部由支付寶承擔(dān)。這種保障模式隨后也被業(yè)內(nèi)其他同行效仿。

    南方日報(bào)記者 黃倩蔚

    移動(dòng)支付

    將迎來爆發(fā)式增長

    【相關(guān)】

    此前，易觀智庫在其發(fā)布的《中國第三方支付市場趨勢預(yù)測》中表示，在移動(dòng)支付市場，隨著用戶對移動(dòng)支付接受程度的不斷加深，特別是重要企業(yè)對移動(dòng)支付市場和用戶的培育，移動(dòng)支付的交易規(guī)模呈現(xiàn)爆發(fā)式增長。

    易觀智庫預(yù)計(jì)，2013年中國第三方互聯(lián)網(wǎng)支付交易規(guī)模預(yù)計(jì)將達(dá)到5.9萬億，注冊賬戶規(guī)模達(dá)到14.41億；中國第三支付市場移動(dòng)支付交易規(guī)模將達(dá)到8543億，注冊賬戶規(guī)模將達(dá)到2.88億。其《第三方支付市場季度監(jiān)測》數(shù)據(jù)顯示，2013年二季度中國第三方支付市場移動(dòng)支付（不包含短信支付）交易規(guī)模達(dá)到1224億，與一季度相比增長76.6%。

    易觀國際分析師張萌表示，安全性隱患以超過50%的比例成為網(wǎng)民使用在線支付最大的阻礙因素。不過，隨著在線支付等第三方支付應(yīng)用在網(wǎng)民中的逐步滲透，以及政府對第三方支付監(jiān)管的加深，該阻礙因素有望逐步弱化。