案例
手机丢了支付宝账户轻易被盗?
“如果你的手机丢了,任何人仅凭借手机接收到的校验码就能找回你的支付宝密码,解除你的数字证书,盗空你的支付宝账户”,上周,一则关于支付宝丢失后如何被攻陷的“惊悚实验”帖子在微博和微信朋友圈引起了轰动。
根据帖子的攻略,若一部装有支付宝钱包的手机丢失,捡到手机的人可以使用支付宝PC短网页专供忘记密码时“找回密码”的服务,轻易通过手机验证码修改手机绑定的支付宝账号密码,从而成功突破密码障碍,顺利实现账户盗取和资金窃取行为。帖子称试验过此操作方式,支付宝钱包存在这一轻易突破的漏洞。“捡到他人手机后,任何人都可以仅通过取回密码的方式破解支付宝的登录和支付密码,从而盗走资金”。
不过,日前本报记者青紫尝试了一下支付宝手机钱包的找回密码功能。记者在网页支付宝上进行操作尝试,的确有提示“通过手机号码”找回密码的一项功能。不过,与网上帖子有所不同的是,当记者点进去之后,除了手机号码和手机验证码之外,系统设置中,取回密码还需要验证身份证信息,而并非只凭一个手机验证码就可以“打通关”。
记者在网上看到,一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作,发现果然通过一个手机校验码就成功了,而更多用户在测试过程中却发现,网帖声称的方式并不可行。
支付宝方面人士回应表示,“如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要‘手机校验码+身份证信息’等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。”
分析
身份验证引发效率与安全的博弈
虽然并非如帖子所说的“手机校验证码是万能”的,但这样一个实验也确实使不少用户出了一身冷汗。业内人士表示,事实上对于第三方支付企业而言,只要在手机支付端多设几重验证“关卡”,就可以很好的防止手机丢失后账户被盗的风险,如预设的登录保密语句等,但行业大佬支付宝重点产品手机钱包为什么不多上几道锁呢?“在技术上这一点难度都没有,而且多设验证关也是不花成本的事情,但是第三方支付,尤其是手机支付注重的是综合体验,就是安全性和便捷性的平衡。我们测试过,事实上目前的支付宝出险率比例是非常低的。另外,一旦真的发生资金被盗,我们与保险公司合作进行全额赔偿。因此用户不必过于担心。”
此前,阿里巴巴小微金融研究院院长房玄龄表示,支付宝目前资损率(支付过程中资金被盗损失的比率)为十万分之一,但在国际上,如paypal之类的网络支付,这一数据为0.3%“国内无论是银行或者是机构都可能有一些死账、坏账、呆账的问题,支付宝的业务有风险,但这个风险的概率是十万分之一,远低于日常碰到的问题或者是交通工具可能出现的问题。”支付宝相关负责人表示,“目前支付宝规模已经超过3万亿,没有这个数据谁也不敢承诺风险赔付。互联网是无孔不入,再厉害的银行都会出现“资损”,因此赔付是必须的。
据了解,整个公司有专职从事风险管理的人员400人左右,400个人里面,除了给用户一些安全管理的服务人员,有三分之一的人员专门从事技术挖掘、技术开发和分析人员。此外,有1100多台服务器专门负责安全交易检测和分析,服务器大概占整体服务器量的五分之一,也就是说切出了20%的资源放到了用户信息保护、检测和分析上面。
中国支付体系研究中心主任张宽海接受南方日报记者采访时表示,无论支付方式如何创新变革,保证资金安全永远应该是放在首位的。张宽海认为,如果支付方式的创新以牺牲安全性为代价,这样的“创新”对用户而言就没有实际意义。
深圳市圆融方德投资管理有限公司董事长冉兰也提出,对于移动支付来说,安全性是用户考量的首要标准。针对当前日趋明显的各自为战的局面,冉兰表示,“任何一个市场展开充分的竞争对于消费者来说都是好事”。但是,各自为战在实际上限制了用户使用的便捷性,在易迅买东西需要财付通的账号,淘宝上买东西要支付宝账号,在京东上买东西还要一个账号。这样的竞争对用户来说,便捷性和适用范围都大打折扣。
对策
第三方支付纷纷联手保险提供损失赔偿
2013年,针对网络支付的犯罪开始增加。支付宝提供的数据显示,其联合国内外反钓鱼组织及各浏览器厂商,共计屏蔽钓鱼网站155282个,占全球金融类钓鱼网站总量的43.49%。2013年,支付宝联合全国14个地市公安机关,针对手机木马等盗用、欺诈支付宝用户案件开展打击,全年打击作案团伙16个,抓获犯罪嫌疑人35名,涉案总金额超千万元。
事实上,针对不断出现的网络盗刷,目前不少第三方支付机构针对快捷支付、手机支付和余额宝等产品一直以来都采用全额赔付,以打消消费者对网络支付和移动支付的疑虑和担忧。去年4月份,支付宝开始以保险的形式为用户提供资金保障。支付宝的资金安全由平安保险全额承保,用户发生被盗,平安保险会全额赔付,支付宝承诺赔付金额无上限,保费全部由支付宝承担。
不久后,微信支付也宣布与中国人保财险合作,推出全额赔付的保障。微信用户如因使用微信支付造成资金被盗等损失,只需提供相应证明,即可获得全额赔款。在微信支付的使用场景以及营销渠道不断增加的趋势下,财付通也及时与中国人保财险达成合作,表示今后用户如因使用微信支付和财付通造成的资金被盗等损失,将获得相应赔付,在一定程度上缓解了用户对于资金安全隐患的担忧。
事实上,不少第三方支付企业都表示,目前无论是PC支付还是移动支付,风险最大的地方还是出在木马病毒钓鱼网站中,尤其是手机上,99%的被盗跟此相关,其余是用户被骗,而不是因为丢失手机。
■对话支付宝
“风险概率十万分之一”
针对日前网上流的丢失手机后支付宝轻易沦陷的实验,小微金融服务集团首席风险官胡晓明日前发布了公开信,并向记者回答了多个问题。
记者:那个“惊悚实验”是不是真的?
支付宝:我们早在2013年9月15日、2013年11月23日就通过支付宝官方微博进行过详细说明。支付宝的安全基于我们一整套的风险防控体系,其中7×24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别,对不同风险级别的操作会要求不同的安全校验。
有用户根据帖子的指引模拟自己手机丢失后找回密码的操作,一些人发现,果然通过一个手机校验码就成功了。那是因为这些用户就是在自己的电脑上模拟自己“真实被盗”的过程。就好比是用自己家的钥匙开自己家的门,一开果然锁开了,用户不明就里认为这存在风险,但如果自己的钥匙开不了自己家的门,这不是更奇怪吗?
实际上,我们的风控系统已经识别到这只是发生在用户自己电脑上的一次“模拟”。如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要“手机校验码+身份证信息”等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。
记者:手机丢了账号到底会不会轻易被盗?
支付宝:这个问题如果停留在假设层面的讨论没有意义。支付宝的移动支付已经开展了好几年,仅支付宝钱包的用户已经过亿,相信这其中丢过手机的用户也不在少数,那么这些用户中有多少因此而导致支付宝被盗?即便按照这个“惊悚实验”所要求的条件来匹配,要么同时丢失手机和电脑,或者同时丢失手机和身份证,并且上述所有设备通通无密码,这个概率估计比脑袋被石头砸中的概率还小。
记者:手机支付到底安不安全?
支付宝:支付宝创立时最初的名字其实是“支付保”,就是希望通过这样一个产品保护大家在网上交易中的安全。“你敢付,我敢赔”这句话是来自2003年的支付宝为用户提供的安全策略。
到了移动互联网时代,大家的支付都转移到了手机上。支付宝钱包为用户提供了两道密码防护,登录时需要输入登录密码,并设置手势密码,而在支付时则有专门的支付密码的保护。这些只是用户看得见的保护,在用户看不见的后台,支付宝有自主研发的智能风险识别系统7×24小时在保护大家的安全,全部用户和账户信息都进行128位SSL加密传播,并由专业团队进行分级、存储。
我们设置了专职的首席风险官,有业内最大的风险管理团队,五分之一的员工从事安全相关的工作。支付宝在安全方面投入的服务器集群超过2200台,叠起来高度超过帝国大厦。基于我们的安全体系,支付宝的风险概率不到十万分之一,在全球范围都处于绝对领先水平。
记者:但世界上没有绝对的安全,一旦发生资金被盗怎么办?
支付宝:2013年4月16日,我们以保险的形式为用户提供资金保障。支付宝的资金安全由平安保险全额承保,如用户发生被盗,平安保险会全额赔付,赔付金额无上限,保费全部由支付宝承担。这种保障模式随后也被业内其他同行效仿。
南方日报记者 黄倩蔚
移动支付
将迎来爆发式增长
【相关】
此前,易观智库在其发布的《中国第三方支付市场趋势预测》中表示,在移动支付市场,随着用户对移动支付接受程度的不断加深,特别是重要企业对移动支付市场和用户的培育,移动支付的交易规模呈现爆发式增长。
易观智库预计,2013年中国第三方互联网支付交易规模预计将达到5.9万亿,注册账户规模达到14.41亿;中国第三支付市场移动支付交易规模将达到8543亿,注册账户规模将达到2.88亿。其《第三方支付市场季度监测》数据显示,2013年二季度中国第三方支付市场移动支付(不包含短信支付)交易规模达到1224亿,与一季度相比增长76.6%。
易观国际分析师张萌表示,安全性隐患以超过50%的比例成为网民使用在线支付最大的阻碍因素。不过,随着在线支付等第三方支付应用在网民中的逐步渗透,以及政府对第三方支付监管的加深,该阻碍因素有望逐步弱化。