互联网金融支付手段安全风险.doc

互联网金融支付手段安全风险 更多相关文章阅读 网金融超常规、跨越式的发展,支付手段创新也出现百家争鸣、百花齐放的景像那么互联网金融支付手段安全风险有些呢?下面jy135小编为大家收集整理了互联网金融支付手段安全风险分析希望能为大家提供帮助 1、二维码支付 也就是所谓的“即拍即付”打开手机上的支付客户端其中有一项二维码识别的功能它可以用来拍摄和识别印制在各种物体上的二维码商品信息识别后你直接点击付款完成交易商品由快递员送到家里 二维码都可以干什么呢?简单的说目前大概有信息获取、网站跳转、软件下载、广告推送、手机电商、优惠促销、会员管理、手机支付这些应用模式二维码近场支付和远端支付两个模式都可以使用由于二维码应用的广泛性那么单一使用二维码来做交易验证不懂安全的人扫来源不明的二维码很容易受骗执行恶意程序扫个二维码丢了18万的案例就是这样被骗子得手的个人认为二维码的有效分类和可信二次验证研发应该提到日程上来这样才能提供更安全的二维码验证平台 2、NFC手机钱包 通过在手机中植入NFC芯片或在手机外增加NFC贴片等方式将手机变成真正的钱包在付钱时需要商户提供相应的接收器这样大家才能拿着手机去完成“刷一下”这个动作便捷付款整个过程很像是在刷公交卡 需要注明一点：NFC是指NearFieldCommunication中文名叫“近距离无线通讯技术”通过NFC可以方便地传输通讯录、图片、音乐等也可以用于支付 NFC适用于近场支付NFC的特点是无线交互但是这样不用确定的模式会在客户不知情的情况下发生交易以前的黑客大会就有人演示用一个挂件去刷钱更可怕点可以把刷卡器做在门框上于是过一个人刷一个人还很难追溯因为软件开启后一般人用过就不会关闭这样会带来很多的潜在风险所以我认为NFC应该加上一个物理的开关使用的时候按住才会激发而不是软件开启而中国的闪付和电子钱包的设计则显得异常奇葩这个创意其实很好因为小额支付风险不大1000以下可以不确认支付出了风险也有负责的机构承担但是使用了异步对账则是不可原谅的业务流程设计错误因为充值的时候已经把钱固化到卡的芯片中相当于转账资金的数据模式而这种数据是可以被复制的通过技术手段能够直接dump出卡内的数据和最后十笔交易于是我们可以写出无数的卡理论上用这些卡在对账日前可以刷出无数的交易这种风险是任何一个金融机构都无法承受的因此必须更改对账模式为实时交易模式并使用物理的开启按钮 3、摇一摇转账 大家都打开支付客户端拿出手机“摇一摇”对方的账号就自动跑到你的手机上接下来就是便捷的输入金额和收款付款了简直是聚餐凑份子和水果摊小老板结账的利器呀它背后的技术包括GPS、蓝牙、重力加速感、NFC等等当然用户不必记住这些名词 摇一摇本身就是一个近场信号发送那么只要有人一直发送在摇的信息抢先应答那么很可能劫持交易会话个人认为如果加上对方身份的显示可能会相对安全一些但这种付款的方式极不安全非常容易被手机劫持者远程确认 4、短信支付 短信支付由来已久发送一串字符到指定号码就可完成手机充值等各种支付而现在有了更多的演绎比如说短信支付让网上交水电费这件事变成了一项堪称“惊艳”的功能第一次使用时你还是用PC在网上操作的在第三方支付网站登录账户交完水电费后选择“缴费提醒”此后每个月到了缴费时支付公司将自动发来短信回复三个验证码水电费就交完了仅仅只需3秒家里永不停电后来这项功能又演变为“超级转账”你甚至不用知道对方的账户在支付客户端上发起转账后对方短信回复银行卡号就能完成收款 短信支付煤气水电费因为是落地在有具体信息可查的交易上我认为安全性还是有保障的但是换到别的交易环境就很难说了2G的短信其实是可以在手机附近进行空口监听的另外黑客也可以通过飞信或其他的客户端包括短信转移进行劫持这种单一的认证只适用于特定的业务模式下切勿盲目推广超级转帐支付客户端就可能被黑客劫持远程发起短信转账 5、“地理围栏”识别、“看照片”确认支付 当你到达A咖啡厅100米的范围内之内咖啡厅正在使用的支付应用会启动Geofencing(地理围栏)技术自动感知到你的到来调出你的账户名字和照片等资料当然同时也会向你发出通知一旦你收到通知确认购买了一杯咖啡到达咖啡厅后你只需要说出名字收银员看着照片确认那就是你她就可以按下支付确认键完成支付你就可以端着咖啡走了很快你还将收到一个推送通知告知消费了多少钱并且得到一份电子发票 这种近场的交易模式是相对安全的除非黑客入侵手机后恶意操作盗刷但是因为商户的可追查性风险并不是很大个人认为这种模式比较安全当然前提是这种支付只绑定了提供这种交易的那几个注册商家 6、语音支付 电视广告中已经嵌入了特定的语音命令而手机上则安装相应的支付应用当你在看电视时把支付应用打开它就能接收和识别广告里嵌入的语音波段并主动询问用户是否需要购买此商品并完成付款 语音支付实际也是远端数据近端识别客户确认的模式如果这种支付只绑定了提供这种交易的那几个注册商家一样是比较安全的 7、图像识别支付 这种支付堪称信用卡版的“名片全能王”它使用手机摄像头来读取信用卡信息包括信用卡号码和到期日接下来就可以发起收款啰 收款的模式是安全的但是确认的过程令人担忧如果黑客发起收款给劫持后的手机很可能远程操作付款关键付款的动作如何解决这个问题值得思考 8、超声波识别支付 这个功能其实还是一种“近场”的识别但它利用的是超声波让手机通过麦克风和扬声器就能完成一次近场“相认”而不必依赖专用的芯片不用改造你的手机用户体验就和所有“刷手机”付款的方式一致 超声波识别这个模式本质上还是数据的传输那么黑客可以使用数据接口远程发起交易并劫持确认刷钱这种模式也不安全个人认为超声波的模式操作复杂并不科学不值得推广 9、随身刷卡器 随身刷卡器可以用来识别各种银行卡从而实现随时刷卡消费或缴费的目的刷卡器很小呈正方形或长方形可以轻松插入手机中的耳机插孔安装后打开应用就可以刷卡了 这个模式本质上还是简单数据的传输那么黑客商家可以使用数据接口记录交易后重放信息或重新发起交易刷走客户钱这种模式如果设备上绑定个人的信息并有完整的备案是可以推广使用的而现在的模式存在风险 10、条码支付 这个支付方式更像是“条码收款”通过安装支付客户端你的第三方支付账户可以生成为一个条形码而收银员用条码枪在用户的手机上一扫用户点下同意支付的按键一次付款就完成了 这个模式本质上还是简单数据的传输并且确认过