手機支付標準混亂 拷問用戶資金安全

　　每經記者 張威發自北京

　　移動互聯網大潮正席卷全球，影響著人們生活的方方面面。用手機支付對于很多人來說已經并不陌生，但是安全地使用手機用于消費支付卻是一個難題，由于有不同的技術安全手段，而對應不同手段，各自的支付流程自然也不盡相同。尷尬之處恰恰在于，這種支付方式上的“亂局”，在一定程度上反而加大了用戶的安全性疑慮。

　　在國外，盡管移動支付技術同樣受到種種安全方面的質疑，但很多標準都是統一的，只需要推廣在終端范圍的使用。國內推行統一標準勢在必行。

　　沒有用過微信銀行的張麗近日告訴《每日經濟新聞(博客,微博)》記者，她向微信銀行打入5000塊錢，由于沒有經驗所以擔心安全，隨后又將微信銀行的錢打回銀行卡。但過了一個下午才收到款，和打出錢花費時間相差甚遠，這讓第一次使用微信銀行的張麗著實緊張了一番。

　　隨著“方便、快捷”理念在支付領域迅速發展，手機支付已經成為繼銀行卡支付、網絡支付后的又一潮流。其中二維碼掃描付款在各大商場、飯店均可看到，NFC手機近場支付通過標有Quickpass的商場機器也隨時可以完成交易。

　　然而對于張麗這樣的新手而言，哪種手機支付方式更快捷同時又更安全，是一個難題。“前幾年就有很多做移動支付的，都是因為安全問題解決不了，一直沒有太快擴張。”一位曾研究過手機支付的人士直言。而目前的移動支付方式上的“亂局”加大了用戶對于資金安全的擔憂。

　　風險在于“個人習慣”?

　　2013年下半年，各大銀行紛紛加大推廣手機銀行力度，手機支付也成為其拓展業務的重要一環。

　　據中國電子商務研究中心監測的數據顯示，2013年手機在線支付快速增長，用戶規模達到1.25億，使用率為25.1%，較上年底提升了11.9個百分點。

　　“手機支付包括近場和遠程支付，現在遠程支付多一些，用的基本都是小額支付，如果成熟的盈利模式出現后我們也會加大規模。”某銀行電子銀行部人士向 《每日經濟新聞》記者坦言。

　　上述電子銀行部人士表示，現在手機支付最大的風險就是資金安全問題。比如近場支付，將手機放入手提包中，在擁擠的地鐵或者公交上，旁邊的人的手機靠近手提包里的手機，便有可能從手提包里的手機中扣除一定的資金。該人士表示，以前該行便接觸過這種案例。

　　日前，記者在某股份制銀行現場觀摩該行推出的NFC手機支付，工作人員現場演示中，將兩個手機相碰一下，其中一部手機便可從另外一部手機中劃走一定金額的資金。

　　這樣資金的瞬間轉移，自然會讓更多對于技術問題不太了解的客戶產生對于資金安全的疑問。對此，某股份制銀行人士告訴記者，手機支付的風險在于個人習慣，現在一旦發明了什么技術，不法分子都會利用這個技術進行犯罪，從銀行端來講要加強監控，T+0實時監控，根據客戶的交易規律，如果發現客戶的交易和之前規模不太一樣，就短信或者電話通知客戶，確認是否為本人操作，銀行有責任維護安全。

　　“其實手機支付與現金錢包有什么太大的區別?現金錢包也會有丟錢的危險。”上述股份制銀行人士反問道，“這其實與錢包持有人的生活習慣密切相關。”

　　支付“亂局”加大安全疑問

　　那么，在手機支付應用時間還很短的背景下，現有的技術是否可以控制相應的風險呢，銀行目前又面臨怎樣局面呢?

　　上述銀行電子銀行部人士對《每日經濟新聞》記者表示，手機支付是銀行爭取客戶的一個業務手段，肯定有一些不安全的地方，客戶用起來要十分小心，不要見到二維碼就掃，有可能是木馬病毒，因為很多信息都可以做成二維碼，而且沒有多少技術含量。“但是，安全手段和風險肯定是相互發展、相互制衡，當下手機最大的風險是資金被盜。”

　　上述股份制銀行人士也表示，手機支付最大的風險是在支付的過程中有些信息會被截取，用戶在使用微信或者手機QQ過程中要特別警惕，不要打開不安全的網頁。“現在安全技術對手機支付風險不是完全能解決，而是隨時出現，銀行隨時想辦法。”

　　“銀行工作人員更多注重如何推廣這塊業務，對于手機支付安全技術層面的肯定專做技術的人更為清楚。這是未來的一個發展趨勢，日本、韓國手機支付比較普遍，這兩年中國做得也比較好。”上述研究人士告訴《每日經濟新聞》記者。上述研究人士表示，手機支付在最早的時候是用手機綁定銀行卡，其實完成的是卡的支付。但是之前有一個問題，就是身份確認，誰在使用這個手機，另外短信也不是一個可靠的身份認證手段。

　　該人士進一步解釋說，“手機支付的安全問題，無非是如何能保證通道安全，需要做出一個數字簽名，否則交易中間被攻擊都不知道。咱們用普通的SIM卡沒有se(安全單元)，就沒辦法放入身份信息等，普通手機沒有安全控制，信息很容易被竊取，現在很多在做安全的se。”

　　“安全的se有幾種形態，一個就是運營商發的SIM卡帶了一張相當于銀行卡的安全芯片，可以保護信息安全;另外一種是SD卡，普通SD卡就是一個存儲卡，如果把身份信息放入里面很不安全，手機下載了惡意軟件可以控制SD卡里的信息，SD卡也可以做一個安全單元，類似網銀用的U盾，U盾拆開后最關鍵是安全芯片;還有一種就是全終端，出廠之前安全就做入內化。這三種方式都可以保證移動支付的安全。”上述研究人士說。

　　對應不同的安全技術手段，各自的支付流程自然也不盡相同。而在另一位關注移動支付的人士看來，尷尬之處恰恰在于，這種支付方式上的“亂局”，在一定程度上反而加大了用戶的安全性疑問。

　　國外移動支付：面臨質疑但標準統一

　　每經實習記者 史青偉 發自上海

　　盡管國外的移動支付發展路徑與我國并不相同，但據知情人士告訴《每日經濟新聞》記者，在國外，移動支付技術同樣受到種種安全方面的質疑，廠商們在制定安全標準和采用先進的技術后，還會通過擔保交易安全的方式讓消費者放心使用。

　　快錢相關人士表示，國內外區別在于整個移動支付生態圈環境。在中國，推動移動支付需要運營商、商業銀行、終端制造廠商、第三方支付企業等多個合作伙伴共同行動，才能齊步走。國外很多標準都是統一的，只需要推廣在終端范圍的使用。

　　此外，隨著云計算的應用，一種全新的移動支付模式——“數字錢包”開始進入用戶視野，但這同樣會引發新的安全質疑。

　　谷歌錢包發展迅速

　　在美國，主流的移動支付方為S-P，即Square和Paypal兩大公司，不過隨著谷歌在移動支付領域發力，谷歌錢包也搶占了一部分市場。

　　Square公司成立于2009年，依靠移動刷卡器連接智能手機，在任何3G或WiFi網絡狀態下，通過應用程序刷卡消費。Paypal成立于1998年，依靠其在傳統線上支付領域的經驗，移動支付發力較早，也處于領先地位。

　　基于NFC的移動支付領域，以Google、三星、諾基亞、微軟等廠商為代表，如谷歌錢包(GoogleWalet)發展迅速，此外還有ISIS(美國三大電信運營商Verizon、T-Mobile與AT&T聯營的支付公司)。

　　在日本和韓國，已經漸漸形成一整套運營模式和標準：日本形成運營商主導的支付體系;韓國則在2011年確立移動支付標準，LG電信早在2003年就推出了手機銀行業務。

　　金融機構分擔風險

　　在國外，迅速發展的移動支付技術也受到種種安全方面的質疑，廠商在制定嚴格的安全標準和采用先進的技術后，通過擔保交易安全的方式讓消費者放心使用。

　　盡管移動POS機容易讓人接受使用，不過VeriFone公司曾批評Square的讀卡器和驗證系統并不安全，原因在于移動POS機可能存在非接觸盜刷情況。

　　業內人士告訴《每日經濟新聞》記者，非接觸盜刷情況出現的可能性極小，移動POS機靈敏度很低，不過國外還是采取了一些措施應對。

　　英國要求廠商規定哪些信息是可以非接觸式獲取的，還要求POS機擁有終端安全機制，如PSAM或者銀行發的SE(SecureElement)安全元件，PSAM即銷售點終端安全存取模塊，支持多級密鑰分散機制，用分散后的密鑰作為臨時密鑰對數據進行加密、解密、MAC等運算，對信息的機密性和完整性進行保護。

　　相較于刷卡器，NFC遭受的安全質疑更多。業內人士向記者介紹了幾種NFC盜刷的情況，一種是用NFC手機獲取非接卡片的非加密信息，通過復制卡信息變成偽卡交易，第二種是用NFC手機改造為POS終端，進行盜刷。

　　此外，為了確保交易過程中出現的信用風險，美國聯邦政府有消費者信用保護法，要求金融機構分擔用戶風險，使用戶能夠放心使用。