无卡支付是银行或第三方支付机构向客户推出的一种便捷支付服务,目前在网购市场非常受追捧。但值得注意的是,部分无卡支付产品因过度追求客户体验和业务的便捷性,往往忽视了支付安全,尤其是当无卡支付遇上非实名账户,就存在一定的支付风险。
未来主流支付方式
“无需登录网银,只需提供卡号和相关信息即可完成支付的无卡支付将是未来的主流支付方式之一。”艾瑞咨询分析认为,无卡支付具有方便、快捷、安全的特性和跨终端、跨系统平台、跨浏览器的使用兼容性优势,是未来发展趋势。
支付宝统计数据显示,在快捷支付刚推出的半年时间内,交易笔数占比已经达到支付宝整体的30%,增速可观。另外,随着用户对手机支付需求的增加,快捷支付与移动终端的结合具备优势,这些都表明无卡支付具有较强的市场需求及良好的发展前景。
看到美好的发展前景,各金融机构都加大了无卡支付业务的布局。目前,大家耳熟能详的无卡支付产品除了支付宝推出的“快捷支付”、中国银联推出的“在线支付”和“互联网手机支付”外,还有建行推出的“账号支付”、中行联合支付宝推出的“中银淘宝卡”等。它们各具特色,拥有不同的客户群体,在竞争与合作中共享电子商务的繁荣生态。
支付风险不容忽视
虽然无卡支付业务给广大用户带来了诸多便利,但是其安全性不容忽视。今年7月,广东某市人民检察院公布的一起银行卡诈骗案件,就给无卡支付敲响了警钟。
分析这起案件,主要与客户信息泄露有关。不法分子窃取客户身份证号、银行卡号、有效期、CVN2 等银行卡敏感信息后,通过开设非实名网络支付账户与客户银行卡账户进行绑定,在客户不知情的情况下,开通互联网无卡支付业务,随后在电子商务网站购买大额或虚拟商品,盗支客户银行卡资金。
据网络安全部门披露,目前不法分子可以利用的网络支付漏洞主要有三种:安卓后门,不法分子在安卓软件中暗置手机后门,其中一些后门具有拦截手机短信的功能,盗贼可以借此重置用户支付宝或银行账号的支付密码;山寨客户端,不法分子通过推送山寨客户端获取用户信任,从而获得用户的密码信息,而在支付环节直接转移用户资金;钓鱼网站,比较多见的钓鱼形式是假冒银行身份群发短信,内容涉及用户银行账户等私密信息。
但是,客户信息泄露并不是无卡支付风险的唯一起因,相关支付机构在无卡交易流程中的安全缺失,亦难辞其咎。
安全验证机制过于简单是无卡支付的“软肋”。一些支付机构在开通和交易阶段,以向客户预留在商业银行的手机号发送动态验证码的方式,作为主要交易验证手段,验证手段单一。不法分子通过更改客户预留手机号或补办SIM卡等手段,就可以截取短信验证码,从而闯过“安全验证”关。
网络支付账户管理松懈为不法分子打开绿灯。一些支付机构对网络账户实名制落实力度不足,非实名支付账户占比较大,并且在无卡支付业务中,对非实名账户关联银行卡未作限制,致使不法分子盗取客户银行卡敏感信息后,即可通过开设非实名支付账户进行关联银行卡操作,从而利于无卡支付渠道窃取客户资金。
风险提示不足为无卡支付预埋隐患。部分支付机构缺乏对客户的风险教育和权益保障工作,在客户注册、关联银行卡、交易等关键环节以及敏感信息保管等方面,未向客户充分告知和提醒风险,客户风险防范意识薄弱。
亡羊补牢不晚
快捷与风险同行,便利和安全并重。无卡支付作为支付机构为客户提供的一种便捷支付服务,无论何种原因引发客户纠纷或资金损失,支付机构都很难摆脱责任。“亡羊而补牢,犹未迟也”,银行和支付机构要审慎推敲该类交易的流程和细节,查缺补漏,未雨绸缪,不给觊觎之徒留下可乘之机,确保无卡支付在安全地带畅通运行。
堵住客户敏感信息泄露的源头。支付机构应健全信息安全防护体系建设,通过提升技术手段实现信息传输过程中的安全性、保密性、完整性,确保业务运作全过程中,客户的银行卡卡号、 有效期、验证码、身份证件号码等敏感信息得到安全处理。支付机构不得通过互联网传送特约商户营业执照及其他实名制证件材料,避免发生信息泄露事件。支付机构要遵守职业道德,确保客户信息仅用于本公司提供的支付服务,切实保障客户信息安全。
完善无卡支付安全认证机制。支付机构要强化支付安全认证管理,使用硬件加密、页面加密、 安全控件、数字证书等多种技术手段提高验证安全性,特别是对于金额大、涉及虚拟物品交易等较高风险业务的交易,应采取高级别的安全认证制度。
强化支付账户实名制管理。支付机构应严格对客户的真实性身份核查,落实支付账户实名制,与关联银行卡账户建立实名校验机制,通过限制非实名支付账户交易功能和交易金额、开展存量非实名账户清理等手段,逐步引导客户注册实名账户,禁止通过非实名支付账户关联银行卡开通无卡支付业务,全面落实支付账户实名制。
加强无卡支付交易监控。支付机构应完善无卡支付商户风险监控管理,建立健全网络交易监测机制,加强对异常、可疑交易的监控、分析和预警,特别是要加强对二级商户的交易监控。支付机构要加强商户风险评估,建立商户风险等级制度,规范网络商户上送信息的管理。支付机构要设置交易控制,根据不同的业务模式、交易认证强度、商户类型设置交易额度、频率,并能够进行动态管理和及时调整。
创新风险提示方式。对客户注册、支付等关键环节,要以多种方式充分告知客户相关风险点和注意事项,定期或不定期通过电子邮件、手机短信等方式,向客户主动推送近期发生的典型风险案件,提醒客户加强防范。