安全中心

支付政策解读

图解看懂《非银行支付机构网络支付业务管理办法》(源自:央行官方微博)

               
           

图解看懂央行261号文(源自:中国支付清算协会)

               
           

图解看懂央行新规:Ⅰ类Ⅱ类Ⅲ类银行账户(源自:央视新闻官方微博)

               
           

支付安全知识

一、保护支付敏感信息对资金安全的重要性

随着互联网行业的快速发展,欺诈风险逐渐向线上交易转移,在以往的线下交易中,银行卡被复制盗刷是高发案件。而在线上交易中,尽管不存在银行卡被复制盗刷的风险,但是交易仍需提供卡号和有效期等敏感信息,很容易给欺诈团体带来可乘之机,犯罪分子还可以通过骗取验证码或者挂失手机号等方式获得支付授权把钱转走。这些支付敏感信息的泄露已成为支付安全风险的源头,资金安全面临更为严峻的挑战。那么我们如何保护好敏感信息来确保我们的资金安全呢?

下面给大家列举5种方法:        

1. 不透露:妥善保管好自己的身份证件、银行卡、网银U盾、手机,不轻易向外透露身份证件号、账号等信息。

2. 不乱丢:不要随意丢弃银行卡刷卡消费或使用ATM设备的交易凭条,谨慎进行网络操作。

3. 不轻信:对于接收到的异常电话和短息,不轻信、不回拨,不点击可疑链接。

4. 勤关注:妥善设置银行卡及其他关联账户的密码,关注账户变动情况。

5. 升技术:提高个人银行结算账户信息核验方式和风险等级,将银行卡磁条卡更换为芯片卡。

以下这些异常情况更是需要我们高度警惕:        

1. 手机异常:收到银行发送的非本人行为的异常交易短信;收到冒充银行的短信,且个人信息和卡片信息均正确;已开通银行账户变动短信提醒,但手机在一段时间内无法收到任何短信。

2. 网络操作异常:在不能确认安全的网站上输入了银行卡信息,或不慎点击可疑短信中的木马链接。

3. 信用卡使用不当:在商户POS刷卡或ATM上使用银行卡时发现设备有异常;在发生过风险的场所或地区使用过银行卡,接道银行的风险提示。


二、常用支付方式的安全特性和风险点

随着电子商务的蓬勃发展,网上购物、在线交易对于消费者而言已经从一个新鲜未知的事物变成了日常生活的一部分。下面给大家介绍几种常用的支付方式:

1.手机银行:        

是利用移动通信网络及终端办理相关银行业务的简称。作为一种结合了货币电子化与移动通信的崭新服务,手机银行业务不仅可以使人们在任何时间、任何地点处理多种金融业务,而且极大地丰富了银行服务的内涵,使银行能以便利、高效而又较为安全的方式为客户提供传统和创新的服务。手机银行是网络银行的派生产品之一,它的优越性集中体现在便利性上,客户利用手机银行不论何时何地均能及时交易,节省了ATM机和银行窗口排队等候的时间。


2.云闪付:        

以智能手机为基础,基于NFC的HCE和Token技术的一种支付方式。不需要“解锁、亮屏幕、打开APP”等步骤,直接亮屏即可“刷手机”支付;而扫码支付则需要打开微信和支付宝的APP,启用摄像头和对应的扫码功能,联网确认后才能完成支付。优势在于手机与银行卡合二为一,代替实体银行卡享受一拍(手机)即付的快速支付体验,并且采用令牌、动态密钥、云端支付等技术,来确保账户信息和支付安全。


3.快捷支付:        

一种全新的支付理念,具有方便、快速的特点,是未来消费的发展趋势,其特点体现在“快”。快捷支付指用户购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机号上,用户输入正确的手机动态口令,即可完成支付。如果用户选择保存卡信息,则用户下次支付时,只需输入第三方支付的支付密码或者是支付密码及手机动态口令即可完成支付。支付方式采用双重密码保护,支付时需要支付密码以及手机动态口令才能完成支付操作。


4.金融IC卡:        

又称为芯片银行卡,是以芯片作为介质的银行卡。芯片卡容量大,可以存储密钥、数字证书、指纹等信息,其工作原理类似于微型计算机,能够同时处理多种功能,为持卡人提供一卡多用的便利。金融IC卡的外形与磁条卡相似,不同的地方在于数据存储的媒介。磁条卡是通过卡上磁条的磁场变化来存储信息的,而金融IC卡则是通过嵌入卡中的集成电路芯片来存储数据信息的。与传统的磁条卡相比,金融IC卡具有更明显的优势。比如,具备一卡多用的革命性优势;具备很强的抗攻击能力,很难被复制与伪造,安全保密性好于磁条卡。


5.磁条卡:        

是一种卡片状的磁性记录介质,利用磁性载体记录字符与数字信息,用来标识身份或其它用途。磁条卡由高强度、耐高温的塑料或纸质涂覆塑料制成,能防潮、耐磨且有一定的柔韧性,携带方便、使用较为稳定可靠。磁条上的信息比较容易读出,非法修改磁条上的内容也较容易,卡的保密性和安全性较差。另外,磁条卡受压、被折、长时间磕碰、曝晒、高温,磁条划伤弄脏等也会使磁条卡无法正常使用。同时,在刷卡器上刷卡交易的过程中,磁头的清洁、老化程度,数据传输过程中受到干扰,系统错误动作,收银员操作不当等都可能造成磁条卡无法使用。


6.二维码支付:        

一种基于账户体系搭起来的新一代无线支付方案。在该支付方案下,商家可把账号、商品价格等交易信息汇编成一个二维码,并印刷在各种报纸、杂志、广告、图书等载体上发布。用户通过手机客户端扫拍二维码,便可实现与商家账户的支付结算。最后,商家根据支付交易信息中的用户收货、联系资料,就可以进行商品配送,完成交易。具有支付便捷、成本较低、使用简单等优势。


三、身份认证方式的安全强度

为了解决网络应用中的身份假冒、授权管理等问题,身份认证方式是首当其冲的问题,作为安全的第一道大门,是各种安全措施可以发挥作用的前提。在互联网应用的业务系统中采用的认证方式主要包括:用户名+口令、动态口令认证、生物识别方式、数字证书文件、数字证书Usbkey等。大家经常见到和使用的,“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。这样很容易造成密码泄漏。而互联网发展至今,几乎我们每个人都会在不同网站或者APP上注册账号,随着账号的增加设置的密码难免相同,非常容易被攻击者在得知一个账号密码后在别的平台实施撞库,致使其他平台的信息遭遇泄露的风险。于是出现了手机短信验证,动态的验证码不易被泄露,但是存在手机中毒被截取的危险,而且有的时候验证信息无法发出,用户体验度大打折扣。

常见支付风险

什么是钓鱼网站?

钓鱼网站是欺诈性的网站,通常可通过模仿的购物网站、电子邮件或QQ提供的链接来访问,其外观和易宝支付、被仿冒的电子商务网站非常相似。

           

典型案例:        

           

案例一:注意网上支付陷阱!

1月,从广东出发参加朋友婚礼的覃女士在一酒店上网买机票,多次输入密码网上仍显示支付未成功,但卡上的近15万元却被转走了。经过覃女士的追踪发现,这笔钱到了游戏公司的账户,被采购成游戏点卡。

【民警提示】

1,不断让输密码,存在被套资料的潜在风险。

2,使用办公、家庭外的电脑时,存在资料泄露的风险。不排除在登录时可能已中了木马病毒。

3,查询资金被转移后,请记录单号,即刻报警,请警方处理。

案例二:防网购火车票,中木马病毒盗卡!

被钓鱼现象:

1. 支付完成时,原来的网页没有显示支付成功,但同时跳转出来的另一个页面,显示支付成功,点开发现是某网络科技有限公司的网页,与原网站不符。

2. 即刻收到银行消费短信,显示被划走的金额,远远大于一张票价。

3. 资金结算时,突然转到游戏点卡缴费页。

【建议操作】

1. 确认被钓鱼后,请即刻向公安部门报案。

2. 请保存相关网站截图和收到的银行提醒短信,作为辅助凭证。

3. 被钓鱼极大可能是用户操作的电脑中了木马,请立即终止交易,查杀木马。

           

【应对措施】

钓鱼网站是欺诈性的网站,通常可通过模仿的购物网站、电子邮件或QQ提供的链接来访问,其外观和易宝支付、被仿冒的电子商务网站非常相似。钓鱼网站是欺诈 性的网站,通常可通过模仿的购物网站、电子邮件或QQ提供的链接来访问,其外观和易宝支付、被仿冒的电子商务网站非常相似。

       

什么是伪基站?

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

典型案例:            

市民程先生收到一手机短信,程先生一看对方号码为95533,短信显示内容为建设银行积分兑换现金,程先生仔细一看,短信里面附有链接网站。他也没多想,直接就点击这条链接登录了网站,点开一看,里面的积分兑换程序,首先需要分别填写自己的建设银行卡号、取款密码、姓名、身份证号、银行预留手机号、验证码等信息,填写完这一切之后,结果一会儿收到一条短信,点开一看,说好的积分兑换现金不仅没有到账,而是提示自己银行卡的现金被转走了人民币1.2万元。

【安全建议】

1. 不管收到什么短信,只要其中含有陌生链接,千万不要轻易点击打开,以防被伪基站诱导进入钓鱼网站。

2. 使用3G或4G手机,将SIM卡升级至USIM(4G)卡,可以大大降低收到伪基站短信的几率。

3. 不要随意拨打对方提供的所谓(包括“400”)咨询电话,应直接到银行相关部门或通过官方渠道进行核查。

4. 此外,伪基站可阻断运营商信号,且能仿冒任意号码,极具迷惑性,用户若在一些区域中收到大量垃圾短信或明明手机信号很好,但却无法正常通信等情况,遭遇伪基站的可能性比较大,应及时向通信运营商、通信管理部门或公安部门反映。

       

什么是钓鱼wifi?

所谓虚假WiFi钓鱼,是指犯罪分子通过架设一个与某公共WiFi热点同名的WiFi网络,吸引用户通过移动设备接入该网络,然后就可以通过分析软件窃取这些接入虚假WiFi热点用户的资料。

典型案例:        

网友@苏星灿在微博上披露了自己的遭遇。几周前她在公交车上,手机搜索到一个开放的wifi网络。“苏星灿”链接使用了该网络,第二天一早她收到了一条银行卡转账2万元的短信,一检查,发现使用自己某第三方支付软件转走的。她报案后,也去运营商那做了咨询,最后得知,是自己掉进了钓鱼wifi陷阱,在蹭网时,被人窃取了账号和信息。

【安全建议】

第一招 拒绝来源不明的WiFi。

第二招 手机软件设置莫偷懒,在日常使用时最好关闭WiFi自动连接这项功能。

第三招 在使用智能手机登录手机银行或者第三方支付网站时,最好不要直接通过手机浏览器进行,请优先考虑使用银行或者第三方支付公司推出的专用应用程序,这些程序的安全性要比开放的手机浏览器高上不少。


什么是撞库?

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址。通俗地讲就是黑客拿着互联网上所谓的“社工库”(里面包含上亿用户名和登录密码)对网站用户登录界面不停的尝试登录,只要有一次匹配成功,就可以进入用户系统。

典型案例:        

有网友在漏洞平台乌云发表了一篇帖子,称当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传及买卖。经过分析,这些被泄露的数据总共有131653条,文件大小为14M。并且这批数据都是真实的。后经过分析发现几乎所有13万条12306账号密码,都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击,筛选出13万余条使用相同账号密码的用户数据。

【安全建议】

1. 设置强壮的密码。

2. 不同的网站使用不同的账号密码。

3. 使用动态口令代替静态密码。

支付风险防范

第一招:设置安全的密码

易宝账户有两个密码,分别是:登录密码和支付密码。为了您的账户和交易安全,请遵循如下密码设置规则:

1、请不要将登录密码和支付密码设置成完全相同的。

2 、请不要使用电话号码、生日、名字等容易被破解的字符作为密码,建议以英文字母和数字的无意义组合作为密码,提高密码安全强度。

3、请不定期更换密码,并妥善保管,以防泄漏。

4、请不要在网吧、图书馆等公共场所进行网上交易,以防他人盗用、窃取账号和密码。

5、请不要与其他网站使用同一密码,以防同时失窃。

案例:

南京网友小米最近在一家社交网站的用户名和密码被盗,她也没在意,就重新注册了一个,谁知道没过两天,其支付账户上却被人盗用在网上购买了几百元的游戏点卡——原来,其为了省事,微博、邮箱和网络支付账号都使用相同的账户与密码,结果被人盗用了支付账户。

           

第二招:充分使用安全产品

充分使用易宝或银行提供的各类安全产品,比如申请数字证书、开通手机动态口令、短信提醒等服务,以提高账户及交易的安全性。如果您经常进行网上支付,建议您前往银行柜台办理网银专业版开通手续,在上网终端安装网银数字证书,确保银行账户安全。

第三招:防范伪冒欺诈

1、妥善保管好自己的个人资料,特别是账户密码和手机验证码。不要在任何时候以任何方式向他人泄露自己的密码和手机验证码:易宝支付绝对不会以任何名义、任何方式向用户索取密码和手机验证码;易宝支付联系用户一律使用公司固定电话,对外电话显示区号为010,任何时候都不会使用手机联系用户。如果您不慎泄露了的易宝账户密码,请立即更改并联系我们;如果您不慎泄露了银行账户密码,请及时到银行柜台或ATM机更改密码。

2、假冒网站会模仿易宝的样式风格来获取您的账户名和密码,如果网址中斜杠前包含其他字符,如 -、下划线等,那么该网站绝不是易宝支付的官方网站。

3、易宝支付的防钓鱼系统也时刻帮助您防范被欺诈的风险。

案例:

某论坛上,“阿亮bobo”发帖说:“有人冒充支付公司的人打我电话,来电显示就是该公司的热线电话号码,所以我很相信他。他说我的账号被盗了,有人用我的号下了订单,但他说可以帮我关闭交易。他让我按他说的做,给我发了短信,回复验证码(其实就是修改密码的验证码),我把验证码告诉了他。等我查看账户 时,里面的钱没了(600块呀),人也联系不上了。”

           

第四招:升级Windows安全补丁与杀毒软件

病毒或木马文件不仅会使系统瘫痪、删除文件,对您的个人信息安全也构成很大威胁。您可采用以下方法防范病毒与木马程序:

1、定期下载并安装最新的操作系统和浏览器安全程序或补丁;

2、计算机中的hosts文件修改为只读;

3、网络防火墙,防止黑客入侵您的计算机;

4、安装并及时更新杀毒软件,养成定期更新杀毒软件的习惯,防止新型病毒入侵;

5、下载文件后,打开之前请先进行病毒扫描;

6、使用网上银行的电脑不作为资料、文件共享等类型的服务器。

7、不要随意开启不明来历的电子邮件、图片和链接等。

8、下载APP到官网下载,切勿在非正规商店下载手机软件,个人手机安装安全防护杀毒软件定期进行清理。

案例一:

“我的账户里的钱被盗了,首先一个人说要来买东西,然后发了个文件给我,说要我打开,里面是产品目录,说要里面的东西,让我自己看,然后我打开双击了,另一个人马上拍了我的东西,付了款,又要退款,说拍错了,重拍,退款的时候是要输入支付密码的……”

案例二:

李女士在家里上网寻找兼职工作,按照招聘方要求安装了某软件。不料,次日一早李女士发现自己放在某第三方支付平台账户里的1万余元资金不见了。经查询,李女士发现这笔钱于11日晚上被人分17次消费转走,而手机上也没有收到通知信息。民警提取李女士的手机及支付软件交易记录等证据后,初步认定这是一起利用手机木马进行诈骗的案件。手机安卓系统的木马病毒主要有如下几个功能:获取硬件信息,如IMEI、IMSI等;访问特定网站,增加流量或通话费用;窃取用户通话及短信信息;窃取用户键盘输入的敏感信息。

           

第一部分:网络支付——网络世界的资金快递员