范一飛：電信網(wǎng)絡(luò)欺詐是造成支付安全問題的重要渠道

　　在當(dāng)前的支付安全形勢下，為有效防范電信網(wǎng)絡(luò)新型違法犯罪、保護(hù)人民群眾財產(chǎn)安全和合法權(quán)益，人民銀行認(rèn)真落實黨中央、國務(wù)院決策部署，積極與相關(guān)部門齊抓共管，著力推動支付產(chǎn)業(yè)各方攜手合作，共同構(gòu)建電信網(wǎng)絡(luò)欺詐風(fēng)險管理體系，全面加強(qiáng)個人信息安全保護(hù)，提升支付交易安全強(qiáng)度，切實營造健康、可持續(xù)的支付發(fā)展環(huán)境。

　　加強(qiáng)研判，正確認(rèn)識支付行業(yè)發(fā)展與安全形勢

　　近年來，技術(shù)創(chuàng)新與支付業(yè)務(wù)深度融合發(fā)展，技術(shù)創(chuàng)新扮演著越來越重要的角色，逐步由支撐業(yè)務(wù)向引領(lǐng)業(yè)務(wù)轉(zhuǎn)變。一是支付產(chǎn)品形態(tài)不斷推陳出新。密碼學(xué)、安全芯片、大數(shù)據(jù)等技術(shù)的應(yīng)用，使支付方式由紙質(zhì)票據(jù)、卡基支付向網(wǎng)絡(luò)支付發(fā)展，支付介質(zhì)經(jīng)歷了從現(xiàn)金、支票、磁條卡、芯片卡到移動終端的演進(jìn)過程，形成了豐富多樣的支付產(chǎn)品體系。二是支付服務(wù)向移動化方向發(fā)展。移動通信技術(shù)的不斷升級和手機(jī)APP的逐步普及，使移動支付方式日益受到青睞。移動支付憑借其終端便攜、受眾面廣等優(yōu)勢，能夠及時捕捉長尾客戶需求，打破線上線下支付服務(wù)邊界，為公眾提供全天候、全方位、一站式的金融服務(wù)，成為推動數(shù)字普惠金融的重要手段。三是支付入口成為提升產(chǎn)品競爭力的關(guān)鍵。在互聯(lián)網(wǎng)時代，支付業(yè)務(wù)競爭本質(zhì)上是流量的競爭，而決定流量競爭成敗的關(guān)鍵是對支付入口的把控程度。根據(jù)場景應(yīng)用掌握支付入口有助于快速聚合大量用戶和商戶資源，有效提升公眾對支付產(chǎn)品的使用黏性與忠誠度。四是支付參與主體呈現(xiàn)多元化。傳統(tǒng)支付業(yè)務(wù)相對封閉、參與主體類型較為單一，商業(yè)銀行是主要的支付服務(wù)提供方。而隨著我國電子商務(wù)的蓬勃發(fā)展，越來越多的互聯(lián)網(wǎng)企業(yè)憑借技術(shù)優(yōu)勢，依托多年積累的客戶、商戶、供應(yīng)鏈資源，紛紛參與到支付生態(tài)體系中來。

　　支付行業(yè)快速發(fā)展的同時也面臨諸多挑戰(zhàn)，支付安全形勢仍不容樂觀。由于互聯(lián)網(wǎng)的虛擬化、支付服務(wù)的移動化、參與主體的多樣化，支付行業(yè)在敏感信息保護(hù)、客戶資金安全、業(yè)務(wù)連續(xù)性等方面面臨較大壓力。相對于傳統(tǒng)支付，網(wǎng)絡(luò)支付風(fēng)險呈現(xiàn)出蔓延速度快、隱蔽性強(qiáng)、潛伏期長、外溢效應(yīng)明顯的特點。針對手機(jī)的電信網(wǎng)絡(luò)欺詐手法不斷翻新，更是加劇了支付風(fēng)險防控的難度，給公眾財產(chǎn)安全造成危害。因此，我們要秉持理性、科學(xué)的態(tài)度，深挖支付安全問題根源，只有找準(zhǔn)癥結(jié)所在，才能對癥下藥。

　　追根溯源，深入剖析當(dāng)前支付安全問題

　　1. 信息泄露是支付安全問題的風(fēng)險源頭

　　近期一些個人信息泄露事件成為社會輿論的焦點，不法分子利用泄露數(shù)據(jù)刻畫客戶身份并實施精準(zhǔn)詐騙，影響十分惡劣。竊取信息已成為實施電信詐騙犯罪的基本作案條件，也是造成支付風(fēng)險的源頭。探究信息泄露事件高發(fā)的原因，一是電子商務(wù)、通信服務(wù)、網(wǎng)絡(luò)支付等高速發(fā)展，酒店、醫(yī)院、物流、保險、商業(yè)零售、房屋中介等傳統(tǒng)行業(yè)的數(shù)據(jù)存儲方式也開始由本地存儲轉(zhuǎn)向網(wǎng)絡(luò)存儲、云端存儲，大量客戶信息暴露在互聯(lián)網(wǎng)環(huán)境中，內(nèi)容涉及身份證號、手機(jī)號、賬號、家庭住址等，容易造成信息批量泄露。二是一些機(jī)構(gòu)和消費者個人信息安全保護(hù)意識薄弱，沒有認(rèn)識到個人信息泄露的潛在環(huán)節(jié)及其帶來的危害。消費者經(jīng)常通過互聯(lián)網(wǎng)、移動終端甚至面對面等方式，輕易將個人信息提供給他人;部分機(jī)構(gòu)開展業(yè)務(wù)合作時，常常將自身所掌握的客戶信息作為資本和籌碼，甚至將數(shù)據(jù)資源隨意共享，導(dǎo)致信息被濫用。三是非銀行機(jī)構(gòu)逐步參與支付業(yè)務(wù)，拉長了支付鏈條。不同參與主體的風(fēng)險防控能力參差不齊，風(fēng)險洼地效應(yīng)明顯，容易向產(chǎn)業(yè)鏈相對薄弱環(huán)節(jié)聚集，鏈條中任何一個環(huán)節(jié)出現(xiàn)問題，都可能造成信息泄露。四是不法分子竊取信息的方式花樣繁多，從面對面或冒充客服方式向遠(yuǎn)程化、專業(yè)化方向升級，形式由單打獨斗向團(tuán)伙作業(yè)發(fā)展，網(wǎng)上非法買賣信息猖獗。

　　2. 電信網(wǎng)絡(luò)欺詐是當(dāng)前造成支付安全問題的重要渠道

　　電信網(wǎng)絡(luò)欺詐實施成本低廉，隱蔽性與成功率高，成為支付安全問題產(chǎn)生的主要渠道，嚴(yán)重侵犯公眾財產(chǎn)安全，給支付體系的前中后臺都帶來巨大挑戰(zhàn)。在支付前臺，不法分子通過“偽基站”短信、條碼掃碼等手段將木馬程序植入手機(jī)，感染、操控支付客戶端軟件，偽造交易指令;也可利用網(wǎng)絡(luò)釣魚仿冒真實的客戶端軟件或官方網(wǎng)站，達(dá)到“以假亂真”的目的，誘騙客戶在虛假界面輸入敏感信息。在支付中臺，不法分子通過非法改裝POS機(jī)，進(jìn)行磁條側(cè)錄，盜取銀行卡卡號、密碼等，并制作偽卡盜刷資金;也可利用“偽WiFi網(wǎng)”劫持通信網(wǎng)絡(luò)實現(xiàn)中間人攻擊，截取、篡改支付交易指令。在支付后臺，不法分子利用業(yè)務(wù)系統(tǒng)的安全漏洞和設(shè)計缺陷，通過非法腳本注入等手段攻擊服務(wù)器，批量竊取、偽造數(shù)據(jù)，實施拖庫、撞庫。

　　3. 財產(chǎn)損失是支付安全問題的直接危害

　　此前發(fā)生的大學(xué)生受騙殞命和教授受騙千萬資財?shù)仁录钊送葱倪z憾。不法分子處心積慮實施欺詐，最終目的是突破支付體系中賬戶和交易的安全防護(hù)轉(zhuǎn)移受害者資金，并實現(xiàn)贓款變現(xiàn)。賬戶和交易安全是資金安全的關(guān)鍵，對其中暴露的問題我們要深刻審視、認(rèn)真反思。線上交易安全方面，受“重便利、輕安全”的觀念影響，部分機(jī)構(gòu)片面追求便捷的用戶體驗，忽視信息和資金的安全防護(hù)。以快捷支付為例，業(yè)務(wù)開通環(huán)節(jié)和交易環(huán)節(jié)身份驗證的強(qiáng)度普遍較弱，交易額度與安全認(rèn)證強(qiáng)度不匹配，一旦銀行卡卡號、手機(jī)號被泄露，不法分子就可能通過快捷支付繞過商業(yè)銀行、支付機(jī)構(gòu)的風(fēng)控體系，盜取客戶資金。線下交易安全方面，由于磁條卡本身不具備加解密功能、易被側(cè)錄復(fù)制，因此線下欺詐行為主要集中在磁條卡偽卡欺詐交易。磁條交易安全驗證主要依靠交易密碼，不法分子通過窺探、密碼鍵盤附膜甚至從數(shù)據(jù)庫批量獲得交易密碼后，利用POS終端進(jìn)行支付或套現(xiàn)。

　　4. 風(fēng)險意識不足是導(dǎo)致支付安全問題的重要因素

　　金融的本質(zhì)在于經(jīng)營風(fēng)險，風(fēng)險管理始終是金融行業(yè)的一項基礎(chǔ)工作。在互聯(lián)網(wǎng)與金融服務(wù)融合發(fā)展的背景下，部分從業(yè)機(jī)構(gòu)和消費者對信息泄露與電信網(wǎng)絡(luò)欺詐的影響范圍、嚴(yán)重程度估計不足，風(fēng)險防范意識沒有跟上，防范措施也不到位。一是部分傳統(tǒng)金融機(jī)構(gòu)風(fēng)險意識錯位，仍沿用老一套的風(fēng)控思維和手段，以不變應(yīng)萬變，對支付安全風(fēng)險由線下逐步轉(zhuǎn)移至線上的形勢沒有做好充分準(zhǔn)備，對開放互聯(lián)環(huán)境下的風(fēng)險傳導(dǎo)、放大效應(yīng)的應(yīng)對能力不足。二是部分非銀行支付機(jī)構(gòu)風(fēng)險意識缺位，受網(wǎng)絡(luò)開放、極簡思維影響，在支付產(chǎn)品設(shè)計、服務(wù)模式創(chuàng)新方面往往更多地關(guān)注用戶體驗，沒有正確處理安全與效率之間的辯證關(guān)系。三是部分消費者忽視支付安全，將快速、便捷體驗作為評價支付產(chǎn)品的首要標(biāo)準(zhǔn)，風(fēng)險意識薄弱，對支付風(fēng)險表現(xiàn)形式缺乏認(rèn)知，風(fēng)險識別能力也有待加強(qiáng)。

　　多措并舉，切實防范支付安全風(fēng)險

　　11月7日，全國人大常委會通過了《中華人民共和國網(wǎng)絡(luò)安全法》，這是我國網(wǎng)絡(luò)安全工作的里程碑，意義重大、影響深遠(yuǎn)。我們要學(xué)習(xí)好、理解好、貫徹好網(wǎng)絡(luò)安全法，將其作為加強(qiáng)信息保護(hù)和支付安全、打擊電信網(wǎng)絡(luò)欺詐最有力的法律武器。要統(tǒng)一思想認(rèn)識，高舉網(wǎng)絡(luò)安全法的大旗，加強(qiáng)聯(lián)動、凝聚合力，在防范機(jī)制、管理措施、宣傳教育上常抓不懈，把防范支付風(fēng)險貫穿于支付產(chǎn)業(yè)各個環(huán)節(jié)，切實維護(hù)人民群眾的財產(chǎn)安全。

　　1. 正確把握安全與發(fā)展的關(guān)系

　　網(wǎng)絡(luò)安全事關(guān)廣大人民群眾生命財產(chǎn)安危。安全與發(fā)展是對立統(tǒng)一、緊密聯(lián)系的，發(fā)展是第一要務(wù)，安全是第一責(zé)任。近年來，支付體系建設(shè)取得顯著成效，在促進(jìn)經(jīng)濟(jì)社會發(fā)展方面發(fā)揮了重要作用。但是我們必須清醒地認(rèn)識到，支付行業(yè)要取得長遠(yuǎn)發(fā)展，就必須擺正安全與發(fā)展的關(guān)系，從知行合一上下功夫，辯證看、務(wù)實辦。在思想上，要正確認(rèn)識安全為了發(fā)展、發(fā)展必須安全的辯證關(guān)系，牢固樹立以安全為根基的發(fā)展理念，把支付安全與產(chǎn)品創(chuàng)新、服務(wù)優(yōu)化、產(chǎn)業(yè)升級緊密結(jié)合起來，轉(zhuǎn)變“重發(fā)展、輕安全”的觀念。在行動上，要固守安全底線，寓安全于發(fā)展，注重支付安全能力建設(shè)，認(rèn)真落實支付安全管理要求，從業(yè)務(wù)系統(tǒng)、風(fēng)控措施、管理制度等方面查漏補(bǔ)缺，在實踐中探索兼顧安全與發(fā)展的業(yè)務(wù)模式，堅決走與發(fā)展相匹配的安全路徑。

　　2. 合力構(gòu)建電信網(wǎng)絡(luò)欺詐風(fēng)險管理體系

　　電信網(wǎng)絡(luò)欺詐防范涉及的部門多、范圍廣，關(guān)乎百姓切身利益，是一項系統(tǒng)工程。各機(jī)構(gòu)要強(qiáng)化部門協(xié)同聯(lián)動，尋求風(fēng)險管理效能最大化，將風(fēng)險防控關(guān)口前移，合力構(gòu)建電信網(wǎng)絡(luò)欺詐風(fēng)險管理體系。事前要健全支付風(fēng)險內(nèi)控管理制度，強(qiáng)化風(fēng)險管理主體責(zé)任，加強(qiáng)外包服務(wù)機(jī)構(gòu)管理，規(guī)范支付機(jī)構(gòu)與銀行間報文接口和支付指令，定期開展業(yè)務(wù)系統(tǒng)外部安全評估和內(nèi)部審計。事中要利用大數(shù)據(jù)分析、用戶行為建模等手段，建立交易風(fēng)險監(jiān)控模型和系統(tǒng)，運用IP、MAC地址、終端設(shè)備標(biāo)識、瀏覽器緩存等信息綜合識別異常交易，并及時采取附加驗證、拒絕請求等手段。事后要充分發(fā)揮緊急止付、快速凍結(jié)機(jī)制作用，協(xié)助相關(guān)部門開展交易信息追蹤、賬戶止付和凍結(jié)，利用技術(shù)手段及時阻斷資金轉(zhuǎn)移通道。

　　3. 全面加強(qiáng)個人信息安全保護(hù)

　　信息泄露是支付安全問題的風(fēng)險源頭，保護(hù)好個人信息是風(fēng)險防范的基礎(chǔ)工作。各機(jī)構(gòu)要加快信息安全保護(hù)技術(shù)研究與應(yīng)用，實現(xiàn)信息全生命周期安全管理。在采集環(huán)節(jié)，要采用具有信息輸入安全防護(hù)、即時數(shù)據(jù)加密功能的安全控件，嚴(yán)禁留存非本機(jī)構(gòu)的敏感支付信息，確有必要留存時，應(yīng)當(dāng)取得客戶本人及賬戶管理機(jī)構(gòu)的授權(quán)。在存儲環(huán)節(jié)，要對重要信息關(guān)鍵字段進(jìn)行散列或加密存儲，嚴(yán)格控制存儲設(shè)備和介質(zhì)的訪問權(quán)限，合理制定備份策略，按照全量與增量相結(jié)合的方式定期進(jìn)行數(shù)據(jù)備份。在使用環(huán)節(jié)，要基于SE、TEE技術(shù)構(gòu)建安全可信的手機(jī)支付環(huán)境，采取可靠的密碼技術(shù)進(jìn)行通道加密或雙向認(rèn)證，利用支付標(biāo)記化技術(shù)對敏感信息進(jìn)行脫敏處理，從源頭控制信息泄露風(fēng)險。

　　4. 進(jìn)一步提升支付交易安全強(qiáng)度

　　保障公眾財產(chǎn)安全是支付行業(yè)義不容辭的責(zé)任，事關(guān)社會和諧穩(wěn)定。各機(jī)構(gòu)要多管齊下，全面提升支付交易安全強(qiáng)度，給用戶資金加上安全鎖。在賬戶管理方面，要推動賬戶實名制、賬戶分類管理制度切實落地，按照“了解你的客戶”原則，采用科學(xué)合理的方法對客戶進(jìn)行風(fēng)險評級，審慎確定賬戶功能，對賬戶進(jìn)行合理分類和動態(tài)管理。在身份認(rèn)證方面，要采用身份鑒別安全強(qiáng)度與交易額度相匹配的多因素認(rèn)證方式，積極使用基于數(shù)字證書、動態(tài)令牌設(shè)備、客戶行為動態(tài)挑戰(zhàn)應(yīng)答等的技術(shù)手段，嚴(yán)把業(yè)務(wù)開通、交易環(huán)節(jié)的資金進(jìn)出關(guān)口。在轉(zhuǎn)賬管理方面，要與客戶事先約定交易限額和筆數(shù)，針對不同渠道、場景的風(fēng)險特點，提供實時到賬、普通到賬、次日到賬等有針對性的轉(zhuǎn)賬方式，最大限度阻斷不法分子誘導(dǎo)客戶進(jìn)行資金轉(zhuǎn)賬和贓款變現(xiàn)。

　　5. 持續(xù)開展支付安全宣傳教育

　　防范電信網(wǎng)絡(luò)欺詐是一場持久戰(zhàn)，要保護(hù)群眾、依靠群眾，營造良好的安全支付輿論氛圍，進(jìn)一步增強(qiáng)公眾對正規(guī)金融機(jī)構(gòu)的安全信心。各機(jī)構(gòu)要建立宣傳教育長效機(jī)制，加強(qiáng)組織策劃，把宣傳工作與業(yè)務(wù)發(fā)展有機(jī)結(jié)合起來，走進(jìn)農(nóng)村、社區(qū)、校園和企業(yè)，開展全方位、有特色的宣傳活動，讓支付安全知識深入人心，切實增強(qiáng)公眾參與防范和打擊電信網(wǎng)絡(luò)欺詐的自覺性和主動性。在宣傳內(nèi)容上，既要普及常見支付方式的風(fēng)險特性和各種身份認(rèn)證手段的安全強(qiáng)度，也要結(jié)合典型案例揭示常見欺詐手法，使公眾了解風(fēng)險甄別方法，培養(yǎng)公眾“大額重安全、小額講便捷”的支付習(xí)慣。在宣傳形式上，要采取自有渠道與新聞媒體相結(jié)合的方式，開展貼近公眾、通俗易懂的宣傳活動，夯實防范電信網(wǎng)絡(luò)欺詐的群眾基礎(chǔ)。

　　當(dāng)前支付行業(yè)正處于規(guī)范發(fā)展和優(yōu)化調(diào)整的新階段。如何更好地服務(wù)經(jīng)濟(jì)社會和大眾民生，確保支付安全，是每個行業(yè)參與者的歷史使命。我們要牢記“支付安全永遠(yuǎn)在路上”，正確處理發(fā)展與安全的關(guān)系，攜手共筑支付安全防線，切實保障客戶資金和信息安全。