• 快捷搜索
  • 全站搜索
位置:首页 > 科技 > 金融安全

移动金融风险凸显 支付安全需合力打造

2014-09-18 14:37:37作者:中国银行电子银行部 朱大磊编辑:
移动金融、 手机支付、 金融欺诈
当前移动金融领域由于操作系统、认证手段、客户习惯的差异和监管控制的缺失,移动金融的整体环境差强人意。如何打造安全的移动金融环境?本文提出了相应建议,以打造移动金融安全生态圈。

随着移动金融应用的广泛开展,其所面临的风险逐步显现,如何有效地防范风险,打造安全的金融支付环境,是当前同业者都在思考的问题,笔者将结合自己的实际工作经验,提出相应的看法与建议。

一、移动金融的整体安全环境需进一步完善

        基于PC端的网上银行服务经过多年的发展和完善,各项风险防范措施已经相对成熟,欺诈风险主要通过钓鱼网站、电信欺诈等社会工程方式发生。与网上银行相比,移动金融在操作系统、认证手段、客户使用习惯等方面均存在较大差异,其风险特征偏向以技术手段盗取客户敏感信息,进而造成客户资金损失。同时与移动金融风险防范相配套的法律法规和监管措施也需要进一步明确和规范。

        1.操作系统差异

        与PC端Windows+IE占据主流的情况不同,手机银行的主流操作系统数量众多。

        苹果iOS系统自身的安全性较高,APP Store对于程序的审核机制也较为完善。但是对iOS系统进行越狱的行为可能会导致安全性降低,引入木马病毒。

        谷歌Android系统的客户数量最多,其系统也最为开放,除了Google Play官方市场外,各大手机制造商、互联网厂商均推出了基于自有品牌的相关应用。与此同时,应用软件的来源良莠不齐,导致各种木马病毒泛滥,甚至出现了假冒客户端的情况。可以说Android系统是目前移动金融风险的重灾区。

        Windows Phone等手机操作系统的市场规模还在不断培育过程中,其终端数量、应用数量和客户数尚未达到规模化程度,其安全性需要进一步分析和明确。

        2.认证手段差异

        由于接口和电量限制,移动设备目前还无法使用在网银普遍应用的USB Key。动态口令牌在跨渠道应用方面非常方便,但因其非接触的特点,容易遭受钓鱼欺诈。

        而SD卡、SIM卡贴膜、手机内置安全模块等认证手段的技术成熟度和市场接受程度还需要进一步观察。

        目前的移动金融主要依赖于短信校验,客户体验非常便捷,但也存在两方面问题,一是受制于电信运营商的送达效率,二是存在“同一设备既进行交易又进行认证”的问题,极易被木马病毒所攻破。

        3.客户使用习惯差异

        移动互联网的客户对操作体验的便利性要求更高,银行不能再照搬过去网上银行的经验,而要努力简化客户操作步骤,对风险防范工作带来新挑战。同时客户对移动金融的风险防范意识需要进一步加强,对于二维码扫描、应用软件下载、使用手机内置软件、安装本地杀毒软件等环节的安全措施都需要有一定了解,才能够安全地使用移动金融服务。

        4.法律与监管亟需完善

        移动金融涉及运营商、手机制造商、软件厂商、安全工具厂商、金融支付机构多方参与,任何一方出现安全短板都会导致整体的欺诈风险。目前针对移动金融的法律法规和监管措施并不完善,特别是对于非金融支付机构的监管约束较少。近期发生的不法分子通过运营商非法复制SIM卡,使用手机银行盗取客户资金的风险事件中,运营商内部管理松懈,不法分子内外勾结克隆SIM卡是主要因素之一。

二、防范移动金融风险的主要措施

        1.平衡手机银行的客户体验和安全措施

        为提高客户体验,优化手机银行登录方式,不再主要采用运营商网关透传号码的登录方式,客户均通过手输手机号码进行登录;同时,不断完善手机银行的内部安全功能,加大对客户敏感信息的保护力度。

        2.尝试引进新的安全认证手段

        在现有安全控制的基础上,积极探索引进支持手机音频接口的USB Key,在手机银行采用高安全性的PKI体系认证,确保手机客户端交易的真实性和不可否认性。

        3.着力加强客户安全宣传教育

        欺诈风险的一个重要因素是客户的安全意识不强,麻痹大意。比如轻信钓鱼短信和电信欺诈,手机不安装杀毒软件,随意安装陌生软件等,造成其资金损失。客户安全教育是一项基础性、需要相关各方长期共同努力的工作。

        一直以来,各银行通过网点、短信、微博、微信等自有渠道持续开展客户安全教育工作,积极参与人民银行、银监会、银行业协会、支付清算协会等监管机构和行业协会组织的面向全社会的宣传活动,取得了良好效果。例如,2013年中国银行联合支付宝、财付通等第三方支付机构,重点针对互联网支付领域的欺诈风险开展宣传攻势,扩大宣传覆盖面,双方合作共赢取得了良好效果。

        4.建设反欺诈系统,事中监控的范围覆盖移动金融交易

        在兼顾成本效率的同时建设反欺诈系统,将其监控范围覆盖移动金融领域。根据客户历史交易行为和大数据分析对异常交易进行事中监控,阻断高风险可疑交易,保护客户资金损失。

        5.与行业参与方紧密合作,共同打造移动金融安全生态圈

        各商业银行应加强与苹果、UC、腾讯公司开展多层次的技术交流,及时掌握互联网行业最新的产品发展动向,有针对性地推出移动金融产品,抢占市场先机。

三、社会各界共同打造安全的移动金融环境

        打造移动金融良好的安全环境需要社会各界的广泛参与,在此提出以下几点建议:

        一是政府职能部门和行业监管部门进一步加大力度打击欺诈犯罪,重点针对有组织的犯罪集团进行打击;同时进一步完善相关监管规定。二是电信运营商应该加强对欺诈短信的数据特征分析与黑名单管理,有效管理各类衍生短信号码,切实担负起应尽的社会责任。三是手机软件厂商应继续加强技术投入,向广大客户提供更加安全的手机使用环境。四是金融支付机构应继续加强风险信息共享和经验交流,取长补短、共同打击移动金融欺诈风险。

(文章来源:《金融电子化》杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章