支付寶被輕易“攻陷”傳言引恐慌手機支付安全嗎？

2014-01-27

隨着移動互聯的發展，移動支付成為了各大銀行、第三方支付企業和移動運營商的下一個爭奪熱點。一個手機在手，就可以隨時轉賬、交電話費、交水電費、還信用卡、坐出租車、買彩票，到便利店購物、吃飯AA……加載越來越多功能的手機支付讓生活變得越來越便捷的同時，我們也開始將越來越多的銀行卡和信息綁定在手機支付端上。日前，一則關於手機丟失後支付寶輕易被“攻陷”的信息在互聯網上流傳，引起了不少用户的驚慌。加上此前微信盜號風險頻出，支付寶和微信手機支付方便之餘，到底是否安全引起了廣泛熱議。在便捷性與安全性上如何平衡，是將來移動支付商必須好好思考的問題。

案例

手機丟了支付寶賬户輕易被盜？

“如果你的手機丟了，任何人僅憑藉手機接收到的校驗碼就能找回你的支付寶密碼，解除你的數字證書，盜空你的支付寶賬户”，上週，一則關於支付寶丟失後如何被攻陷的“驚悚實驗”帖子在微博和微信朋友圈引起了轟動。

根據帖子的攻略，若一部裝有支付寶錢包的手機丟失，撿到手機的人可以使用支付寶PC短網頁專供忘記密碼時“找回密碼”的服務，輕易通過手機驗證碼修改手機綁定的支付寶賬號密碼，從而成功突破密碼障礙，順利實現賬户盜取和資金竊取行為。帖子稱試驗過此操作方式，支付寶錢包存在這一輕易突破的漏洞。“撿到他人手機後，任何人都可以僅通過取回密碼的方式破解支付寶的登錄和支付密碼，從而盜走資金”。

不過，日前本報記者青紫嘗試了一下支付寶手機錢包的找回密碼功能。記者在網頁支付寶上進行操作嘗試，的確有提示“通過手機號碼”找回密碼的一項功能。不過，與網上帖子有所不同的是，當記者點進去之後，除了手機號碼和手機驗證碼之外，系統設置中，取回密碼還需要驗證身份證信息，而並非只憑一個手機驗證碼就可以“打通關”。

記者在網上看到，一些用户根據帖子的指引模擬自己手機丟失後找回密碼的操作，發現果然通過一個手機校驗碼就成功了，而更多用户在測試過程中卻發現，網帖聲稱的方式並不可行。

支付寶方面人士回應表示，“如果真有別人撿到你的手機，想在別的電腦上找回你的支付寶密碼，他一定需要手機校驗碼+身份證信息等更高安全級別的校驗，絕對不可能僅通過一個手機校驗碼就找回你的密碼。”

分析

身份驗證引發效率與安全的博弈

雖然並非如帖子所説的“手機校驗證碼是萬能”的，但這樣一個實驗也確實使不少用户出了一身冷汗。業內人士表示，事實上對於第三方支付企業而言，只要在手機支付端多設幾重驗證“關卡”，就可以很好的防止手機丟失後賬户被盜的風險，如預設的登錄保密語句等，但行業大佬支付寶重點產品手機錢包為什麼不多上幾道鎖呢？“在技術上這一點難度都沒有，而且多設驗證關也是不花成本的事情，但是第三方支付，尤其是手機支付注重的是綜合體驗，就是安全性和便捷性的平衡。我們測試過，事實上目前的支付寶出險率比例是非常低的。另外，一旦真的發生資金被盜，我們與保險公司合作進行全額賠償。因此用户不必過於擔心。”

此前，阿里巴巴小微金融研究院院長房玄齡表示，支付寶目前資損率（支付過程中資金被盜損失的比率）為十萬分之一，但在國際上，如paypal之類的網絡支付，這一數據為0.3%“國內無論是銀行或者是機構都可能有一些死賬、壞賬、呆賬的問題，支付寶的業務有風險，但這個風險的概率是十萬分之一，遠低於日常碰到的問題或者是交通工具可能出現的問題。”支付寶相關負責人表示，“目前支付寶規模已經超過3萬億，沒有這個數據誰也不敢承諾風險賠付。互聯網是無孔不入，再厲害的銀行都會出現“資損”，因此賠付是必須的。

據瞭解，整個公司有專職從事風險管理的人員400人左右，400個人裏面，除了給用户一些安全管理的服務人員，有三分之一的人員專門從事技術挖掘、技術開發和分析人員。此外，有1100多台服務器專門負責安全交易檢測和分析，服務器大概佔整體服務器量的五分之一，也就是説切出了20%的資源放到了用户信息保護、檢測和分析上面。

中國支付體系研究中心主任張寬海接受南方日報記者採訪時表示，無論支付方式如何創新變革，保證資金安全永遠應該是放在首位的。張寬海認為，如果支付方式的創新以犧牲安全性為代價，這樣的“創新”對用户而言就沒有實際意義。

深圳市圓融方德投資管理有限公司董事長冉蘭也提出，對於移動支付來説，安全性是用户考量的首要標準。針對當前日趨明顯的各自為戰的局面，冉蘭表示，“任何一個市場展開充分的競爭對於消費者來説都是好事”。但是，各自為戰在實際上限制了用户使用的便捷性，在易迅買東西需要財付通的賬號，淘寶上買東西要支付寶賬號，在京東上買東西還要一個賬號。這樣的競爭對用户來説，便捷性和適用範圍都大打折扣。

對策

第三方支付紛紛聯手保險提供損失賠償

2013年，針對網絡支付的犯罪開始增加。支付寶提供的數據顯示，其聯合國內外反釣魚組織及各瀏覽器廠商，共計屏蔽釣魚網站155282個，佔全球金融類釣魚網站總量的43.49%。2013年，支付寶聯合全國14個地市公安機關，針對手機木馬等盜用、欺詐支付寶用户案件開展打擊，全年打擊作案團伙16個，抓獲犯罪嫌疑人35名，涉案總金額超千萬元。

事實上，針對不斷出現的網絡盜刷，目前不少第三方支付機構針對快捷支付、手機支付和餘額寶等產品一直以來都採用全額賠付，以打消消費者對網絡支付和移動支付的疑慮和擔憂。去年4月份，支付寶開始以保險的形式為用户提供資金保障。支付寶的資金安全由平安保險全額承保，用户發生被盜，平安保險會全額賠付，支付寶承諾賠付金額無上限，保費全部由支付寶承擔。

不久後，微信支付也宣佈與中國人保財險合作，推出全額賠付的保障。微信用户如因使用微信支付造成資金被盜等損失，只需提供相應證明，即可獲得全額賠款。在微信支付的使用場景以及營銷渠道不斷增加的趨勢下，財付通也及時與中國人保財險達成合作，表示今後用户如因使用微信支付和財付通造成的資金被盜等損失，將獲得相應賠付，在一定程度上緩解了用户對於資金安全隱患的擔憂。

事實上，不少第三方支付企業都表示，目前無論是PC支付還是移動支付，風險最大的地方還是出在木馬病毒釣魚網站中，尤其是手機上，99%的被盜跟此相關，其餘是用户被騙，而不是因為丟失手機。

對話支付寶

“風險概率十萬分之一”

針對日前網上流的丟失手機後支付寶輕易淪陷的實驗，小微金融服務集團首席風險官胡曉明日前發佈了公開信，並向記者回答了多個問題。

記者：那個“驚悚實驗”是不是真的？

支付寶：我們早在2013年9月15日、2013年11月23日就通過支付寶官方微博進行過詳細説明。支付寶的安全基於我們一整套的風險防控體系，其中7 24小時的智能風險識別系統會對用户的每一筆支付、每一次找回密碼等關鍵操作進行智能識別，對不同風險級別的操作會要求不同的安全校驗。

有用户根據帖子的指引模擬自己手機丟失後找回密碼的操作，一些人發現，果然通過一個手機校驗碼就成功了。那是因為這些用户就是在自己的電腦上模擬自己“真實被盜”的過程。就好比是用自己家的鑰匙開自己家的門，一開果然鎖開了，用户不明就裏認為這存在風險，但如果自己的鑰匙開不了自己家的門，這不是更奇怪嗎？

實際上，我們的風控系統已經識別到這只是發生在用户自己電腦上的一次“模擬”。如果真有別人撿到你的手機，想在別的電腦上找回你的支付寶密碼，他一定需要“手機校驗碼+身份證信息”等更高安全級別的校驗，絕對不可能僅通過一個手機校驗碼就找回你的密碼。

記者：手機丟了賬號到底會不會輕易被盜？

支付寶：這個問題如果停留在假設層面的討論沒有意義。支付寶的移動支付已經開展了好幾年，僅支付寶錢包的用户已經過億，相信這其中丟過手機的用户也不在少數，那麼這些用户中有多少因此而導致支付寶被盜？即便按照這個“驚悚實驗”所要求的條件來匹配，要麼同時丟失手機和電腦，或者同時丟失手機和身份證，並且上述所有設備通通無密碼，這個概率估計比腦袋被石頭砸中的概率還小。

記者：手機支付到底安不安全？

支付寶：支付寶創立時最初的名字其實是“支付保”，就是希望通過這樣一個產品保護大家在網上交易中的安全。“你敢付，我敢賠”這句話是來自2003年的支付寶為用户提供的安全策略。

到了移動互聯網時代，大家的支付都轉移到了手機上。支付寶錢包為用户提供了兩道密碼防護，登錄時需要輸入登錄密碼，並設置手勢密碼，而在支付時則有專門的支付密碼的保護。這些只是用户看得見的保護，在用户看不見的後台，支付寶有自主研發的智能風險識別系統7 24小時在保護大家的安全，全部用户和賬户信息都進行128位SSL加密傳播，並由專業團隊進行分級、存儲。

我們設置了專職的首席風險官，有業內最大的風險管理團隊，五分之一的員工從事安全相關的工作。支付寶在安全方面投入的服務器集羣超過2200台，疊起來高度超過帝國大廈。基於我們的安全體系，支付寶的風險概率不到十萬分之一，在全球範圍都處於絕對領先水平。

記者：但世界上沒有絕對的安全，一旦發生資金被盜怎麼辦？

支付寶:2013年4月16日，我們以保險的形式為用户提供資金保障。支付寶的資金安全由平安保險全額承保，如用户發生被盜，平安保險會全額賠付，賠付金額無上限，保費全部由支付寶承擔。這種保障模式隨後也被業內其他同行效仿。

南方日報記者黃倩蔚

移動支付**將迎來爆發式增長

【相關】

此前，易觀智庫在其發佈的《中國第三方支付市場趨勢預測》中表示，在移動支付市場，隨着用户對移動支付接受程度的不斷加深，特別是重要企業對移動支付市場和用户的培育，移動支付的交易規模呈現爆發式增長。

易觀智庫預計，2013年中國第三方互聯網支付交易規模預計將達到5.9萬億，註冊賬户規模達到14.41億；中國第三支付市場移動支付交易規模將達到8543億，註冊賬户規模將達到2.88億。其《第三方支付市場季度監測》數據顯示，2013年二季度中國第三方支付市場移動支付（不包含短信支付）交易規模達到1224億，與一季度相比增長76.6%。

易觀國際分析師張萌表示，安全性隱患以超過50%的比例成為網民使用在線支付最大的阻礙因素。不過，隨着在線支付等第三方支付應用在網民中的逐步滲透，以及政府對第三方支付監管的加深，該阻礙因素有望逐步弱化。