用户使用移动支付的风险与防范策略

   移动支付是指运用手机、掌上电脑以及其他手持数字设备等移动终端设备，通过无限通信技术方式完成货币资金转移的活动。移动支付终端使用最广泛的是手机，本文所探讨的移动支付风险主要以手机支付为例。移动支付全球使用率不断上升，根据 Kantar TNS 公司最新调查结果显示，我国荣居榜首。2016 年，我国手机网上支付的用户规模达 4.69 亿人，相比于 2015 年的全年增长率达到了 31%.用户在选择移动支付时会考虑支付方式的安全性、便捷性、易用性等，根据中国网财经 2016 年 9 月 8 日报导提供的数据显示，安全性仍然是用户选择移动支付方式最看重的因素，占比达 73.4%.

一、用户使用移动支付的风险。
　　
　　1.移动设备的管理风险。
　　
　　移动支付用户需在手机中绑定银行卡、存储购物记录和支付平台用户名、密码等信息，一旦手机被盗抢或不慎遗失，很可能造成恶意转账、泄露隐私信息等风险。用户在使用移动支付 APP客户端时，图方便实时处于登录状态，他人若拿到该手机可直接进入支付平台进行操作。有些用户不设置开屏密码，致使手机又缺少一道安全防护。多数用户在处置旧手机时风险意识不强，只将手机卡拔出，内存没有彻底拆除，即使已经刷机，也有人用软件恶意恢复手机信息，导致用户隐私泄露。很多手机用户没有定期给手机杀毒和清理垃圾的习惯，让病毒有机可乘。
　　
　　2.交易过程管理风险。
　　
　　我国移动支付的简易流程如下图所示。移动支付的用户购买手机等移动支付设备终端后，到银行申请办理银行卡并绑定到移动设备终端，下载由软件开发商开发的支付客户端 APP,在移动通信运营商提供的无线网络环境下，运用第三方支付平台就可以完成向合作商户付款业务，也可以通过移动支付进行转账。该移动支付流程看起来非常完整并且相对封闭，但是在该交易管理过程的多个环节都存在风险。

（1）绑定银行卡的风险。
　　
　　选择信用卡账号支付时，只需输入卡号和预留银行的手机号码，并输入手机中接收的验证码就能完成支付。第二次应用时点击使用上次的账号，不需再输入账号。如果手机和银行卡同时丢失，拾到者通过输入银行卡号和手机验证码而进行恶意付款。第三方付款平台提供小额快捷付款服务，用户只需输入银行卡号，不用输入密码，就可付款。如果违法者获得用户支付平台用户名和密码、银行卡号和其他个人信息，就可以盗取银行卡内存款。
　　
　　（2）下载 APP 客户端的风险。
　　
　　由于用户所使用的手机多种多样，不同品牌的手机应用系统不同，对下载 APP 客户端安全性的识别能力也不同。手机用户的文化程度和信息技术水平参差不齐，不能准确辨别网站的真假，容易误入钓鱼网站，点击带病毒的链接，导致手机被安装木马，有关移动支付信息和其他个人隐私被盗。犯罪分子通过短信或电子邮件发送虚假信息，诱使用户进入虚假网站，然后用户输入的账号和密码由伪造的后台数据库记录，从而在短时间内给用户造成很大损失。
　　
　　（3）Wifi 接入的风险。
　　
　　绝大多数用户都会在有免费网络选用的情况下，为节约费用而关闭手机流量。智能手机会自动搜索免费 wifi 接入点，然后自动申请接入，第一次输入密码成功接入后，第二次无需再输入密码即可接入。商家为给顾客提供连网便利，在餐饮、旅游、商场等公共场所都提供免费 wifi 热点。违法入侵者经常设置具有钓鱼性质的 wifi 热点，设置这种接入点的成本很低，只需一台电脑和一个路由器，几分钟就可设置完毕，用户只要接入该热点，输入的用户名和密码就统统显示在该非法站点的电脑上。
　　
　　（4）支付平台的运营管理风险。
　　
　　第三方支付平台为提高移动支付效率，提供快捷支付服务。以支付宝为例，用户可以用绑定的银行卡完成快捷支付，即，如果支付宝账户的余额不足，用快捷支付直接输入支付宝账户的支付密码，就从绑定的银行卡付款到支付宝。手机支付宝为用户提供小额免密支付服务，免密支付金额上限可以设置为 200 至2000 元不等。笔者的体验是下载支付宝 APP 后，200 元小额免密支付功能自动开启。支付平台的运营管理应兼顾效率与安全，二者不可得兼时，应该优先考虑支付安全。
　　
　　3.宏观监督管理的不足。
　　
　　我国当前支付结算信用体系不健全，还没有建立系统的网上支付规则，相配套的法律法规较为滞后。用户交易中暂时存放在第三方支付平台的沉淀资金游离于银行的监管之外，该资金安全隐患或者支付风险问题备受关注，因为该资金容易成为犯罪分子进行非法活动的工具。用户在进行移动支付时，一旦感染病毒，或者重要信息被盗取等，导致银行卡中的存款丢失，银行和支付平台互相推诿，没有机构对此负责。
　　
　　二、移动支付风险的根源。
　　
　　1.移动终端自身的风险。
　　
　　大多数手机的管理系统不是封闭式的，容易遭受不法分子的恶意攻击。相比于台式计算机，移动终端的体积小，质量轻，但是计算能力相对较弱，缺乏硬件扩展性，限制了 U 盾和数字证书的使用，也限制使用高强度、非对称的加密算法。移动终端的软件功能简化，导致手机浏览器无法向电脑浏览器那样支持密码控制。移动终端的网速要比电脑网络低，限制了一些防护软件的使用。
　　
　　2.网络通信环境潜在的威胁。
　　
　　当前网络支付的通信环境面临多种威胁，安全支付技术和标准需要迎接挑战。不法分子设置钓鱼网站、伪基站和虚假二维码等拦截用户信息；条码、声波、指纹、虹膜等识别技术被尝试应用于移动支付，但尚无统一的技术标准和检测认证标准；支付指令载体可能被嵌入木马、病毒等非法内容，导致在客户身份识别、访问控制、数据保密性、抗抵赖性等方面存在一定的安全隐患。
　　
　　3.相关机构的监督管理过于粗放。
　　
　　（1）支付机构的微观管理。
　　
　　效率与安全有时是矛盾的，支付平台希望为用户提供快捷的支付体验，因此让用户绑定银行卡，开通快捷支付服务，用户无需输入验证码进行双向验证，只需输入支付密码即可完成支付，可见支付平台运营是以提高支付效率为目标的。
　　
　　（2）国家机关的宏观管理。
　　
　　境内非银行支付机构无证开展支付结算业务现象突出，这些游走在监管之外的无牌“二清”机构乱象丛生，不仅对接入的商户没有严格的准入门槛要求，而且清算过程存在发生卷款逃跑的风险。当前支付机构将客户备付金以自身名义在多家银行开立账户分散存放，不仅不利于有关部门的监测，也存在被支付机构挪用的风险。国家相关部门对移动支付机构的管理不够细化，相关法律法规滞后并且过于笼统。
　　
　　三、应对移动支付风险的对策。
　　
　　1.用户层面。
　　
　　用户购买手机时要选择正规厂家生产和合法渠道销售的产品，这类产品硬件配置的安全技术相对较高。使用手机时尽量设置开屏幕密码，多一道防护屏障。手机上网购物时，在不同网站设置的支付密码不要相同，不要选择“记住密码”选项。交易中不要向对方透漏涉及身份、银行卡、用户名和密码等重要信息。凡是通知中奖、公检法要求汇款、谎称账号出错要求重新输入密码等电话一律挂断，收到短信带有不熟悉的链接，不要打开。平时出行，手机、银行卡和身份证不要放一起，降低同时遗失并被恶意利用的风险。用手机绑定的银行卡数量不要太多，银行卡内的余额不要太高，要开通该银行卡短信服务功能，出入账时会收到短信提醒，以便及时发现问题。要下载杀毒软件，定期对手机进行安全性检查。下载移动支付客户端 APP 时，要从官方网站进入。进入支付平台完成交易后要安全退出。对于不熟悉的 wifi 热点不要随便接入，无密码 wifi 热点坚决不要接入。在进行网络购物付款或者日常生活转账时，使用移动数据流量更安全。家庭用wifi 热点要经常更换密码，清理蹭网者，以防家庭成员重要信息和交易记录被非法利用。
　　
　　2.交易平台层面。
　　
　　随着互联网技术和生物技术的发展，一些生物特征识别技术如指纹，掌纹，声音，虹膜等具有独特的不可复制和永不丢失的特性，可用于移动支付。仅采用密码认证的安全措施过于单一，应将多种认证支付方式组合运用。手机支付对关键交易信息采用数字签名技术、数字摘要技术等保证交易记录的不可抵赖性和完整性；采用业务密钥、PSAM 卡密钥、加密机主密钥和 POS服务系统密钥来保证系统信息私密性；通过 USBKey 的双钥加密认证，控制成员对系统资源的访问。支付平台应该健全用户信用评价体系与用户交易记录保存机制，提升支付双方信任度，规避洗钱套现风险。注重提高员工自身风险意识培训，建立风险预警机制和诚信自律的企业文化。支付平台应该实时提醒用户注意网络环境安全，当用户开通小额免密支付时，提示用户阅读使用须知和安全提醒。
　　
　　3.法律监管层面。
　　
　　进一步规范移动支付法律关系涉及到的各方主体的权利和义务，相关法律应明确界定移动支付各方当事人之间的法律关系，强化交易平台的管理责任。加强第三方支付机构沉淀资金的管理，落实反洗钱的管控工作。有关主管机构应当对滞留在交易平台上的消费者交易资金进行确权，明确其所有权属于用户，要求实行银行专户存放。2010 年，非金融机构支付服务管理办法出台，第三方支付机构正式被纳入监管范围。从 2015 年开始，管理层监管力度逐渐加强，非银支付机构网络支付业务管理办法、二维码支付业务规范征求意见稿等政策相继出台。按照年累计移动支付金额的大小对账户进行分类管理，随着支付金额的提高身份验证的程序也越复杂，以降低移动支付的风险。
　　
　　四、结束语。
　　
　　当前我国移动支付的发展势头迅猛，移动支付的便利性不断提升，客户对移动支付的使用度、信任度、接受度也不断增强，移动支付在我国的应用前景广阔。可以预见移动支付将继续保持高速发展态势，在投资理财、消费生活等领域发挥重大作用。