互联网金融十大支付手段安全风险解析

ZDNET至顶网CIO与应用频道 12月20日 评论分析： 随着互联网金融超常规、跨越式的发展支付手段创新也出现百家争鸣、百花齐放的景像。而为了便捷、新颖很多创新缺少必要的安全控制手段和业务流程的风险分析，于是出现了很多资金风险案例。为了揭示风险完善流程，本文将结合案例进行分析并给出一个相对可靠的解决方案。

首先我们分析一下现有的交易业务流程，这个业务一共有两个关键的环节货款支付和密码找回，而货款支付模式有近场支付和远端支付两个模式。支付的手段目前除了传统的刷卡交易手段外目前有大概十种方式，我们先看看这些概念支付的简要介绍然后我们逐一分析缺陷和攻击手段。

1.二维码支付：也就是所谓的“即拍即付”。打开手机上的支付客户端，其中有一项二维码识别的功能，它可以用来拍摄和识别印制在各种物体上的二维码商品信息，识别后，你直接点击付款，完成交易，商品由快递员送到家里。

二维码都可以干什么呢？简单的说目前大概有信息获取、网站跳转、软件下载、广告推送、手机电商、优惠促销、会员管理、手机支付这些应用模式，二维码近场支付和远端支付两个模式都可以使用。 由于二维码应用的广泛性，那么单一使用二维码来做交易验证，不懂安全的人扫来源不明的二维码很容易受骗执行恶意程序。扫个二维码丢了18万的案例就是这样被骗子得手的，个人认为二维码的有效分类和可信二次验证研发应该提到日程上来，这样才能提供更安全的二维码验证平台。

2.NFC手机钱包：通过在手机中植入NFC芯片或在手机外增加NFC贴片等方式，将手机变成真正的钱包。在付钱时，需要商户提供相应的接收器，这样，大家才能拿着手机去完成“刷一下”这个动作，便捷付款，整个过程很像是在刷公交卡。
需要注明一点：NFC是指Near Field Communication，中文名叫“近距离无线通讯技术”，通过NFC可以方便地传输通讯录、图片、音乐等，也可以用于支付。

NFC适用于近场支付，NFC的特点是无线交互，但是这样不用确定的模式会在客户不知情的情况下发生交易，以前的黑客大会就有人演示用一个挂件去刷钱，更可怕点可以把刷卡器做在门框上于是过一个人刷一个人还很难追溯，因为软件开启后一般人用过就不会关闭这样会带来很多的潜在风险，所以我认为NFC应该加上一个物理的开关使用的时候按住才会激发而不是软件开启。而中国的闪付和电子钱包的设计则显得异常奇葩，这个创意其实很好，因为小额支付风险不大1000以下可以不确认支付出了风险也有负责的机构承担，但是使用了异步对账则是不可原谅的业务流程设计错误。因为充值的时候已经把钱固化到卡的芯片中相当于转账资金的数据模式，而这种数据是可以被复制的，通过技术手段能够直接dump出卡内的数据和最后十笔交易，于是我们可以写出无数的卡，理论上用这些卡在对账日前可以刷出无数的交易，这种风险是任何一个金融机构都无法承受的。因此必须更改对账模式为实时交易模式，并使用物理的开启按钮。

3.摇一摇转账：大家都打开支付客户端，拿出手机“摇一摇”，对方的账号就自动跑到你的手机上，接下来就是便捷的输入金额和收款付款了，简直是聚餐凑份子和水果摊小老板结账的利器呀。它背后的技术包括GPS、蓝牙、重力加速感、NFC等等，当然，用户不必记住这些名词。

摇一摇本身就是一个近场信号发送，那么只要有人一直发送在摇的信息抢先应答，那么很可能劫持交易会话。个人认为如果加上对方身份的显示可能会相对安全一些，但这种付款的方式极不安全非常容易被手机劫持者远程确认。

4.短信支付：短信支付由来已久，发送一串字符到指定号码就可完成手机充值等各种支付，而现在有了更多的演绎。 比如说，短信支付让网上交水电费这件事变成了一项堪称“惊艳”的功能，第一次使用时，你还是用PC在网上操作的，在第三方支付网站登录账户，交完水电费后选择“缴费提醒”，此后，每个月到了缴费时，支付公司将自动发来短信，回复三个验证码，水电费就交完了，仅仅只需3秒，家里永不停电。后来，这项功能又演变为“超级转账”，你甚至不用知道对方的账户，在支付客户端上发起转账后，对方短信回复银行卡号就能完成收款。

短信支付煤气水电费因为是落地在有具体信息可查的交易上，我认为安全性还是有保障的，但是换到别的交易环境就很难说了。2G的短信其实是可以在手机附近进行空口监听的，另外黑客也可以通过飞信或其他的客户端包括短信转移进行劫持。这种单一的认证只适用于特定的业务模式下，切勿盲目推广，超级转帐支付客户端就可能被黑客劫持远程发起短信转账。

5.“地理围栏”识别、“看照片”确认支付： 当你到达A咖啡厅100米的范围内之内，咖啡厅正在使用的支付应用会启动Geofencing（地理围栏）技术，自动感知到你的到来，调出你的账户，名字和照片等资料，当然同时也会向你发出通知。一旦你收到通知，确认购买了一杯咖啡，到达咖啡厅后，你只需要说出名字，收银员看着照片确认那就是你，她就可以按下支付确认键完成支付，你就可以端着咖啡走了。很快你还将收到一个推送通知，告知消费了多少钱并且得到一份电子发票。

这种近场的交易模式是相对安全的，除非黑客入侵手机后恶意操作盗刷，但是因为商户的可追查性风险并不是很大，个人认为这种模式比较安全，当然前提是这种支付只绑定了提供这种交易的那几个注册商家。

6.语音支付：电视广告中已经嵌入了特定的语音命令，而手机上则安装相应的支付应用。当你在看电视时，把支付应用打开，它就能接收和识别广告里嵌入的语音波段，并主动询问用户是否需要购买此商品并完成付款。

语音支付实际也是远端数据近端识别客户确认的模式，如果这种支付只绑定了提供这种交易的那几个注册商家一样是比较安全的。

7.图像识别支付 ：这种支付堪称信用卡版的“名片全能王”，它使用手机摄像头来读取信用卡信息，包括信用卡号码和到期日，接下来就可以发起收款啰。

收款的模式是安全的但是确认的过程令人担忧，如果黑客发起收款给劫持后的手机很可能远程操作付款，关键付款的动作如何解决这个问题值得思考。

8.超声波识别支付：这个功能其实还是一种“近场”的识别，但它利用的是超声波，让手机通过麦克风和扬声器就能完成一次近场“相认”，而不必依赖专用的芯片，不用改造你的手机，用户体验就和所有“刷手机”付款的方式一致。

超声波识别这个模式本质上还是数据的传输那么黑客可以使用数据接口远程发起交易并劫持确认刷钱，这种模式也不安全，个人认为超声波的模式操作复杂并不科学不值得推广。

9.随身刷卡器： 随身刷卡器可以用来识别各种银行卡，从而实现随时刷卡消费或缴费的目的。刷卡器很小，呈正方形或长方形，可以轻松插入手机中的耳机插孔，安装后，打开应用就可以刷卡了。

这个模式本质上还是简单数据的传输那么黑客商家可以使用数据接口记录交易后，重放信息或重新发起交易刷走客户钱。这种模式如果设备上绑定个人的信息并有完整的备案是可以推广使用的，而现在的模式存在风险。

10.条码支付：这个支付方式更像是“条码收款”。通过安装支付客户端，你的第三方支付账户可以生成为一个条形码，而收银员用条码枪在用户的手机上一扫，用户点下同意支付的按键，一次付款就完成了。

这个模式本质上还是简单数据的传输，并且确认过程简单，那么黑客可以使用数据接口远程发起交易并劫持程序直接确认刷钱。

综上所述我们可以看出无论近场还是远端的交易只要是交易结果可以追溯到具体责任人，那么这种交易都是很安全的，没有傻瓜用偷来的钱给自己家交煤气水电费，也没有电视广告商家敢恶意劫持客户购买商品，而其他的交易模式都有很大的风险。其实要解决这个问题不难，只要结合NFC设计一个新的硬件结构就可以，这个概念里使用了我创立的双平台理论。

双平台理论介绍：

 双平台理论：两个交集很小的独立验证模式可以极大降低风险的产生

通过简单的数学公式我们就可以进行证明：

假设电脑平台风险概率为35%，非智能手机平台风险概率为5%，两者同时被获得的概率为1%。那么被成功攻击的可能就是

0.35 x 0.05 x 0.01= 0.000175 即0.0175%这种低风险是客户和银行都可以承受的范围。这样的双平台例子如下：电脑与非智能手机、智能手机与非智能手机、文字信息与语音信息、传统密码与动态密码、手机软件验证与手机硬件验证等。

下面我们就给出一个安全的交易流程模型：

首先设计带有物理按键的类NFC设备，按住按钮开启NFC功能，双击按钮可进行交易签名确认，这样远程的黑客劫持就基本上都可以避免了。如果交易结果通过别的安全通道返回给客户就更好了，这涉及到手机硬件系统结构的安全分配这里就不详述了。

通用的交易过程如下：

我们解决了货款支付的问题后，下面我们谈一下密码找回也就是交易平台的问题，由于第三方支付的加入支付领域除了银行还有各大网上支付平台，这里就体现了业务严谨性的问题。因为初期的支付平台没有规范很多客户的资料是相对缺失的，而银行的本地本人开户使个人资料相对齐全并且密码挂失修改需要柜台办理，这就相当于实地建楼。而第三方支付平台的信息缺失严重大部分是异地客户，密码找回手段单一基本都是短信找回且隐含极大的风险（为了不引起恐慌就不详细说明了），这种运营模式相当于沙上建塔，前一段时间汪利辉写的《手机丢了你的支付宝还安全吗》这篇文章也部分验证了我的观点。个人认为目前第三方支付平台当前的首要任务不是盲目的业务扩张，而是应该丰富客户信息，找到新的密码修改通道，否则一旦危机到来很可能万劫不复，这个问题要解决并不难，留给有心的读者思考吧。

本文作者：李立中。该作者深入理解云计算、大数据、互联网金融、金融安全和互联网安全。