【IT168 专稿】去年12月,温州市民杨先生从电脑上查看自己网上银行时,惊愕地发现他在建设银行和农业银行的15万余元存款莫名其妙被人转走了。与他同样遭遇的还有林女士、黄女士,三人共被盗近60万元。报案后公安部门的技术人员发现他们的电脑都被植入了“灰鸽子”病毒,以致被别人获取了银行账号、密码、电子证书,从而轻松将巨款转帐成功。
而据中国青年报报道,目前,各种类型的银行卡犯罪表现出日趋严重的态势,仅2006年,上海市公安机关就接到关于银行卡的犯罪报案925起,涉及金额1365.47万元。
由于频频出现安全事件,提起网上支付,很多人谈之色变。
网上支付到底怎么了?到底哪种网上支付方式更可心?我们又该如何选择一种既安全又方便的网上支付方式呢?IT168信息化频道最近在“网上支付大PK”的专题中,邀请读者、网友及各方人士对此话题进行了讨论和调查。
网上支付 谁更可心?
“网上支付大PK”专题将主要的6家网上银行和6家第三方支付平台进行了简介,分别包括中国银行网上银行、中国工商银行网上银行(以下简称“工行网银”)、中国建设银行网上银行(以下简称“建行网银”)、招商银行网上银行(以下简称“招行网银”)、北京银行网上银行、中信银行网上银行、支付宝、财付通、贝宝、云网、网银在线、快钱。
在大讨论专题中,读者可以对自己使用过的网上支付进行文字点评,也可按照“安全性”“服务性”“总体”这三个指标对12种网上支付进行打分,每项的单独最高得分为10分。从6月19日上线以来,专题得到了读者和网友的积极响应,共有160多人次激扬文字,留言17页发表了自己对网上支付的看法。
①从总排名来说,招行网银、支付宝、云网、工行网银、建行网银处于前五名的位置,前四家网上支付提供商轮流坐了第一把交椅。从分析来看,总排名靠前的大都依靠其使用者的数量——使用者越多,被评论打分的次数越多,排名越靠前。
招行能够荣登第一宝座的原因源于其信息化建设超前的背景,它搭构了统一的网络架构,并发行了有联网储蓄借记功能讲究网络和信息共享的“一卡通”,在国内率先推出了被业界认为是最适合国内市场的网络银行“一网通”,在国内银行中首先开展了网上个人银行服务。随着招行网银功能的完善和推广,拥趸愈众,其获得的好评也越来越多。
工银得益于其国有商业银行的大行地位,将与老百姓生活息息相关的水电上网费等业余垄之麾下,其使用者数量成为其他银行不可比拟的优势。
支付宝则是一个“中国特色信用中介”的成功典范。借淘宝网之势,支付宝作为它的专用网上通路,沿用了其作为买卖双方免费信用中介的信用保障模式,C2C观念深入人心,支付宝的“粉丝”数量自然也水涨船高。
②从安全角度来看,读者和网友的评论中对招行网银和支付宝的呼声最高。但也不排除一些对网银技术略有了解的网友认为招行也不安全的观点——“选择使用招行就是对自己资金不关心,因为招行的网上支付存在BUG……”而工行的安全问题目前已经成为人们关注的焦点之一,“工行网银受害者联盟”则自发组织起来,希望以集体的力量讨伐工行网银的安全漏洞。
③从服务水平来看,人们更加认可招行、支付宝等网上支付提供商的服务,相比较而言,很多人对工行和建行的服务不太满意:“建行的网银简直把人气死,早九点晚五点,其它时间,嘿!恕不接待!有时候晚上想查查自己的基金多少钱了都看不了……可恶!”“用过工行的网银,手续太麻烦了……”
矛盾性焦点缘自何处?
对此次讨论进行总结分析并进行采访后,记者发现了一个有意思而且有意义的现象:无论是否使用过网上支付,网友表现出来的态度都截然相反,支持者对网上支付大加褒扬,反对者则毅然决然退避三舍。其矛盾焦点则集中在:网上支付到底安不安全,到底方不方便?
在某通信公司工作的张先生自称已经被招行网银“套牢”了:“我用的是招行专业版,不插数字证书密钥是用不了的。同一个人的不同招行帐户间可以灵活地转帐,而且不收手续费,我就是把一个帐号作为网上支付帐号,另外一个作为工资的帐号,各自设置不同的权限,使用起来方便极了。”
经常使用工行网银的杨华这样告诉记者:他觉得工行网银的页面更漂亮些,而且功能也越来越强大,其硬件证书U盾让他非常放心,缴费、购物、买基金、买卖纸黄金等业务都可以办理,他现在很少去柜台办理业务了。
据记者了解,在北京CBD一带写字楼上班的白领中,就刚刚兴起一种新的AA制付费方式——一起聚餐、打球后,大家将自己应承担的部分通过支付宝打到负责财务的朋友的帐户中,省却了现金在人们之间的流转。支付宝已经不仅仅是淘宝网用户的专利了。
虽然有如此这些好评,但这并不代表人们对整个网上支付领域的态度,对网上支付持怀疑、敌对、拒绝态度的大有人在。
在一家有外资背景的企业做市场推广工作的于小姐,由于不得不通过招商银行一卡通进行一个报名考试的网上支付,然而本以为几分钟搞定的问题却越积越多,从输入密码之后显示卡内余额不足,到输入卡号和密码之后却被告知“登陆失败:CMB1099-无此用户或客户密码错”,一直到最后,筋疲力尽的她发现自己记不得初始密码了,只好办理了密码挂失,挂失期间的4天内她无法取钱,不得不通过其他办法进行了报考的支付。
由于电费、上网费只能在工行交,又不想每个月都去排一次几个小时的队,所以陈海不得不去工行开通了网上银行。不想,好景不长,通过工行网银交上网费还没有几次,页面就频频报错说“交易失败”。最初陈海以为是自己中了病毒或是系统错误,后来通过95588客户服务热线咨询才知道,为了安全,用户只能累计消费300元!而要想实破这个限制,有两种方法,一个是陈海再到工行网点申请“密码卡”,虽然目前免费,但累计金额只有5000,时间期限一年。第二个方法是申请“U盾”,没有消费限制,但年费100元左右。对网银技术安全略有了解的陈海明白U盾比较安全,但这么高的年费使得他不愿使用,所谓的“安全”也就成了白费。
这样看来,广大使用者对网上支付的态度大相径庭,其实最终来源于网上支付安全性与便利性的矛盾。就像是招行一卡通不经申请就自行开通网银功能,想使用网银就免去了柜台的奔波之苦,但也会出现“不需银行验证‘身份证号码’和‘身份证上的照片’是不是本人,就可以开通网上支付、网上缴费的功能而给人以可乘之机”。
据安全专家介绍,目前最安全的方式还是使用用户卡+密码+USBKEY等硬制数字证书,而使用这些手段,用户必须亲自到银行办理,须提交银行所需的所有证件资料,并交纳相应的服务费,而且平日也要处处小心不要遗失银行卡或数字证书。
安全与方便,不可兼得,难道一定要做一取舍吗?
网上支付安全防身术
安全与方便,如果你必须在二者之中做一取舍的话,相信任何人都会首选安全。而实际上,第三方支付作为网上支付的一种形态的确是一种安全的模式。
以支付宝为例,支付宝就是淘宝网“第三方支付信用中介”模式的一个落地产物——买家需要先把钱汇入淘宝网的帐户,等收到卖家的货物验证信息,淘宝网才会把买家的钱转汇给卖家;支付宝作为一个资金流转通路,更加巩固了这一模式。比较起国外信用体系健全、信用卡普遍使用的情况,这种信用中介的模式自然受到信用体系暂不够健全的国内用户的青睐。
对电子支付有深入研究的易观国际分析师宋星认为,无论网银还是第三方支付,支付安全方面基本没有风险存在,欺诈、风险、纠纷的事件大多出在用户界面或使用过程中,也就是说,只要使用中不是买卖一方刻意欺诈、不是电脑遭受了黑客袭击、不是遗失了银行卡或遗忘了密码等情况,整个技术过程基本是安全的。
虽然第三方支付总体是一种安全模式,但各第三方支付平台的安全系数又各不相同, 以下是几家主要第三方支付平台的技术安全参数列表,你在进行选择时可做参考:
|
|
支付宝
|
财付通
|
安付通
|
网付通
|
快钱
|
|
SSL加密
|
√
|
√
|
√
|
√
|
╳
|
|
数字证书
|
√
|
╳
|
╳
|
╳
|
╳
|
|
登录验证码
|
√
|
√
|
╳
|
╳
|
╳
|
|
手机绑定
|
√
|
√
|
╳
|
╳
|
╳
|
|
安全控件
|
√
|
√
|
╳
|
√
|
╳
|
|
支付密码是否独立
|
√
|
√
|
√
|
√
|
√
|
然而,使用第三方支付最关键的地方其实在于,你需要往帐户里存钱——可以通过邮局或银行柜台将钱打入帐户,但通过网行转帐已经不可避免。要想享受网上支付的便利,你需要开通与你使用的第三方支付平台有合作的某个银行卡的网上银行业务,同时,第三方支付的转帐后台必须要和银行的网银系统做接口,让你的钱在银行卡和第三方支付平台的帐户里流动起来。因此,网银才是一切网上支付的基础,网银的安全决定着整个网上支付体系的安全。
然而从理论上讲,网银并不安全。
一位业内人士告诉记者:网银一般都有一个前置系统来接入,前置系统与银行系统后台的核心帐务系统相连,一般网银客户端和前置服务器之间走的是HTTP协议,在这个协议上系统通过安全证书对整个数据包加密。招行的网银客户端专业版是招行自己开发的,虽然外部人士不了解客户端与服务器之间走的是TCP协议还是http协议,但招行客户端到网银前置之间的数据也采用了数字证书加密的技术,所以应该是安全的。
招商银行的安全可能就在于自己开发了客户端程序,用户使用时不需要输入url,而由程序自动连接网银服务器。而用户使用其他网银时需要输入网址,这很容易被不法分子用虚假的网址和服务器欺骗而盗取密码。
而参与过某省建设银行系统开发的许先生的看法更是“危言耸听”:按照国际惯例,网上银行主要是指银行利用互联网(而不是银行自身所有的网络)向客户提供的银行业务服务。正因为第三方运营的开放式的网络和银行自身所有的封闭式的网络所面对的风险层次完全不一样,而且一旦使用了第三方的网络服务,银行便无法控制其行为。也就是说,无论你在银行柜台还是通过网银办理业务,过程和结果是一样的,但一旦通过第三方的网络系统办理业务,风险和不可控因素便出现了。
这样追根溯源下来,原来只要涉及网上支付,其不安全的根源仍然来自于互联网络。而为了抵抗这些不安全因素,各银行、机构想尽办法采取的措施却无形中又增加了操作的繁琐和复杂程度。
既然安全与便利就像鱼和熊掌一样不可兼得,我们不妨在使用网上支付前先练几招防身术,以获得使用过程中的便利:
①使用网上支付业务前,先好好地研读一番使用说明和规则,尽量选择安全系数高的服务,比如个人数字证书等。大多数网银现在都提供个人数字证书的安全服务,你可从中选择一家不收费、安全系数高且使用范围广的网银。
②选择软键盘功能的网银。目前,从技术上来说,网上银行的服务器端再安全,也很难保证客户端的安全(如果没有Usbkey的话)。因为很多木马程序都是监控用户的键盘按键,以此来获取键盘输入的卡号和口令,因此,我们不妨观察一下,哪家网银页面登录输入口令的地方不是通过你自己的键盘输入,而是弹出一个数字呈动态分布的软键盘,让你通过鼠标按软键盘输入口令,这样,防范键盘监控的木马还是有一定作用的。
③登录时最危险,定期对电脑杀毒保证登录安全。在登录环节,不仅需要网银的页面技术达到一定的安全程度,用户更要保证自己的电脑安全才能万无一失。包括网银在内的各种网站,有的页面在你的电脑与服务端之间的数据连接都经过了加密,可以有效地保护用户资料信息,当你打开登录页面时,数据便会自动进行传输。而如果你的电脑中了木马、被黑客植入了Sniffer一类的嗅探工具,或者页面本身没有加密,就有可能会泄露登录信息。只要你定期进行使用杀毒工具、更新病毒库,一般可以清除掉木马或灰鸽子等病毒。
④登录网银时要仔细查验网址和页面最下面的金盾信息,核实页面无误、确实是该银行的网银页面后再输入帐号和密码,不要被“李鬼网银”欺骗。
⑤多数网站都开通了网上支付短信功能,可帮助你随时掌握资金的支付情况,建议大家尽量使用这个功能。有的银行则推出另一种安全认证方式——动态密码,它可通过手机短信将动态更新的密码告知客户,这也是对原有账户安全措施的一种补充。
⑥尽量不去网吧或公共使用的电脑上进行网上支付,同时给自己的网上支付系统加上一个每日支付的最高限额,也是一个有效的防护方法,例如每天最高200—1000元不等,这样就算是被“网上盗贼”侵入,损失也还不太惨重。
