来源:中国经营报

银行卡盗刷频发:警惕公共Wi-Fi“陷阱”  第1张
(图片来源网络,侵删)

  本报记者 慈玉鹏 北京报道

  随着我国移动支付使用愈发普遍,相关的风险问题也逐渐显现。公安部网安局近日公示了多起用户链接公共Wi-Fi后被盗刷的案例。

  业内人士对此表示,Wi-Fi钓鱼盗刷防范难点在于,公共场所内消费者对Wi-Fi的依赖度较高且防范意识较薄弱,建议在网信办指导下形成多方共治的局面:一是商业银行加大宣传力度、异常交易监测力度;二是消费者增加防范意识,不随便连接不明来路的Wi-Fi。同时,网信办应要求公共场所的管理部门主动监测、消除Wi-Fi。

  上述业内人士向《中国经营报》记者进一步分析指出,新形势下,支付结算业务发展面临新挑战,银行机构应自主或通过协作的方式,加强支付平台安全设计,利用智能模型提高风险识别效率。此外,应由牵头,整合金融、网络运营等行业的优势,实现共享协作,打造网络立体防御格局。

  盗刷案解密

  公安部网安局公示案例显示,某日,陈女士在逛商场时,链接上了商场内一个没有设置密码的Wi-Fi,以便在逛街过程中对自己看中的衣服、鞋子进行搜索比价。由于网上的价格优惠,张女士遂在逛街过程中通过手机银行支付的方式购买了一件衣服。没过多,张女士就连续收到了多条手机短信提醒,发现她的竟被盗刷了6笔,每笔的金额都在1500元以上,总金额高达9000多元。

  另一个案例显示,李先生为了上网链接方便、节省流量,便将手机设置为可自动搜索连接Wi-Fi。某日在外吃饭时,李先生手机自动搜索链接上了一个没有密码的免费Wi-Fi。在使用该Wi-Fi期间,他登录了自己的手机网银,并输入了自己的***以及密码用以查询自己的账户余额。次日,李先生手机收到一条被消费了3000元的通知短信,随后又陆续收到了转账和消费的信息。

  中国银联发布的《2022年移动支付安全大调查研究报告》显示,在日常使用手机时,平均每个用户存在1.2个不安全的行为习惯。发生率最高的三项不安全行为分别为:网站/内登录习惯设置记住密码或自动登录、在连接公共Wi-Fi的状态下支付,以及所有支付密码都相同,有18%以上的受访者同时存在这三项问题。

  对于Wi-Fi钓鱼盗刷问题,中央财经大学证券期货研究所研究员、内蒙古银行研究发展部总经理杨海平告诉记者,一是公共场所没有相应的安全防范措施,为行骗者提供了便利;二是消费者对Wi-Fi的依赖度较高,且针对网络的防范意识较薄弱。Wi-Fi钓鱼盗刷欺骗性极强,且不法分子借助科技手段不断翻新网络形式。针对这种情况,建议在网信办指导下,形成多方共治的局面。除了商业银行加大宣传力度、异常交易监测力度,消费者增加防范意识之外,网信办应要求公共场所的管理部门主动监测Wi-Fi,从技术上进行限制,消除Wi-Fi生存的土壤,司法部门应加大对Wi-Fi钓鱼盗刷的打击力度。

  就银行方面而言,杨海平表示,商业银行应从维护金融消费者权益的角度,建立包括 Wi-Fi钓鱼盗刷在内的网络、电信以及其他盗刷行为的防范策略,将保障客户资金安全作为服务客户、维护客户的重要方式之一。重点做好以下两个方面的工作:一是及时总结各类盗刷、网络行为的特点,归纳防范要点,主动开展多种形式、多层次、多渠道的宣传。借助实际案例,增加消费者的防范意识,使其对不明链接、公共场所Wi-Fi使用等保持足够的警惕。二是通过挖掘和分析大量交易数据,特别是各类盗刷行为的数据,建立起风险模型,识别潜在的盗刷风险,形成异常交易规则,在触发规则的情况下进行核实或者拦截。

  一位华南地区业内人士表示,为有效防御Wi-Fi钓鱼攻击,需要多方联动开展技术防控。应通过一致性检测技术进行钓鱼攻击的防御,该类技术可对被动指纹和无线网卡地址进行分析,按照无线网卡的地址情况,判断是否存在异常现象或是指纹不一致的现象,检测出可疑的 Wi-Fi接入点。在已经判断出无线网的可疑接入点之后,需要选用非常准确的网络检测技术进行网络延迟的检测、路由路径的检测等,准确进行伪造接入点的判断,进而开展阻断。

  该人士指出,从用户角度,如果缺乏正确的认知观念,将无法有效预防Wi-Fi 钓鱼等网络攻击,应做好用户宣传教育工作,让用户形成正确的安全意识。指导用户周期性进行登录密码的修改,密码设置应尽可能将大小写英文字母、数字和字符等混合使用。另外,应指导用户合理进行防火墙系统的使用,有效隔离病毒、恶意软件等。

  公安部网安局方面提示,网友们不要随便链接不明来路的Wi-Fi,特别是免费又不需要密码的Wi-Fi,避免钱财损失、个人信息被盗取风险;在公共场所使用Wi-Fi时,最好主动向商家询问Wi-Fi的具体名称,避免一不小心链接到黑客搭建的“山寨Wi-Fi”上,导致密码、家庭住址等隐私信息被窃取;使用公共Wi-Fi时,应避免进行登录网银账号、网购账号等可能会泄露个人信息的操作,并注意上网习惯,经常性清理手机内缓存,对笔记本电脑进行安全扫描等;手机日常建议关闭自动搜索连接Wi-Fi的功能,避免不自觉链接上钓鱼Wi-Fi,链接的Wi-Fi如自动弹出广告页面时应及时关闭,出现未知的链接也不要点开。

  移动支付攻防战

  近年来,我国移动支付使用愈发普遍。《2023年第二季度支付体系运行总体情况》显示,银行电子支付业务量有所增长。二季度,银行共处理电子支付业务735.78亿笔,金额842.19万亿元,同别增长8.05%和11.65%。其中,网上支付业务236.45亿笔,同比下降5.79%,金额685.19万亿元,同比增长11.82%;移动支付业务460.42亿笔,金额138.96万亿元,同别增长19.52%和14.29%。

  另外,中国银联发布的《2022年移动支付安全大调查研究报告》显示,参与调研的受访者平均消费总支出由移动支付完成的消费金额所占比例已经达到86.1%。具体来看, 77.5%的手机用户每天都会使用移动支付,常用场景接近11个。同时,伴随数字支付场景持续下沉,三、四、五线城市的居民对移动支付的依赖度持续增长。另外,三分之二的受访者表示曾遇到过电信,其中约三分之一的群体财产遭受损失。

  某华东地区银行人士表示,移动支付大背景下,商业银行支付结算业务发展面临不少新的风险。一是数据安全及技术风险,数据安全是目前的关注焦点,在银行结算业务办理过程中,欠缺一定安全规范与开放标准,存在客户交易风险;二是与第三方机构的合作风险,支付结算业务交易往往涉及与多家机构合作,基于业务共享前提下,若是一家机构存在安全隐患,则整个链条将受到波及影响。此外,银行机构目前的科技能力不同,中小银行数字化技术支撑能力有限,更容易导致移动支付平台存在安全漏洞,进而增加个人以及企业支付的风险。

  记者注意到,中国裁判文书网公示了移动支付背景下,多起客户与银行机构之间因为盗刷引发的***。

  为规避风险,同时强化消费者保护,上述人士指出,银行机构应自主或联合推动支付平台安全设计,提高系统安全防御能力,为支付结算业务办理提供保障。当遇到违法入侵情况时,应通过大模型迅速识别并处理。