“各位已婚男士注意:‘双十一'当天,起床第一件事是打开老婆的支付宝和网银,连续输入三次错误密码再去上班。切记。不要问我是谁,我的名字叫雷锋。”“双十一”购物狂欢节前夕,这条微信在“朋友圈”里的转载量颇高。一笑过后,却让我们不得不承认互联网在线支付服务是否畅通无阻、安全可靠,将会影响多少家庭的幸福。
在互联网金融发展得如火如荼的今天,很难想象,如果在线支付服务的安全性得不到保障,将会出现怎样的灾难?仅在“双十一”当天,天猫基金理财专场半日交易额就突破了5.5亿元, 阿里一天交易额达到350亿元,京东商城一日成交680万单、交易额35亿元……频繁、海量的在线交易已远超传统银行的单日交易量和交易额,但在整个交易链条上,在线交易的薄弱环节却依旧存在。
谁是真正的账户拥有者?
在线支付服务在满足公众网购、快速汇款、在家理财等人性化服务的同时,也给不法分子利用网络进行诈骗以可乘之机。伴随在线支付服务的流行,网络诈骗事件的数量也以同等速度飙升。卡巴斯基技术开发(北京)有限公司副总经理郑启良告诉记者,欺诈者目前最常用的技术主要是通过欺骗的手段使在线支付系统相信他们是真正的账户拥有者,一旦完成,欺诈者就可以对受害者的资金进行任何方式的处理。
“大多数银行在开通网银服务的时候已经做到了尽其所能的安全,包括在整个交易链上,银行端的安全防护以及构建银行与客户端之间的安全数据通道,但是用户端是否有问题,银行却不得而知。而来自客户端的‘陷阱',正是目前网络欺诈事件客户造成巨大损失的主要根源。”郑启良表示,在卡巴斯基发现的一些网络欺诈事件中,欺诈者甚至可以通过在用户的移动终端上注入一些后台运行的程序截获用户端收到的校验码。每当用户收到在线支付平台发到用户移动终端上的验证码时,验证码也会同时被后台运行的程序转发给欺诈者,一旦欺诈者已经通过一些技术手段获取了用户的支付密码,在得到验证码后即可以伪装成真正的账户拥有者,通过在线支付平台骗走用户的钱。而用户发现或意识到问题时,往往为时已晚。
为了让用户安心使用网银或在线支付平台,无论是传统的金融机构还是阿里这类新崛起的互联网金融服务商,都以某种方式承诺了其业务的安全性,更有甚者还提出了如用户交易信息被盗取,损失由支付平台负责赔付的条款。然而,一旦安全问题规模性爆发,看似严谨的安全防护机制未必能保护好用户的钱包,而刚刚起步的互联网金融的发展也会遭遇夭折的风险。
三位一体看管好互联网钱包
对在线交易安全的保护,通常有几种防护手段,如验证用户浏览器访问的网站是否为真实的银行或支付系统网站,而不是诈骗者的虚假网站;通过数字证书验证网站是否可信;在客户端安装一些终端安全软件,以防止木马程序借系统漏洞危害在线交易的安全。
但来自卡巴斯基实验室的安全专家Vladimir Zapolyansky指出,经过卡巴斯基的研究,如果将信任网址、信任连接、信任环境的相关安全解决方案割裂开来使用,互联网的交易安全未必能够得到有效保障,必须要有一个统一协作的机制,才能让欺诈者无缝插针。
Safe Money是卡巴斯基今年特别针对互联网金融安全推出的解决方案,它改变了传统单一关注虚假网址识别、安全证书验证或客户端防护的技术路线,而是通过一个统一的安全平台将信任网址、信任连接、信任环境整合为三位一体的安全防护体系。通过各种技术的使用,为在线交易构建起一个端到端的安全通道。
“传统安全方案更重视监测安全威胁,但面对互联网金融安全则要更重视防止安全威胁。因为来自互联网的威胁层出不穷,再通过识别威胁的方式去处理安全问题,用户往往已经中招了。”Vladimir Zapolyansky强调,哪怕在手机终端上的恶意程序无法监测出来,但手机转发验证码这种行为还是可以防止的,Safe Money就是通过对短信加密的方式来防止风险的--即使转发出去,欺骗者也无法读取真实信息。
此外,和传统银行的日常交易相比,互联网金融所受到的威胁要更为严峻,海量的实时交易在互联网中发生,对安全威胁的检测必须要更快。通过采用主动防御模式,对加密证书真假的实时判断技术,PC端启发式分析技术以及借助大数据分析进行安全问题识别等方式,Safe Money已完全摆脱了传统安全方案中的技术束缚。