網上支付安全隱患 網上支付對於很多人來說並不陌生。你也許透過某家商業銀行的網上銀行轉賬、支付交易保證金,或是透過一些專業的網上支付服務商(如“支付寶”)進行過網上購物線上支付。所有這些透過網際網路進行的支付方式都是網上支付。 網上支付受歡迎程度並不一致。一方面,很多人感受到網際網路支付的快捷和方便,從而對網上支付情有獨鍾,他們覺得網上支付可以明顯減少到銀行的往來奔波之苦、可以免除排隊的煩勞;另一方面,一部分人對網上支付退避三舍,不敢輕易嘗試網上支付。經調查分析,不同人群對待網上支付的不同態度在很大程度上是由於他們對網上支付安全擔心程度不同所致。 也就是說,對於後者,他們覺得網上支付需要更好的安全保障。從目前網上支付的發展水平和出現的網上支付案例來看,現行的網上支付安全技術和手段已經比較成熟,絕大部分網上支付安全事件更多的是由於支付者缺乏必要的安全防範意識和技能所致。 哪裡存在安全隱患? 人們對任何事物關注點與該事物發展階段變化而變化。在事物的不同發展階段,風險點發生變化,社會對此的關注點可能發生變化。對於網上支付,當前的主流方式是透過銀行卡(包括信用卡、借記卡和支付卡等)這種支付工具,透過瀏覽器輸入必要的支付認證資訊,經發卡行認證授權後扣款完成線上支付。現階段的支付風險主要存在於: ●支付密碼洩漏。一旦攻擊者透過某種方式得到支付密碼,可以輕易地冒充持卡人透過網際網路進行消費,給持卡人帶來損失。這是人們對網上支付安全的主要擔心所在。 ●支付資料被篡改。在缺乏必要的安全防範措施情況下,攻擊者可以透過修改網際網路傳輸中的支付資料。譬如,攻擊者可以修改付款銀行卡號、修改支付金額、修改收款人賬號等,達到謀利目的並製造網際網路支付事件。 ●否認支付。網上支付是一個透過商業銀行提供的網上結算服務將資金從付款人賬戶劃撥到收款人賬戶的過程。對於資金劃出操作,若付款人否認發出資金劃出指令,商業銀行將處於被動局面;對於資金劃入操作,若商業銀行否認資金劃入操作,收款人將處於不利境地。 如何減少支付風險? 降低風險需要根據風險點的不同特徵採取不同的風險控制措施。我們先來看看怎樣“看護”好我們的支付密碼。攻擊者通常用哪些手段得到得到支付密碼呢? ●騙取手段。攻擊者可以採用“釣魚”方式達到目的。具體方式有假冒網站、虛假簡訊(郵件)。這些網站頁面、簡訊或郵件是他們的“誘餌”。不能識別這些詐騙手段的持卡人容易被攻擊者誘騙,乖乖地向其洩漏自己的銀行卡支付密碼。 ●支付終端擷取。攻擊者可以在持卡人電腦上釋出惡意軟體(如木馬軟體)。這些軟體能在持卡人輸入支付密碼時悄無聲息地捕獲,並偷偷地傳送出去。 ●網路截獲。攻擊者在支付終端和其它網路裝置等節點透過智慧識別和金鑰破解手段得到支付密碼。 ●暴力攻擊。當前很多髮卡行採用6位數字密碼方式。藉助於具有強大運算能力的計算機,攻擊者可以採用密碼詞典(密碼詞典包含了0-9數字不同字長的各種數字串組合)方式逐個試探。 ●其它途徑獲取。攻擊者趁持卡人不注意,在銀行櫃檯、ATM或POS終端記下持卡人的支付密碼。 支付密碼洩漏是網上支付案件的主要原因。從上述這些攻擊手段可以看出,我們首先要具有安全意識和基本防範技能。持卡人應注意: 識別假冒網站。持卡人需要確認支付頁面網站域名的真偽。因此,持卡人不妨選擇一家商業銀行或支付平臺作為常用的支付服務商,熟悉其域名,並在支付操作時細心即可。有些商業銀行網上銀行或支付平臺提供了持卡人“預留資訊”方式,可以幫助持卡人識別假網站。 虛假簡訊(郵件)相對假冒網站而言更易於識別。持卡人在收到任何與銀行卡、支付有關的簡訊後,應確認簡訊傳送者的真實身份或簡訊內容。 密碼保護還需要持卡人注意不要設定簡單的密碼。如不要採用類似“123456”的簡單數字組合、自己或親人的生日資訊、電話號碼。此外,還注意支付終端的安全性,如不要在公用網咖進行網上支付、在支付終端上安裝反病毒、反木馬軟體。同時,還要注意在其它場所支付輸入密碼時不輕易為他人偷窺、攝像等,不要將密碼記錄在被人容易看到的紙片上。 支付密碼能輕易為攻擊者騙取、竊取或破解,更為一個重要的原因是支付密碼本身缺乏一定的防攻擊、防竊取能力。由於密碼通常是字母、數字的簡單組合,屬於低安全強度的保護機制。如採用數字證書代替或補充支付密碼就是一種更有效方式。因此,持卡人進行網上支付最好選擇使用採用數字證書安全機制的支付方式。
網上支付安全隱患 網上支付對於很多人來說並不陌生。你也許透過某家商業銀行的網上銀行轉賬、支付交易保證金,或是透過一些專業的網上支付服務商(如“支付寶”)進行過網上購物線上支付。所有這些透過網際網路進行的支付方式都是網上支付。 網上支付受歡迎程度並不一致。一方面,很多人感受到網際網路支付的快捷和方便,從而對網上支付情有獨鍾,他們覺得網上支付可以明顯減少到銀行的往來奔波之苦、可以免除排隊的煩勞;另一方面,一部分人對網上支付退避三舍,不敢輕易嘗試網上支付。經調查分析,不同人群對待網上支付的不同態度在很大程度上是由於他們對網上支付安全擔心程度不同所致。 也就是說,對於後者,他們覺得網上支付需要更好的安全保障。從目前網上支付的發展水平和出現的網上支付案例來看,現行的網上支付安全技術和手段已經比較成熟,絕大部分網上支付安全事件更多的是由於支付者缺乏必要的安全防範意識和技能所致。 哪裡存在安全隱患? 人們對任何事物關注點與該事物發展階段變化而變化。在事物的不同發展階段,風險點發生變化,社會對此的關注點可能發生變化。對於網上支付,當前的主流方式是透過銀行卡(包括信用卡、借記卡和支付卡等)這種支付工具,透過瀏覽器輸入必要的支付認證資訊,經發卡行認證授權後扣款完成線上支付。現階段的支付風險主要存在於: ●支付密碼洩漏。一旦攻擊者透過某種方式得到支付密碼,可以輕易地冒充持卡人透過網際網路進行消費,給持卡人帶來損失。這是人們對網上支付安全的主要擔心所在。 ●支付資料被篡改。在缺乏必要的安全防範措施情況下,攻擊者可以透過修改網際網路傳輸中的支付資料。譬如,攻擊者可以修改付款銀行卡號、修改支付金額、修改收款人賬號等,達到謀利目的並製造網際網路支付事件。 ●否認支付。網上支付是一個透過商業銀行提供的網上結算服務將資金從付款人賬戶劃撥到收款人賬戶的過程。對於資金劃出操作,若付款人否認發出資金劃出指令,商業銀行將處於被動局面;對於資金劃入操作,若商業銀行否認資金劃入操作,收款人將處於不利境地。 如何減少支付風險? 降低風險需要根據風險點的不同特徵採取不同的風險控制措施。我們先來看看怎樣“看護”好我們的支付密碼。攻擊者通常用哪些手段得到得到支付密碼呢? ●騙取手段。攻擊者可以採用“釣魚”方式達到目的。具體方式有假冒網站、虛假簡訊(郵件)。這些網站頁面、簡訊或郵件是他們的“誘餌”。不能識別這些詐騙手段的持卡人容易被攻擊者誘騙,乖乖地向其洩漏自己的銀行卡支付密碼。 ●支付終端擷取。攻擊者可以在持卡人電腦上釋出惡意軟體(如木馬軟體)。這些軟體能在持卡人輸入支付密碼時悄無聲息地捕獲,並偷偷地傳送出去。 ●網路截獲。攻擊者在支付終端和其它網路裝置等節點透過智慧識別和金鑰破解手段得到支付密碼。 ●暴力攻擊。當前很多髮卡行採用6位數字密碼方式。藉助於具有強大運算能力的計算機,攻擊者可以採用密碼詞典(密碼詞典包含了0-9數字不同字長的各種數字串組合)方式逐個試探。 ●其它途徑獲取。攻擊者趁持卡人不注意,在銀行櫃檯、ATM或POS終端記下持卡人的支付密碼。 支付密碼洩漏是網上支付案件的主要原因。從上述這些攻擊手段可以看出,我們首先要具有安全意識和基本防範技能。持卡人應注意: 識別假冒網站。持卡人需要確認支付頁面網站域名的真偽。因此,持卡人不妨選擇一家商業銀行或支付平臺作為常用的支付服務商,熟悉其域名,並在支付操作時細心即可。有些商業銀行網上銀行或支付平臺提供了持卡人“預留資訊”方式,可以幫助持卡人識別假網站。 虛假簡訊(郵件)相對假冒網站而言更易於識別。持卡人在收到任何與銀行卡、支付有關的簡訊後,應確認簡訊傳送者的真實身份或簡訊內容。 密碼保護還需要持卡人注意不要設定簡單的密碼。如不要採用類似“123456”的簡單數字組合、自己或親人的生日資訊、電話號碼。此外,還注意支付終端的安全性,如不要在公用網咖進行網上支付、在支付終端上安裝反病毒、反木馬軟體。同時,還要注意在其它場所支付輸入密碼時不輕易為他人偷窺、攝像等,不要將密碼記錄在被人容易看到的紙片上。 支付密碼能輕易為攻擊者騙取、竊取或破解,更為一個重要的原因是支付密碼本身缺乏一定的防攻擊、防竊取能力。由於密碼通常是字母、數字的簡單組合,屬於低安全強度的保護機制。如採用數字證書代替或補充支付密碼就是一種更有效方式。因此,持卡人進行網上支付最好選擇使用採用數字證書安全機制的支付方式。