移动支付欺诈手法演变与应对

客户世界 | 2019年10月30日 | 客世原创 | 评论已关闭 | 1453

近年来，移动支付越来越成为人们生活中不可或缺的一部分，手机NFC支付与二维码扫码支付是人们生活消费的首选支付方式，ETC支付也成为了高速付费通行中司机们常用的支付手段。

一、移动支付发展背景

移动支付是终端设备和移动通信结合的产物。随着智能手机的推广普及，4G网络的全覆盖以及互联网金融的蓬勃兴起，移动支付已然打破了时空障碍，极大改变了人们的消费习惯和支付方式，很大程度上促进了社会资金流动和消费行为的发生，让带部手机行天下成为可能。

与此同时，支付模式、支付参与主体的日趋多元化，对支付业务风险防控提出了新的挑战。近日，中国银联发布了2018年移动支付安全调查报告，我国移动支付用户规模已达5.7亿，而欺诈风险呈多发态势，其中发送钓鱼链接骗取银行卡信息，伪基站短信诈骗，以信用卡套现为由骗取验证码等信息，扫描不明二维码，连接不明WIFI导致信息泄露，均为2018年网络欺诈主要形式。

二、移动支付欺诈的演变

广大移动支付用户，在享受移动支付的便利与快捷时总是会忽略安全方面的问题，同时某些商户与支付平台为了提高用户体验的便捷性，也往往会减少安全性验证的环节，从而导致不法分子有机可乘，将移动支付的漏洞转化为其获利的渠道。随着用户的安全意识的逐步提高，移动支付中的欺诈手段也开始由盗转骗，即从早期的在客户不知情的情况下完成资金盗窃转变成现在通过多种诈骗形式，让客户自己将资金或者将关键信息交给不法分子。

1.暴力拆解，撞库导致的传统欺诈风险

移动支付在支付过程中，需要用户完成登录，选择支付产品以及输入支付密码这些流程。当用户的在支付APP上的用户名，登录密码及支付密码泄漏后，不法分子便可对用户资金造成威胁。同时，由于部分第三方支付商户为了提升用户支付的流畅性，使用了小额免密策略，使得当客户的登录信息被人掌握后，便会在不知不觉中被不法分子盗刷资金。

缺乏安全意识的用户往往在多个社交平台或论坛中使用相同的用户名与密码以图省事，或者使用手机号或者生日这样的简单密码，由于不同平台的安全防控能力不同，往往会导致当一个平台的用户信息被暴力拆解或撞库成功后，该用户的绑定的银行卡及其余产品甚至资金均会被盗用盗刷。因此在这个信息泄露频发的时代，移动支付的传统欺诈风险不可忽视。

2.木马，钓鱼，二维码技术导致的新型欺诈风险

对于不法分子来说，仅仅使用撞库或者等待平台漏洞对用户信息进行窃取是缺少效率的，因此他们开始通过各种手段诱骗正常用户，让用户主动将重要信息提供出去或者直接支付到不法分子控制的账户上。而随着移动支付技术的不断发展，欺诈分子的诈骗途径与手段也越来越多。

（1）手机木马

木马程序一直是活跃于网络世界中的一种病毒，它具有极强的隐蔽性和传播性，随着智能手机的发展，手机木马的危害已经超过了电脑木马。当手机被感染木马后，它将盗取用户个人私密信息，并且病毒还可以静默联网、静默删除和发送短信,常见的方式是将用户的验证码信息转发到另一终端,实现对用户资金的盗用。而为了让用户感染到木马病毒，不法分子便会通过各种社交手段让用户点击伪装好的病毒链接，例如借助伪基站群发的积分兑换、信用卡提额短信将链接包装成正规网站；或是通过各种app像QQ、微信、淘宝，假装用户亲友或者卖家客服给用户发送伪装成支付订单或者聚会相片的病毒链接。

（2）钓鱼WIFI

随着网络成为人们生活中不可或缺的一部分，WIFI也成为了众多人出行时时刻关注的东西，到哪里总是先看看有没有免费WIFI可以蹭，殊不知公共场所中许多免费WIFI都是不法分子设计好的陷阱。当用户连接WIFI并尝试登录相关支付软件或网站时，钓鱼WIFI在传递信息的同时还会将其中内容同时传输给不法分子，使得支付信息一览无余。同时，钓鱼WIFI也可以通过篡改DNS的方式使用户登录正规页面时跳转至钓鱼网站，一步步窃取用户的资金。

（3）恶意二维码

随着扫码收付款的支付方式广泛被人们所认可，二维码支付带来的风险也难以忽视。二维码作为是一种全新的信息存储、传递和识别技术，却有着以下几个风险点：

一是二维码可视化风险。二维码的可视化具有较强的传播能力，但对二维码背后的实际信息，人眼并不具备识别能力。不法分子易通过手机病毒的方式截屏盗取或欺骗获取用户付款码，或四处张贴伪造商户或服务设施的收款码，非法获取资金。例如在扫描共享单车开启码时，莫名的向陌生人发起了支付；同时，不法分子可以在与用户的交易中，提供与商定金额不符的二维码进行收款，往往用户在扫码支付后不会观察实际金额，从完成非自己意愿的支付，导致资金损失。

二是易携带恶意代码的风险。二维码不仅可用于支付，也可用于储存恶意程序代码、非法链接等内容，真伪难以直观区分。用户常常会因为扫描恶意二维码而自动下载木马病毒或进入钓鱼网站，从而导致用户遭受木马或钓鱼攻击，遭受信息以及资金的损失。

三是信息单向交互的风险。二维码支付只能实现发起方或接收方的单向验证，不法分子若劫持客户与商户之间、商户与后台之间的通信网络，截获并恶意修改订单等交易信息，导致扣取金额与订单金额不符，易造成用户资金损失。

四是扫码设备安全强度低的风险。二维码支付对识别设备要求低，且这些设备一般无加密、防拆机等安全功能，容易被不法分子侵入并设置恶意程序，使收款设备在扫码收款时按不法分子的设定向指定账户支付指定金额。

五是二维码制造门槛低。二维码的码型都是开放的，当前二维码制作工具随处可见，任何人都能轻而易举地制作。不法分子可以以极地的成本制作恶意二维码，使用户扫码后接入隐藏在二维码背后的假链接、假网站，就可以通过网站非法骗取资金、盗取身份信息等。目前二维码市场缺少安全技术手段对手机扫码进行管控，也极难追溯源头，在应用层面处于无人监管的状态。

三、移动支付欺诈风险的防控手段

由于不法分子的欺诈手段不断升级，原有的以账号、支付密码、短信验证码组成的安全策略已难以应对移动支付产业发展所带来的欺诈威胁。在面对海量的移动支付欺诈威胁，各个金融机构都需要积极因对，要有效地打击移动支付欺诈行为，必须全社会多方联动。

1.生物识别技术——加强认证工具

对于信息泄露的移动支付欺诈风险，往往是不法分子通过获取用户的用户名、密码以及短信验证码等关键信息以完成支付环节，由于随着不法分子的技术手段的更新，原有的支付认证手段难以满足需求，因此金融机构应加强认证手段以强化用户身份鉴别。

现阶段，生物认证手段较为成熟。指纹、虹膜、面部识别等生物特征识别技术与传统的身份鉴别技术相比，基于人体生物特征识别技术的安全性有一定保障。一方面，指纹识别器以及高像素摄像头在智能手机上的普及，生物信息的采集与比对可以广泛被用户使用；另一方面，生物识别技术认定的是人本身，由于每个人的生物特征具有与其他人不同的唯一性和在一定时期内不变的稳定性，不易伪造和假冒，可以有效避传统短信验证手段因钓鱼、木马伪基站而造成的验证码被窃取的风险。

2.大数据分析——构建行为档案

移动支付的欺诈事件中，客户的当笔交易行为往往异于以往行为习惯。因此，金融机构需多来源采集的多维度数据，通过大数据分析技术对客户长期的行为进行分析，建立内外部统一的客户行为档案，包括客户的合约信息，常在地理位置信息、常用终端信息、惯有交易行为等数据，并可结合生物探针技术将用户使用手机时的力度变化和屏幕轨迹变动习惯作为行为档案。通过一户一档的客户行为档案直接作为用户支付的风险评判标准之一，以精确识别出非本人登录及支付行为或非客户个人意愿支付的风险场景。

3.人工智能——精准风控策略

金融机构在收集到足够多的维度特征以后，便可通过人工智能技术构建风险识别模型，通过从各渠道获取的风险事件及相关样本数据中提取的风险特征，转化为智能模型可识别的风险因子，并依靠应用神经网络、随机森林、知识图谱等先进算法，对动态数据进行风险侦测，识别其中交易，配合传统专家规则，能够大幅提升欺诈风险防控效率。

4.完善法律法规——加强追责力度

我国的移动支付起步晚，相关法律法规和制度体系建设都不完善。为了使移动支付健康发展，央行、工信、公安等相关部门要结合我国移动支付发展的情况，进一步明确移动支付的准入监管政策，积极支持移动运营商接入公安部公民身份信息核查系统，促进账户实名制的落实，实现风险预防端口前移。

同时，应对不同移动支付产品，针对性地出台相关法律法规，制定移动支付服务市场准入和退出制度，例如对二维码以及公共WIFI的管理条例与追责办法。加大对网络犯罪行为的打击，并且制定专门的法律，为依法严惩犯罪分子提供必要的法律保障，确保移动支付业务的健康发展。

5.深入产业协作——构建联防联控生态圈

由于移动支付流水信息往往由第三方支付机构收集存储，同时检测到的风险也仅由当前机构进行拦截，无法影响其余机构的交易。对此应当加强移动支付产业涉及机构的数据交互与理念交流，统一安全标准、技术手段与业务规则，进一步完善信息共享机制。同时在风险处置方面建立系统级跨机构联动资金追索，提升资金追索效率。从而避免各机构各自为战的窘境，提升整体行业的欺诈防控水平，构建联防联控生态圈。

移动支付在支付市场上占据越来越重要的地位，其中所包含的风险需要认真对待，各金融机构必须严格地坚持合规操作，妥善地平衡安全性和便利性，动态地对抗欺诈行为，并且与相关部门形成风控安全方面的联动机制。只有这样，才能不断净化互联网金融的空间，使之更好地服务于国民经济。

作者程融；单位为建行合肥电子银行业务中心；

本文刊载于《客户世界》2019年10月刊。