财付通
组织架构:腾讯集团设有安全中心,财付通下设风险管理部和合规部等。
系统安全:符合央行标准的安全系统、风控系统和资金管理制度。
安全产品:动态口令卡、财付盾、数字证书、短消息验证码、安全控件、电子令牌、登陆问候语、担保交易等。
信息安全服务:资金变动短信通知、QQ邮件通知、实时QQ管家提醒。
赔偿机制:引导用户报案,遇到钓鱼用户及时反馈可拦截并退款,责任赔偿机制。
安全宣传:专门网站安全提醒页面、QQ提醒宣传、交易安全介绍。
安全合作:主要与QQ管家、腾讯安全中心以及金山合作,同时与业界和监管层合作。
分析简评:财付通的主要优势就在于其依靠腾讯强大的系统,腾讯安全中心、QQ管家对风险的预警都有着重要作用,不过财付通在自身资源投入和安全合作方面存在提升空间。
快钱
组织架构:专设风险管理部、合规部、安全中心和内部审计部四个一级部门。
系统安全:符合央行标准的安全系统,每年第三方独立机构检测和评估,风险监控平台。
安全产品:安全控件、口令卡、快钱盾、数字证书、第三方数字、消息验证码等。
信息安全服务:资金变动短信通知、邮件通知,后台监控服务。
赔偿机制:过错赔偿机制。
安全宣传:专门网站安全提醒页面,交易安全介绍以及安全主题活动。
安全合作:与银行、安全生产商合作。
分析简评:快钱在资源投入和安全宣传方面较为突出,其采取线上线下的安全宣传教育,更加有利于用户加强对支付安全的重视。不过,在安全合作和组织架构对安全的重视存在一定的不足。
汇付天下
组织架构:专设副总裁负责的风险管理委员会以及风险管理部、合规部两个一级部门。
系统安全:符合央行标准的安全系统、风控系统和资金管理制度。
安产产品:口令卡、U盾、文件证书、短消息验证码、安全控件、电子令牌、二次认证等。
信息安全服务:资金变动短信通知、邮件通知、异常情况人工提醒。
赔偿机制:合同约定,过错赔偿机制。
安全宣传:专门网站安全提醒页面,交易安全介绍。
安全合作:与银行、安全生产商合作。
分析简评:汇付天下在组织架构上对安全较为重视,但是在安全宣传和安全资源投入上有待提升。采用二次验证,可以一定程度防止钓鱼网站的欺诈。
易宝支付
组织架构:管理中心下设风险管理部和合规部,运营中心下设信息安全部。
系统安全:符合央行标准的安全系统、风险系统,通过PCI认证、国家信息安全认证。
安全产品:动态令牌、易宝盾、数字证书、安全控件、验证码、电子令牌、多因子密码验证、风险监控系统等。
信息安全服务:资金变动短信通知。
安全宣传:公司网站安全中心宣传,安全厂商等联合宣传等。
安全合作:与银行、安全生产商合作。
分析简评:在安全资源投入和联盟合作具有一定的优势,但是在组织架构对于安全的重视不足。同时,其为商家提供了可定制化奉献解决方案服务,这点比较突出。
环迅支付
组织架构:专设风控部、合规部和客服部三个一级部门。
系统安全:符合央行标准的安全系统、风险系统和资金管理制度。
安全产品:安全控件、动态口令卡、数字证书、验证码等。
信息安全服务:资金变动短信通知、邮件通知。
赔偿机制:过错赔偿机制。
安全宣传:专门网站安全提醒页面以及315投诉网站宣传等。
安全合作:与银行、安全生产商合作。
分析点评:环迅支付在各项指标上并没有突出表现,不过其利用国际技术,自主研发了反欺诈系统。
支付企业存在的问题
虽然支付企业在支付安全上下了不少功夫,投入了大量的人力物力等资源,但是,目前支付企业在支付安全上仍然存在着一些问题有待解决和提升。根据中国金融认证中心介绍,可以看出支付企业存在以下问题:
承载支付业务的IT系统存在漏洞:一是开发运营环境方面,包括开发测试环境同生产环境未严格分离;数据未经清洗即交由开发测试使用;系统版本变更流程界面不清晰。二是IT系统基础环境方面,包括身份验证薄弱;逻辑访问控制不严;应用身份鉴别机制存在缺陷;WEB安全引起的服务器被攻击及前端用户敏感信息泄露;数据存储及备份安全。
互联网支付本身业务控制薄弱:数据分级控制不严格导致用户敏感数据外流;促销活动功能模块逻辑不严格引发的漏洞;涉及线下票据处理的状态不一致。
开展支付业务公司管理控制存在疏忽:客户备付金管理无审核控制机制;差错处理流程无审核控制机制;商户审核及风险分类机制不够健全。
用户主要面临的安全问题
虽然银行和第三方支付企业采取了多种安全措施对用户进行安全保障,然而,在支付交易过程中,安全事件频繁。目前,主要的问题有以下几类:
遭遇木马,盗取密码:使用户感染综合性木马,综合性木马具有屏幕查看、远程控制、键盘记录等功能。黑客利用键盘记录功能记录账号,密码、交易密码,再利用远程控制功能操纵用户计算机进行转账。
钓鱼网站,诱骗支付:不法分子冒充卖家,在用户准备交易时谎称网络有问题,发给用户一个网址链接,用户点击该链接后往往与支付页面类似。用户在该页面进行支付后,卖家说没有收到付款。当用户从通过正常登录网银查询时,也没有显示付款信息。实际是不法分子通过钓鱼网站,诱使用户支付到其他账户,导致资金损失。
冒充客服,骗取信息:不法分子冒充客服或卖家,诱使用户登录钓鱼网站,获取用户名、密码、安全保护问题及答案,然后利用安全保护问题及答案撤销手机绑定,同时避开手机动态口令限制,或者获取用户手机动态口令,盗取资金。
U盾不拔,远程监控:用户使用完U盾,尤其是在公共电脑支付完后,没有及时拔出支付盾,被不法分子远程控制“借用”。
QQ求助,贸然支付:利用用户对好友的熟悉信任度,盗取QQ、MSN、阿里旺旺等即时通信号码后发送求助信息,要求汇款或支付资金,用户没有核实是否本人后就使用网上支付进行资金传递。或者通过QQ发来有危险的链接,用户由于对好友信任,贸然点击遭遇钓鱼网站或者木马病毒。
扫二维码,暗藏玄机:二维码木马诈骗是2013年新出现的一种诈骗方式,不法分子冒充买家,以订货等要求给卖家发送二维码,卖家一旦扫描二维码就中了木马,手机收到的各种验证码短信都会被拦截,并发到不法分子手中,从而盗刷。(理财周刊)
