未来移动支付犯罪探究及预防

商红云

（湖北警官学院侦查系，湖北武汉430034）

未来移动支付犯罪探究及预防

商红云

（湖北警官学院侦查系，湖北武汉430034）

移动支付成为电子商务不断发展的有力推手。我国目前移动支付正处于上升时期，移动支付规模不断扩大，各种移动支付犯罪也层出不穷。未来移动支付犯罪主要从基于移动网络支付系统的诈骗APP和支付公司用户数据泄露与支付公司内部员工违法违规操作两个方面进行，移动支付犯罪的预防需要建立相应的准入制度和标准，设置非法诈骗App的防火墙，需要支付相关联企业加强内部制度建设以及强化对数据安全的控制。

移动支付；APP准入标准；数据安全

移动支付（Mobile Payment），是指用户使用其移动终端（手机、平板等）对所消费的商品或服务进行账务支付的一种服务方式。移动支付将移动终端设备、互联网、应用提供商以及金融机构相融合，为用户提供货币支付、缴费甚至虚拟物品交易等金融业务。

一、我国移动支付的现状以及犯罪模式

（一）我国移动支付的现状

目前，移动支付成为我国电子商务不断发展的有力推手。各种电商根据不同的购物人群，开发出了众多的网络购物支付方式，例如网上购物并利用网上支付工具付款。随着社会对网络支付便捷性的认可，移动支付的实际成交金额不断扩大，例如2013年淘宝“双十一”的总交易额达350.19亿，相当于当年9月份中国社会零售总额的一半，支付宝成功支付1.88亿笔，其中无线移动支付达到4518万笔，最高每分钟支付79万笔；基金理财产品的支付宝总成交金额9.08亿元；而在2014年的“双十一”，淘宝的这一数据总额则增长到了571亿，移动端交易额达到243亿元[1]。移动支付被誉为未来网商利润的增长点，具有强大的便利性，各大商家积极进行网络支付产品的开发和推进。短短几年时间，支付宝、微信支付、京东支付等第三方支付，以及传统金融机构网上移动端支付迅猛发展。移动支付的发展潜力巨大，电信运营商、互联网企业、支付厂商、银行等纷纷进军手机支付领域，推动产业发展壮大。尤其随着手机APP应用的日益丰富，移动支付的功能也在不断推陈出新。例如，支付宝、财付通等推出第三方支付、各大银行争相推出手机支付客户端，二维码支付、指纹支付、扫码支付、语音支付等支付方式层出不穷，将购物、理财、生活服务等交易类应用与移动支付相嵌套，大大丰富了移动支付的市场应用环境。

移动网络支付在方便了社会大众购物和理财的同时，也给一些不法分子造成了可乘之机，一些专门针对移动网络支付的犯罪行为正在不断涌现。2014年3月份曾经出现过连续几起扫描二维码感染病毒、手机钱包账户被盗、钱财损失的事件，移动支付安全问题不容忽视。在2014年国庆前夕，广发银行就针对网络支付对广大消费者发布了一个提醒：《广发银行温馨提醒：谨防网络支付常见七大骗局》[2]，对扫二维码、虚假客服、账户密码安全、网络社交陷阱、恶意公用WiFi和低价陷阱等七种网络支付诈骗做了提醒。社会大众对这些比较常见的网络支付犯罪已经有一定的认识，只需要在移动支付的时候注意识别、不贪图小利就可以预防。

（二）我国目前移动支付犯罪模式

总的来说，我国目前移动支付犯罪的模式主要有以下几种：

1.利用手机病毒拦截支付验证信息，再利用第三方快捷支付功能进行盗取。央视《每周质量报告》就曝光了一起典型的移动支付诈骗案例：受害用户不小心扫描到恶意二维码，中了木马病毒，“短信盗取”木马病毒可以盗取用户接收到的所有短信，包括银行、支付宝等发来的验证信息。不法分子截取验证码短信后，就可以修改支付账户的登录密码和交易密码，从而窃取用户支付宝和绑定银行卡内的资金。广东、江苏等地警方也相继破获多个手机木马欺诈犯罪案件。该类案件中，不法分子利用微信等平台的身份认证漏洞，通过伪装APP、发送微信图片和二维码等方式把手机木马软件植入用户手机，并通过劫持手机短信、账户信息等方式最终达到盗窃用户账户资金等目的。

2.欺诈短信链接“钓鱼”网站，非法获取用户支付信息。此类诈骗手段多是首先向智能手机用户发送中奖短信，或是“钓鱼”广告，用户只要点击，就立即链接到“钓鱼”网站，然后采取各种诈骗手段直接套取受害人的支付账号和密码，盗窃其账户中的资金。

3.克隆、假冒移动支付终端。这类模式主要是在一些非官方的移动应用市场，设置一些类似于“钓鱼”的虚假移动应用，骗取用户的支付信息，从而盗取用户的资金。

4.通过QQ、微信、阿里旺旺等与支付相关联的及时通讯软件骗取用户的支付信息，从而盗取用户的资金。

5.冒充官方客服，骗取用户支付信息，盗取用户资金。

6.利用相应企业和公司的信息泄露，获取用户个人信息，然后结合以上五种方式，对用户进行移动支付诈骗。

二、未来移动支付犯罪的途径

随着科技的进步，移动支付也会变得更加便捷，但是正如一个硬币有正反两面，移动支付犯罪的技术也会随着科技的发展而提升，并且犯罪方式会更加隐蔽和难以预防。基于目前软硬环境的设定及其发展，未来移动支付犯罪的途径主要有以下两种：

（一）基于移动网络支付系统的诈骗APP

网络支付特别是目前风头正劲的移动支付与网络技术的发展息息相关。移动支付依附于各银行自有的网银系统和现行的三大手机操作系统：苹果公司的iOS、谷歌公司的Android和微软公司的WindowsPhone。这三大手机操作系统针对移动支付，都有各自的解决方案，但都是依托于各自的APP（APPlication）应用规范。三大手机操作系统为了吸引用户，对各自的APP开发都制定了公开的开发规范，三大手机系统的官方APP市场非常规范，任何人都可以依据相应的手机操作系统开发APP应用并上传至相应的应用市场。三大手机系统的官方APP市场对开发者制作的APP要进行审核才可以上架，原则上，官方APP市场里面的各种应用都是安全的，不会对移动支付有什么影响。由于APP开发是开放的，任何人都可以开发特定目的的APP，因此专门针对移动支付诈骗的APP有可能被开发出来。具体来说，可以分为以下两类：

1.嵌套官方应用的APP

目前国内各大移动支付机构均开发有相应的官方APP应用，如支付宝、财付通以及各大银行的APP等等。此类APP好比现实生活中的ATM取款机，用户输入相应的信息即可进行各种金融交易。针对传统的ATM取款机，有一种诈骗手段是在真正的ATM机器上套上一个收集数据的设备，该设备类似于ATM机器的外壳，用户在这种套壳ATM机器也可以进行真正的取款或是转账的操作，但是用户的银行卡的信息就被截收盗录了（包括账户信息、取款或是查询密码等），犯罪分子可以用取得的信息复制用户的银行卡，进而盗走用户的资金。这种针对传统ATM机器的犯罪，实施的限制条件比较多，例如，需要ATM机器无人值守，银行不会频繁检查等等，所以这种犯罪方式一出现，各大银行纷纷采取补救措施，加大对ATM机器的巡查和检查或是将ATM机器设立在银行可以监控的范围之内等等，因此，此类型的犯罪行为在银行有了一定的防范意识之后，就没有流传开来。

移动支付的目的是为了让用户能随时随地地使用、而且各大支付机构的APP都很容易地获得，因此，在移动支付活动中APP适用成为交易中的关键环节。根据上述针对传统ATM机器的犯罪形式，犯罪分子可以开发一个APP套嵌或依附于正版的支付APP，通过非官方的渠道进行传播，例如可以通过病毒后台安装或是发布一些非法二维码，用一些优惠或是低价商品引诱用户安装，从而获得用户的各种数据进而骗取用户的资金。而这些披着官方移动支付应用的诈骗APP，一般用户是完全无法识别的。

2.自动截获用户获取的移动支付的验证信息或确认信息并上传至指定接受端的APP

当今大部分移动端的支付APP，在登陆时或是在支付时都要求输入确认信息，这些确认信息有的是为了验证用户使用设备的合法性，有的是确认支付的，有的是确认用户信息的。此类验证码或确认信息有两种类型：一是通过用户移动设备发送一条确认短信获得的回执信息，二是用户自设的密码。移动支付犯罪分子主要针对的就是这两类的确认信息和验证码。类似于台式电脑的密码盗取软件，一些犯罪分子也有可能开发一种专门盗取用户验证码或确认信息的APP。这种APP配合一些在线上或是线下获得的用户的基础支付数据，就可以顺利地盗取到用户电子账户的资金。已经有一些迹象反映出这类APP的危害，在安卓系统里面已经出现了一些在后台运行的可以记录用户操作行为的进程，一些大型公司的产品甚至默认会收集用户的操作过程数据，例如小米公司的手机系统，在特定情况下会自动记录用户的某些操作数据并上传到指定的服务器；例如，在2014年7月11日中央电视台新闻频道（CCTV13）播出的“新闻直播间”栏目中，央视报道称苹果公司iOS系统会记录用户曾去过的地点，有泄露用户隐私的可能。

以安卓系统为例，用户在使用中国民生银行的官方移动客户端时，如果用户使用的是预留手机操作，民生银行的客户端可以直接读取客户的短信并自动填写支付确认信息，当然官方应用的目的是为了方便用户，节约用户另行查看短信并输入验证信息的时间。这种类似的技术很多官方支付APP已经在使用，可见APP截获移动设备内的短信信息已经不是一个难题。如果这些技术和方式被黑客成功掌握并加以利用，并开发出自动截获用户的移动支付信息的APP，通过病毒或是恶意安装程序在用户的移动终端上安装，盗取用户的各种身份验证和确认信息并上传至指定接受端，相关支付危机爆发的可能性将大大增加。

（二）支付公司用户数据泄露与支付公司内部员工违法违规操作

这个世界没有完美的事物，移动支付系统也一样。2014年3月22日下午18:18分，乌云漏洞平台发布消息称，国内的携程系统存在技术漏洞，可导致用户个人信息、银行卡信息等泄露[3]。据彭博社2014年10月3日消息，摩根大通周五（2014年10月3日）表示，公司电脑系统最近发生数据泄露。此次数据泄露将影响7,600万家庭和700万小企业。被窃取的信息包括客户姓名、地址、电话号码和电子邮箱地址，此外与这些用户相关的内部银行信息也遭到泄露。但是摩根大通表示，目前还没有证据显示客户的账户信息，包括账户号码、密码、用户名、生日和社会安全号码在此次攻击中被窃取。2015年5月一家全球知名成人约会网站AdultFriendFinder的用户信息也被黑客窃取，390万用户的个人详细信息，包括电子邮件地址、用户名、邮政编码、生日、IP等信息被泄露。支付公司及其关联系统的数据泄露对网络支付安全的打击是非常巨大的，特别是如果一些不法之徒利用这些数据，结合本文第一点中提到的APP，将会给广大移动支付用户带来非常巨大的损失。

支付公司内部员工的违法操作也是移动支付的一大危机。例如，1992年巴林银行的内部人员违法违规操作导致巴林银行倒闭的事件[4]，对移动支付公司有很大的借鉴意义。如何制定严格的操作流程，尽可能地规避公司内部运行和操作的弊端，将是未来移动支付公司的一项重大课题，如果这类问题不解决好，未来将会出现若干起类似于巴林银行倒闭事件而且还会严重影响个人用户的移动资金安全。

移动支付相关公司的数据泄露，一般来说，不会直接对移动支付造成影响，但是如果结合前述第一点中的两个诈骗途径，将会对移动支付造成非常大的危机。国内现行移动支付一般的支付安全保障主要通过两个方式同时验证得以实现，其一是实时的移动支付验证，主要通过短信来实现；其二是用户在支付公司注册时预留的支付密码或是支付信息。移动支付公司数据泄露主要针对第二点：用户在支付公司注册时预留的支付密码或是支付信息，如用户的姓名、身份证号码、账户名称、支付密码等等。而且，由于现在已经进入网络时代，很多用户为了方便，将自己多个注册密码设为同一个，所以即使非移动支付的企业或是网站的用户数据泄露，也会对移动支付安全造成非常大的危险。例如，前述的成人约会网站Adult FriendFinder的用户信息被黑客窃取，390万用户的个人详细信息，包括电子邮件地址、用户名、邮政编码、生日、IP被泄露，如果犯罪分子再通过一些诈骗APP获取到了用户的实时支付验证信息，盗取用户的资金简直是易如反掌。

以上两种类型的移动支付危机以及其引发的犯罪行为，已经引起很多网络技术人员对其从技术上进行论述及探讨，但是并未引起犯罪预防和侦查人员的重视。

三、未来移动支付犯罪的预防

当前，移动支付犯罪正成为越来越多犯罪分子首选的犯罪途径，例如，和移动支付犯罪密切相关的网络和电话诈骗案件就充分利用了移动支付的便捷手段，快速转移诈骗所得资金。移动支付领域，由于具有较高的进入门槛，所以目前犯罪发案率并不是很高。但是随着社会的进步，移动支付科教的普及，此类型的犯罪将同网络和电话诈骗案件一起，给社会造成巨大的损害。为此，我们需要未雨绸缪，从以下两个方面进行预防：

（一）要制定相应的移动支付准入标准和审核机制，设置非法诈骗APP的防火墙

针对本文提出的移动支付犯罪APP的出现，我们应从源头上对其进行预防。应该从多个渠道设置隔离非法诈骗APP的防火墙:国家应该制定相应的移动支付准入标准，并制定相应的审核机制；公布官方的移动支付指南及安全的移动支付软件的名录，从源头上遏制各种移动支付犯罪软件及APP出现的机会；规范各种软件市场的进入及发布流程，严格制止各种非官方的软件市场的经营，及时公布各种非法诈骗APP的详细情况等。国家对移动支付犯罪应有足够的重视以及前瞻性，要加强移动支付技术层面的信息安全研究，移动支付相关各方要始终把信息安全问题放在首位，及时保证资金和信息安全，尤其是国家层面要有专门的机构来协调移动支付安全研究的事宜。同时，移动支付连接多个网络、包含多个平台，只有整合运营模式，做到数据共享、安全措施相互配合，各参与主体才能充分发挥作用，共筑安全屏障，避免发生目前电信和网络诈骗犯罪造成的严重社会后果。

（二）移动支付相关联企业必须加强内部制度建设以及强化对数据泄露的控制

正如社会的和谐运行需要道德和法律的双重保护，支付系统漏洞和违规或失误操作需要相关的支付公司从公司内部管理制度和系统软件安全的双重角度进行相互协作，才能把不可预见的损失降到最低。从技术上来说，这个世界没有完美的数据系统，任何数据系统都存在被攻破以及数据泄露的可能，但是我们可以从公司内部制度设置来尽可能地克服这些危机的出现，如同公司账务的处理遵循相互制约、相互监督的制度设计，数据安全的监管及控制也应设计相应的流程，制定相应的应急预案，结合数据安全的特点，做到既有监控，又可及时处理突发事件。此外，移动支付公司，应当加大对数据安全的科技资金投入，及时升级优化系统，做到防患于未然。

移动支付犯罪行为的形成和实施，也要有诸多要素的紧密配合。本文所提及的两种犯罪途径，如果引起国家和相关移动支付机构的重视并设立相应的对策，将会有利于遏制和打击移动支付犯罪，并且会对其他相关电信及网络诈骗案件起到很好的遏制效果。

[1]周裔斌.2014年淘宝双11数据571亿[EB/OL].http://club.1688. com/article/55725625.html.

[2]新华财经.广发银行温馨提醒：谨防网络支付常见七大骗局[EB/ OL].http://news.xinhuanet.com/fortune/2014-09/29/c_1270495 25.htm.

[3]i黑马.烫手的大数据：携程为何泄露数据？[EB/OL].http://tech. 163.com/14/0323/11/9O15CIG500094ODU.html.

[4]百度百科.巴林银行事件[EB/OL].http://baike.baidu.com/view/ 96297.htm?fr=aladdin.

DF792.6

A

1673―2391(2015)12―0106―04

2015-09-07 责任编校：周文慧