网络金融业务中的账户安全风险与商户操作不当相关

网络金融业务的使用，都必须通过账户登录进行，账户关系到客户资金的安全，一旦账户被盗或者有安全隐患，将带来巨大的风险。

(一) 账户信息外泄风险

网络金融用户使用服务功能时，一般都要通过账户登录的方式，其中账户账号、密码口令等都是登录账户的关键。一旦用户的账户有关信息被他人获得，那么就有巨大的安全风险。从账户信息外泄的情况来看，大致有这样两种情况:一种是用户本人原因造成信息外泄，一种是网络犯罪活动盗窃用户账户信息。

1. 用户本人原因造成的信息外泄

在账户使用过程中，用户有责任对自己的账户信息进行管理，保证其不为他人获知而导致账户被非法操作，造成损失。用户必须使用安全程度较高的密码以降低密码被破解的可能性，网络金融的服务商目前也提高了密码登录的程序要求，设置严格安全认证机制。但是，部分用户对此重视程度不够，设置比较容易记忆的密码，甚至用身份证号码、电话号码、家人生日等信息，这样很容易被破解，导致账户信息的外泄。有些用户的一些习惯也是账户信息容易外泄的根源，如用户将账户账号、密码等记载在笔记本等载体上，并不慎丢失，被他人获取后顺利登录账户进行操作，造成资金被转、恶意支付等一系列后果。有些用户习惯在计算机里的文件夹保存一些私密信息，如账户号、密码等，一旦外部入侵者进入计算机系统，则这些信息将外泄无疑。一些用户习惯在计算机上保留上网登录密码，以便再次登录时可方便进入，这种行为的危险性已经众所周知，黑客可以轻松地通过cookie得到账户信息。用户的一些不经意行为也可能造成账户信息外泄，如更换计算机时，往往将旧机随意处理，这样硬盘里的信息很可能被买家获取，使用硬盘恢复技术可以很方便地把已经格式化的数据恢复，包括用户过去的很多隐私信息也因此暴露，可能带来严重后果。

2. 网上商家技术原因造成用户账户信息外泄

在电商行业，用户使用信用卡支付后，商家在将CVV2等敏感信息提交到具体的发卡行之前，普遍做法是将其信息暂存是电商的服务器上，否则支付过程中无法将有效参数传递到发卡行。根据支付卡产业数据安全标准(PCIDSS)的规定，CVV码的信息在商户是可以暂存的，其安全性由商户保证。其具体规定主要有两点:①用户在商户提交信用卡支付成功后，商户必须立即将CVV码信息删除;②若提交信用卡支付未成功，商户可以将CVV码信息保存7天后清除。企业针对CVV码的普遍做法都是暂存但不保留，但这些规定却并没有得到严格遵守，所以信息外泄的可能性客观存在。根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期等信息。而目前市场上的商家很多实际上都是越规操作，因此给用户的账户信息带来巨大的风险。

2014年3月，乌云平台连续披露了旅游电商龙头企业携程网的两个安全漏洞，称由于携程开启了用户支付服务接口的调试功能，导致携程安全支付日志可被黑客任意读取。安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(如招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。一时举国震惊，人们纷纷质疑的同时，对电商的安全性担忧升级。

案例

携程被曝存支付漏洞泄漏用户信用卡信息

1. 乌云:银行卡信息或被黑客读取

据乌云平台称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)，上述信息有可能被黑客读取。

2. 携程:尚未发现客户信息泄露及损失

携程方面在得知该消息后，立即展开了技术排查并在消息发布两个小时内修复问题。可能受影响的为3月21日与3月22日的部分交易客户，如果有用户因该漏洞造成财产损失，携程将赔偿损失。

3. 影响:用户被建议及时更换信用卡

携程旅行网作为在线旅游市场份额最大的服务商之一，上述漏洞的影响范围也较为庞大。用户信用卡信息泄露，并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标，这都是常识。有分析认为，存储用户CVV是不合理的，此次漏洞问题将对携程的品牌有所影响。有网友建议，使用信用卡在携程上进行过支付的消费者，应该立刻更换信用卡。

资料来源:新京报［N］.2014年3月23日。

3. 网络犯罪行为盗取用户账户信息

这种情况是目前比较普遍的，形式多样，后果严重，给用户造成的财产损失往往较大。据日本共同社报道，日本网上银行(Japan Net Bank)2012年发布的调查结果显示，约20%网上银行用户曾经遭遇账户信息泄露等非法行为的侵害或危险，19.4%的回答者表示曾在使用网银时遭到某种损失或危险。其中，9.3%的回答者曾收到“钓鱼邮件”;6.4%的回答者曾因“感染病毒”而丢失个人信息;“个人信息和账户信息遭泄露”和“存款遭非法提取”的回答者则分占4.9%和0.9%。目前部分智能手机误装的一些恶意应用，也会在后台拦截信息威胁支付安全。

像“灰鸽子”类的病毒，就是一个集多种控制方法于一体的木马，一旦用户电脑不幸感染，用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。“灰鸽子”甚至已经形成完整的产业链模式，危害极大。

“网络钓鱼”一般是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式。“钓鱼网站”通常伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行账号、密码等私密信息。目前，“钓鱼程序”在即时通信客户端也大肆活跃，QQ就出现过多种钓鱼程序，微信、二维码支付也屡屡曝出发生钓鱼攻击事件。

另一种名为“支付鬼手”的木马病毒则会将网购账号、密码，以及支付密码通过短信暗中发送至目标手机，同时诱导用户安装木马子包，截获用户收到的包含验证码在内的所有短信，一旦掌握了这些数据，用户支付账户内的资金将被不法分子洗劫一空。网银目前使用的复杂的安全机制，也不是铁板一块，在一些黑客高手面前，同样是不堪一击。

案例

网银安全机制原来不是超级安全(www.xing528.com)

国内某商业银行目前使用的是一种一次一密的设计，在理论上是很安全的，这种设计曾经被网游代理商“第九城市”广泛使用，并号称安全性极高，但是利用“酷狮子”这类软件就能破解。该行口令卡采用的是一张8×10的数字坐标图形卡，每一组数字对应不同的坐标，而每一张矩阵卡都有自己的序列号，当用户把口令卡与自己的网银账户绑定后，网银的数据库就会将绑定的那张密保卡的矩阵数字激活，当用户进入网银进行支付等相关业务时，只有输入正确的矩阵数字才能进行支付。由于动态口令卡的设计是相对的一次一密乱数本，并且使用次数为1000次，因此，动态口令卡存在被破解的可能性。当黑客获取了用户的网银账号和登录密码后，对该账户所使用的计算机进行监控，当有交易进行支付时，系统会提示用户输入响应矩阵中的数字，当用户输入正确的矩阵数字之后，木马会自动记录正确的矩阵坐标以及对应数字，然后再利用验证码输入超时的手段，导致支付用户交易失败，从而迫使用户再次输入矩阵数字，再次利用验证码超时的手段导致交易失败，这样周而复始几次之后，整个一组矩阵数字就到手了。与此同时，银行出于安全方面的原因还在其支付系统中设置了一个错误次数上限，当口令卡数据输入异常次数达到三次以后，该账户当天不能进行交易。此外，在掉线次数上被设计为每天累计掉线两次。这样不仅能够有三次记录机会，记录不多于6组的口令，同时还避免用户对自己账号安全性的怀疑。如使用该行的网上银行动态口令卡的用户，在输入口令时，采用键盘输入模式，而不是动态软键盘，不法分子还可以利用最简单的键盘输入记录器来获取口令卡的信息，这些信息成为了日后窃取该账户资金必不可少的条件。

(二) 账户授权机制风险

网络金融业务往往需要在不同的金融机构之间进行业务交换或转换，这涉及复杂的账户授权机制。如“超级网银”是跨银行网上金融服务产品，能够方便用户实时跨行管理不同银行账户，用一个网银账户实现多张银行卡的跨行查询和转账。因为功能便捷，国内绝大多数银行均默认支持该项功能。然而，一旦有不法分子恶意利用这一功能，欺诈获取他人银行账户的授权，就可能将该人的账户余额偷走。目前，“超级网银”的授权操作存在一定安全风险，主要包括以下四种。

(1) 其授权不会对双方身份和关系进行验证，网银用户可以授权任何人对自己的账户进行查询和转账。

(2) 授权操作过程简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。

(3) 部分银行没有在授权界面提醒用户设置额度，获得授权的账户可以无限制转账。

(4) 个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。正因如此，一旦诈骗分子诱骗用户成功，就可以在短时间内转走大笔存款，而用户却无法阻止骗子的行为。

由于“超级网银”授权链接都是银行官网地址，此前没有安全软件会对其报警拦截。随着网银授权骗术兴起，已有安全软件紧急更新了防护策略，针对来自聊天消息的网银授权链接进行风险提示。“超级网银”授权诈骗事件再次暴露了电子商务潜藏的安全风险。尽管网购已成为很多人生活的一部分，但人们对很多规则和细节其实并不了解。同时，银行方面复杂枯燥、格式化的风险提示，也不利于用户增强防范意识。因此，在推出各类方便用户产品的同时，银行绝不能把防范风险放在一边。

(三) 账户密码找回机制风险

为了方便用户使用，当用户在忘记账户登录密码时，网站都提供了“找回密码”的服务。但一般都设置了比较严密的程序，以保证找回密码服务的安全性。如支付宝找回密码需经过两种方式找回:第一个方式是“通过安全保护问题”，这时跳出的安全保护问题各式各样，如“我的小学校名是”“我的父亲叫”。如果对账户主人不熟悉，也很难知道这个答案，也无法继续破解下去。第二个方式是“通过人工服务”，在拨打人工服务后，会收到邮件，打开后里面有一个链接地址，点击这个地址便跳出一个“找回登录密码申请表”，需要填写的项目包括“真实姓名”“手机号码”等，需要选择的项目包括“证件所在地”“证件类型”，需要上传的项目是“彩色、完整的证件图片”等。一般情况下，如系外人冒名希望通过找回密码服务得逞，也是不容易的。支付宝提供的数据称其资金损失率仅为十万分之一，低于国外同行业水平。从已有的手机支付资金损失案例来看，安卓操作系统的智能手机更容易出现风险，而使用苹果手机的用户发生信息被盗的情况要少得多。安卓手机最高发的风险来自安装恶意应用。

但是，这种方法仍然留下较多的漏洞可以利用，犯罪分析通过找回密码的方式进入用户账户转走巨额资金的案子也不少见。如通过手机绑定银行卡功能，即可用手机获取验证码重设密码，进而控制账户。现在很多用户使用了手机捆绑账户的方式，在忘记登录密码时可以用手机获取验证码进行找回。如果手机失窃、失落，则很可能引发密码泄露问题。现在手机卡补办的漏洞也屡屡被不法分子利用，使这项服务风险陡升。

案例

网络支付怎样层层失守假证冒领手机卡找回密码

1. 网站可查到个人信息，用假身份证轻松补办手机卡

2013年9月2日，重庆市龙溪派出所接到受害人王某某报警:自己农业银行卡内的19120元钱被人分5次转到了建设银行一个陌生账户上。

犯罪嫌疑人杨某、余某被抓获后交代，由于看到网传可通过一些操作转走别人支付宝里的钱，杨某登陆进入某保险公司网站查询页面，随便输入一个名字“王某某”碰运气，页面竟显示有这个人，并公布有其身份证号码和手机号码。之后，杨某随便找了一张照片制作了“王某某”假身份证。杨某让余某拿着假身份证去电话营业厅补办王某某的手机卡。他人代办补卡只需提供代办人和机主的有效身份证原件、经机主本人签名的委托书。

2. 假机主“找回密码”，盗取原机主支付宝并转账

补办手机卡后，杨某等人立即通过手机号码找回王某某的支付宝登录密码，用转账业务将受害人支付宝绑定银行卡上的钱转到了自己的银行卡上。王某某发现手机卡出现了信号故障不能使用，到营业厅恢复手机卡后，收到短信提示，才知钱被转走。

账户被盗转走资金的流程如图10-1所示。

图10-1 账户被盗转走资金的流程

资料来源:人民网。

在“快捷支付”这样的网络金融创新功能里，用户不需要登录网银，可以直接以一个密码即可完成从银行账户里把资金转到商家处。“无需网银，只需关联您的信用卡或借记卡，每次付款时只需输入支付宝支付密码即可完成付款……”这是支付宝快捷支付的广告语，如果账户和手机号码绑定，那通过移动网络还可随时随地能进行支付。这种创新模式给用户带来了良好的体验，无需经过复杂的银行网银授权机制，需要的仅仅是一个密码而已。快捷支付虽然具有支付密码和手机校验码双重保障，但如果与支付账户绑定了的手机丢失，再加上不法分子同时获取了用户身份证等个人证件，那支付安全就很难保证了。通过上述案例来看，找回密码服务具有太多的漏洞可以利用。