1. 系统风险
系统风险所指的是银行网络支付系统所存在的安全漏洞或不足,所可能引发的损失。网络支付是依
赖于网络环境而得以完成的,故而,信息系统之中,在技术或者管理上所出现的问题,将会构成严重的
系统风险。当系统同交易方进行信息传输时,若系统与交易方的终端不兼容或出现故障,则会出现传输
中断或速度降低的问题。除此以外,若是电脑死机、磁盘破坏、病毒侵入等问题,都会产生系统风险。
在未来大部分的交易支付都将会依赖于网络进行,因系统本身局限性而存在的风险,势必将会妨碍到网
络支付的顺利进行。2004 年时曾出现了一个称为“网银大盗”的木马,其轻易突破了银行系统,并窃取
了用户的账号、密码,这极大的妨碍了网络支付的顺利发展。
2. 人为风险
人为风险所指的是在交易之中,个人因素所导致的密码及其他重要信息的泄露所产生的风险。大多
数金融机构基于成本考虑,会寻求外部力量的帮助来解决营运中的技术或管理问题。这是一种双刃剑的
做法,解决自身问题的同时也将自己暴露在于风险之中。
1) 金融机构外部风险
黑客通常会采用 IP 地址欺骗、篡改用户数据等等的技术来达到自己非法牟利的目的。黑客会将自己
伪装成某一台受到信任的主机,向其他主机发送含有病毒的信息包,或是在邮件服务器中冒名他人信息。
较为常见的黑客侵袭方法还有拒绝服务攻击、同步攻击、网页欺骗等等。手段多样,且不断翻新,让人
防不胜防。
一些电脑高手所设计的病毒与木马是网络支付安全之中的一个巨大威胁。各大网站甚至一些知名网
站也难以幸免的被安放有后门。这些黑客程序不仅会破坏电脑系统,还会盗取当事人的账户信息等敏感
内容文件,对人们网上支付造成了极大的危害。美国的银行账户,每年在网络上损失的总金额高达 6000
万美元,与此同时企图进行的电子盗窃案的总数更是到达了 5~100 亿美元,持械劫匪抢银行的平均作案
值能达到 1500 美元,“电子扒手”的平均作案值则能够达到 25 万美元。
2) 金融机构内部风险
对于网络支付行业的从业人员方面的管理,是网络支付安全之中相对薄弱的一环,这一群体具体掌
握着网络支付流程之中的各环节,网络认证、防火墙等等方面的工作都是由这些从业人员来完成的。目
前国内的网络支付案件不少是由于内部人员所引起的,有逐步上升的一个趋势。网络支付的安全保护系
统被从业人员自内部“攻破”之后,无论是多么先进的技术手段也都无能为力。
3. 信用风险
信用风险又被称之为违约风险,所指的是网上支付中各交易方无法或未能履行约定义务而造成经济
损失的风险。
1) 买方失信
买方违约的情况。以资金角度出发,虽然买方不履约,未必会造成卖方或第三方企业的资金损失。
不过,这样会增大支付企业的营运成本和信用成本,低信用度用户的比重将增大,各类风险都会有所增
加。买方所存在的信用风险还可能会涉及到资金来源是否合法、买方否认交易操作、以虚假身分进行交
易、洗钱等等问题。
2) 卖方失信
卖方提供不出与买家商定的产品,不能以预定时间送达到客户手中,这将会引起买方的相关损失,
如退货的相关费用、与卖方交涉所产生的时间成本及其他费用,卖方自身的运营成本和诚信成本大幅增
加,造成信誉的极大损失。
3) 银行失信
银行在迟延结算或是非本行银行卡交易时发生拒付,迟延结算等等问题将会产生资金流动性风险。
网上银行以远程通信为方法,经由信用认证相关程序对借款者的信用进行自己的风险评估,这可能会增
加网上银行自身的信用风险。借款人未必会履行电子货币的借贷所应当承担的义务,也可能由于借贷人
评估系统不够健全,进而造成信用评估产生失误,引起银行的误判。
4. 运营风险
从银行角度出发,此类风险所指主要是交易的处理、流程管理中的失误或者是与贸易伙伴之间关系
的破裂而造成的损失,产品在特性或设计上存在不合理之处、员工服务漫不经心,亦或者是对特定客户
不能提供应有的专业服务而产生客户流失等原因而引起的银行损失。业务账目记录错误、信息交流之中
存在错误信息、没批准而擅自账户录入、未得到客户允许就进行的交易、交割过程中产生的失误等原因
所产生的各类损失,产品自身的功能欠缺、强行进行销售、对敏感问题的隐而不发、不当的客户建议、
职员操作过程中的粗心、广告内容缺乏合理性、交易的不合理性、销售过程中的歧视态度等等问题,导
致与客户之间的一个信托关系发生破裂、合同关系发生破裂、客户关系发生破裂,进而造成的各类重大
损失。
网上支付安全隐患有哪些:
(一)支付密码泄漏。一旦攻击者通过某种方式得到支付密码,就可以轻易冒充持卡人通过互联网进行消费,给持卡人带来损失。这是人们对网上支付安全的主要担心所在。
(二)支付数据被篡改。在缺乏必要的安全防范措施情况下,攻击者可以修改互联网传输的支付数据。例如,攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等,达到谋利目的。
网上支付密码被破译的常用手段:
1、骗取手段。攻击者可采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信(邮件)等。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗,进而向其泄漏银行卡的支付密码。
2、支付终端截取。攻击者可以在持卡人电脑上发布恶意软件(如木马软件)。这些软件能在持卡人输入支付密码时悄无声息地捕获,并偷偷发送出去。
3、网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。
4、暴力攻击。支付密码通常是由数字和字母组成的一段字串。由于人类记忆能力的限制,该字串不会太长。当前很多发卡行采用6位数字密码方式。借助具有强大运算能力的计算机,攻击者可以采用密码词典方式逐个试探。
5其它途径获取。攻击者趁持卡人不注意,在银行柜台、atm或pos终端记下持卡人的支付密码。
注意事项
网络技术发展日新月异,应运而生的“网上购物”越来越被大众接受,逐渐成为人们的主流购物方式。由于跟钱袋子密切相关,在享受方便的网购乐趣时,保证网上支付安全显得更加重要。确保网上资金安全,你真的做足保护工作了吗?下面,我们就来盘点一下网上支付比较常见的几大误区:
1、一个密码走天下,密码好记就OK:
描述:一些网友把所有的账号和密码都设置为一样,并且喜欢用生日、身份证号码等数字作为账号密码。这样的密码极易被“盗号者”破解,任意一次的资料泄露都极有可能导致用户所有账户链失去安全保障。
支招:为网上支付帐号设置单独的密码,使用“数字+字母+符号”组合的高安全级别的密码。像是支付宝有登录密码和支付密码两个密码,必须设置成不同。
2、账号、密码存电脑,方便记:
描述:有的网友喜欢把账号密码保存在电脑某个文件中。若电脑处于联网状态,就有可能被木马侵害,账号密码也可能泄露。
支招:账户与密码不要保存于联网的电脑中,对于一些不熟悉的网站,填写信息要谨慎。
3、卖家提供的链接不会有问题
描述:有的网友网购时轻信卖家,不假思索地就点击了卖家发送的不明链接。卖家发送的链接有可能是个木马网站,随意进入可能会遭木马攻击,从而泄露支付账号和密码。
支招:登录正确的网址,按照购物流程直接在平台内购买、支付,不要轻易点击卖家发送的不明链接。
4、账号“裸奔”最方便
描述:部分网友认为网购图的就是方便快捷,使用数字证书、宝令太麻烦,而且安装也麻烦。其实没有一些安全产品的保护,账号是很容易被“入侵”的。
支招:使用数字证书、宝令、支付盾等能帮助提升账户的安全等级的安全产品。安装了这些安全产品,用户即使被盗,盗用者在没有证书、支付盾或宝令的情况下也无法操作资金,用户从而可以避免资金损失。支付宝的数字证书可以免费安装,步骤很简易,在不同电脑上使用时,通过手机校验码的方式重新安装或删 除也很方便。
绑定手机,使用手机动态口令。支付宝等网络支付账户都支持绑定手机,并支持设定手机动态口令。用户可以设定当单笔支付额度或者每日支付累计额度超过一定金额时就需要进行手机动态口令校验,从而增强资金的安全性。
5、用网银付款更安全
描述:部分网友觉得使用网银操作,有了U盾等硬件在手里,交易就一定是安全的。事实上很多木马钓鱼都是针对从第三方支付平台跳转到网银页面的中间步骤进行欺诈作案。
支招:由于木马钓鱼的存在,支付平台向网银跳转的过程很容易被利用。网上支付除了自己做足安全保障,支付平台的安全保障承诺也很重要。推荐大家更多使用支付宝快捷支付付款。由于付款操作统一在支付宝平台完成,无需跳转,可以有效封杀钓鱼者利用页面跳转进行钓鱼欺诈的空间。用户只要是通过快捷支付 进行的付款操作,即可享受全额赔付保障,遭遇欺诈等资金损失,支付宝都会全额赔付。
网上银行对于同种银行,不用地域之间可以进行相关业务关联、减少业务所需的手续费用。
安全问题
尽管网上支付发展普遍被人看好,但暴露出来的一些网上安全问题仍然使网上支付蒙上了阴影。
美国《电脑安全威胁报告》显示,美国制造的恶意电脑攻击数量远超过其它任何一个国家。由于犯罪团伙之间激烈的竞争,被盗金融信息的售价也在日益下跌。
不安全的根源
一个重要的原因就在于一些不法之徒十分猖獗,他们盯上了互联网,通过设立仿冒网站、发送伪造电子邮件甚至利用电脑病毒等手段,骗取用户的银行账户、密码等信息。
网络钓鱼
“网络钓鱼”是出现的一种比较典型的诈骗方式,顾名思义,就是骗子利用一些不被人注意的诱饵,来骗取用户的账号和密码,从而坐收渔翁之利。通常骗子都是利用向别人发送垃圾邮件,将受害者引导到一个假的网站,这个假网站会做得与某些电子银行网站一模一样,粗心的用户往往会将自己的账户和密码乖乖送到骗子那里。
鸡尾酒钓鱼术
网络“鸡尾酒钓鱼术”更让人防不胜防。与使用仿冒站点和假链接行骗的“网络钓鱼”不同,“鸡尾酒钓鱼术”直接利用真的银行站点行骗,即使是有经验的用户也可能会陷入骗子的陷阱。据光华反病毒中心的专家介绍,“鸡尾酒钓鱼术”是通过用户点击邮件中包含这种技术的链接触发。当用户点击邮件中的链接以后,的确能登录网上银行的正常站点,但是骗子的恶意代码会让网上银行的站点上出现一个类似登录框的弹出窗口,毫无戒心的用户往往会在这里输入自己的账号和密码,而这些信息就会通过电脑病毒发送到骗子指定的邮箱中。由于骗子利用了客户端技术,银行方面也很难发现自己的站点有异常。