支付寶和微信的二維碼『刷卡』支付服務夠不夠安全,有何隱患? | 知乎問答精選

 

A-A+

支付寶和微信的二維碼『刷卡』支付服務夠不夠安全,有何隱患?

2019年02月13日 知乎問答精選, 阿里巴巴 暫無評論 閱讀 8 ℃ 次

【高雪鴉的回答(14票)】:

謝David Chang邀,儼然已經是支付行業活躍回答者了麼=。=

昨天微信開始正式推線下二維碼支付,用的是微pos的方式打擦邊球,二維碼支付分正掃和反掃兩種模式,微信支付、支付寶都在推廣,每一個商戶可以選擇安裝正掃和反掃中其中一種設備,或兩種都安裝,微信支付目前的重點則主要放在反掃模式佈局上;二者的主要方式都是向第三方代理開放接口的方式,佈局線下商戶。因為財付通在第三方支付的相對弱勢,微信基於綁定銀行卡的支付比較不容易被各大銀行盯上,能做到怎麼樣,會不會被叫停,還是要拭目以待啊。

二維碼支付在國內似乎十分新鮮,其實早在上世紀90年代,二維碼支付技術就已經形成,韓國與日本是使用二維碼支付比較早的國家,在日韓二維碼支付已經普及了95%以上。4年前我們在做二維碼支付規劃的時候就是以樂購在韓國地鐵做的二維碼超市為願景,人們可以在地鐵站通過掃二維碼支付買好當天要吃的菜,下班後菜送到家,方便快捷。現在我們在本省的所有營業廳布放了上千個定額二維碼用於小額支付,月交易額也有幾十萬。

從安全性說,二維碼支付和在線支付一樣,都是基於賬戶體系搭建的,手機掃二維碼的動作就相當於在電腦上輸入商品地址,所有在線上支付能遇到的安全問題,用二維碼同樣能遇到,包括但不限於虛假鏈接、惡意地址、木馬鏈接等等,同時,由於許多二維碼掃碼工具並沒有有惡意網址識別與攔截的能力,這給了手機病毒極大的傳播空間。而且,二維碼技術的便利性簡直太高,原來在電腦上釣魚還至少要做個web鏈接,還得不被殺毒軟件屏蔽,現在開個玩笑的說,花幾千塊做幾百張假的二維碼像貼老軍醫一樣的貼,還真不知道能騙到多少人。

2014年3月13日,央行下發緊急文件《中國人民銀行支付結算司關於暫停支付寶公司線下條碼(二維碼)支付等業務意見的函》,暫停支付寶、騰訊的虛擬信用卡產品,同時叫停的還有條碼(二維碼)支付等面對面支付服務,並要求支付寶、財付通將有關產品詳細介紹、管理制度、操作流程等情況上報。同時,二維碼支付硬件廠家也從三方面提出了安全解決方案。第一,從硬件方面,微pos的硬件有自我保護的能力,若是被強拆,微pos內的芯片會自行燒燬,防止有人試圖篡改pos機系統;第二,微pos的系統是基於Android進行了必要的刪減和封裝形成,不存在多餘的功能,這也保證了系統不被惡意軟件侵染;第三,微pos機在處理數據時都會進行信息加密,保證交易數據不外洩。

另外,銀聯也在做二維碼支付的相關工作,但是中國銀聯技術專家徐靜雯博士表示「因為發現確實有技術條件無法消除的隱患,所以沒有進行商業應用。當研究出技術成熟、業務可行、且安全可控的解決方案,並獲得監管部門級合作機構認可後,銀聯才會推出相關產品和服務。」至於具體是什麼安全隱患,至少我們現在已經在做的二維碼還沒發現,或許銀聯站得更高,眼光更長遠。

=====================謝David Chang提醒補充一下============================

中午本想到天虹實測,發現微信pos還未到位(老區含淚,北上廣深估計有了),從軟件的使用流程上,確實只需要在首次生成二維碼時驗證支付密碼,如果被掃碼時再驗證一次就完美了,如不驗證,那麼請設置手機密碼鎖屏預防萬一,如手機丟失且沒鎖屏密碼的,建議立刻使用其他手機登錄自己的微信並及時對原手機號報停/重新開卡,避免損失。

軟件的支付安全裡提到由中國人民財產保險股份有限公司承保並提供全額24小時理賠,但安全tips裡寫的全是主動掃碼的東西,被動掃碼的還未提及。

【張博的回答(3票)】:

謝 @David Chang 邀

大概在評估信息安全風險的時候,有幾個要素:資產、威脅、脆弱性。

在大家都在費勁腦細胞思考後兩個因素的時候,偶爾看看第一個要素(錢包裡的錢)可能就會安心睡覺了。

沒錢是最安全的。

【劉攀的回答(3票)】:

個人理解:二維碼幾乎約等於銀行卡,所謂二維碼安全問題,其實是因為支付機構動了銀行的奶酪。二維碼支付技術安全很容易解決。

【知乎用戶的回答(1票)】:

瀉藥

安全不安全老百姓和騰訊說了不算,第三方支付公司某種支付方式是否安全要央行支付結算司等機構判斷。

今年3月份爆發的二維碼風波,騰訊阿里的主動式掃碼方案被叫停,一個主要原因是二維碼不是用戶自己生成的,用戶主動掃外來的二維碼有被植入木馬的風險。

今年8月以後,銀聯、郵儲、阿里、騰訊等展示的二維碼掃碼方案,都是被動式掃碼。二維碼的生成是用戶的設備自己生成的,被植入木馬的風險相對較低,就算出岔子,責任也好大部分推到用戶身上,目前監管部門對此睜一隻眼閉一隻眼。

當然二維碼等都是支付解決方案,真正容易出岔子的是綁定微信支付時候的賬戶實名驗證(使用他人手機號、身份證、卡號綁卡)以及交易數據傳輸被截取,或者刷卡規則的漏洞被鑽(比如年初波及支付全行業的預授權套現風波),客戶與商戶合謀,使用虛假交易信用卡套現,這些個頑疾,騰訊一家是解決不了的。

【知乎用戶的回答(1票)】:

謝 @David Chang 邀。

關於支付寶/微信刷卡支付(以下簡稱刷卡支付)的安全問題,從以下幾個方面討論以下。

  • 刷卡支付沒有安全與不安全之分,只有安全程度之分,或者換句話說,只有風險的高低之分。

任何支付都不是100%安全的,可以說任何支付方式都是有風險的,只有風險的高低之分,我們所說的安全其實是希望風險比較低的一種支付方式,或者是要做到不安全需要很高的成本才可以破解的支付方式。所以我們首先要在安全的定義上達成一致。

  • 與之前被叫停的二維碼支付比較

之前的二維碼支付對於用戶來說,是一種主動的支付,用戶通過商家(或個人)提供二維碼掃瞄以完成支付,那麼在這個過程中,對於二維碼的生成用戶是沒有能力干預或者辨別的,這樣機制對於一些別有居心的人就可以方便的植入木馬,那麼這種支付方式確實存在了很大的安全隱患,而且別有用心的人生成植入木馬的二維碼幾乎沒有成本。

對比現在的刷卡支付的方式,可以理解為一種被動的支付方式,二維碼(或條碼)是有用戶自己生成,由商家掃瞄用戶的二維碼(或條碼)以完成支付。這樣的一個改動,使整個支付的可控性提高了很多。

  1. 二維碼(或條碼)由用戶自己生成,每個一段時間刷新,這在源頭上控制了二維碼(或條碼)的生成,大大提高了安全性;

  2. 商家(或個人)需要有掃碼的設備才可以完成掃碼,而這些設備是由支付寶/微信提供的,這個環節也增加了安全性;

  3. 即使用戶的手機被掛馬或者掃碼的設備出了問題,這是需要投入很大的成本才能實現的,從成本上來說,安全性也更加的高。
  • 與其他的線下支付的方式比較

目前主流的線下支付方式:現金或者線下刷卡。現金這個不用說了,目前還是應用最廣泛的支付方式,這種方式最大得隱患是假幣和丟失/被盜/搶劫,咱們就不展開說了。

線下刷卡(線下刷信用卡或借記卡,區別於我們說的刷卡支付),目前也是一種便捷的線下支付方式,風險在於盜刷。

刷卡支付的過程:

消費者通過自己的手機App(支付寶/微信)生成付款的二維碼/條形碼,商家通過掃碼設備掃瞄消費者生成的二維碼/條形碼,然後生成一個「安全的」交易鏈接,通過這個鏈接,消費者完成支付。

在整個的交易環節,涉及到了第三方支付、消費者、商家、銀行,涉及到了終端設備、網絡、服務器的數據交互。那麼對於線下的現金或線下刷卡來說,多了交易者(第三方支付)、多了終端設備(手機及App、掃碼設備),從安全性上來說,每多一個交易環節的參與者,每多一個設備,風險性肯定是增大的。

所以從這個層面來說,刷卡支付比現金或者線下刷卡的風險更高一些。

但是,這並不能說明刷卡支付是不安全的,只是相對來說,風險更高一些,但並沒有高到不能使用這種支付方式的地步。

  • 與其他的在線支付方式比較

目前主流在的在線支付方式:網上銀行、快捷支付、基於第三方的賬戶支付。

這三種方式的特點:

  1. 所以交易的鏈接都是由銀行或者第三方支付提供的,可控性高。(假鏈接或者木馬咱們就不討論了)
  2. 會有輔助的安全措施,如:短信驗證、U盾、數字證書等,提高了安全性。
  3. 明確的服務提供者,如支付寶、財付通、銀聯,在交易的過程中如果出現異常,你都可以方便的找到投訴渠道進行申訴。

基於以上三點,刷卡支付也具備以上的三個特徵,但是交易環節的終端設備不同,交易設備也更多,如果拋開更多的終端設備來說,個人意見是,刷卡支付與其他的在線支付方式從安全角度來說是一致的,風險也是一樣的。

綜上,我們現在應該可以確定的是,這種刷卡支付的方式與其他的在線支付方式並無本質的不同,或者可以稱為一種微創新,在安全性上也基本是一致的。如果你能接受在線支付的方式,不妨也接受這種刷卡支付的方式。

【知乎用戶的回答(1票)】:

微信付款簡直及其不安全,經過簡單的培訓,一個小學生都可以掌握的盜竊技術!!

以下就是鄙人的受害經歷

———————————————————————————————————————————

前幾天忽然發現工行信息提示,您消費xx元,時間xx。

頓時蒙頭轉向,經過多方查證,最終捕獲犯罪嫌疑人倆名。

嫌疑人目前已基本交代整個作案過程,哥已派出一個專門工作組負責該案的審訊和取證工作。

嫌疑人李某

13日晚,犯罪嫌疑人李某夥同王某,以吃冰激凌為由,蒙騙其善良的表舅。

據瞭解,13日13時50分左右嫌疑人李某用

【摟脖法:賣萌技巧的一種】和

【觀察法:站在別人的身後看著他輸入密碼。成功率73% 】成功偷窺到其表舅微信支付密碼,成功獲取6位密碼後王某以打遊戲為由騙得表舅手機,成功團購了倆份遊樂園套票。其心計之深沉,犯罪手法之高明,情節之惡劣,套票之昂貴

【關鍵點】,當事人表示 沒什麼可說的了。

另據瞭解,嫌疑人年齡最小的9歲,最大的僅11歲。

昨日,表舅在現場看到犯罪嫌疑人正在遭受暴打。

夏小知工作社記者為您報道!

———————————————————————————————————————————

【王澤江的回答(0票)】:

作為小額支付,無所謂了,基本不會有問題。

【麻繩菜的回答(0票)】:

相對的安全是可以保障的。

魔高一尺道高一丈,主要取決於犯罪成本和收益。

所以控制卡內金額是必須做好的。

【DilysYang的回答(0票)】:

每種支付方式都是存在風險的,就像固定pos不是也有偽卡的風險嗎?微信掃碼支付不直接獲取持卡人信息和卡號,避免了較基本的偽卡風險。其次,掃碼支付消費者是被動等待刷卡,並進行支付密碼、短信雙重驗證的。所以安全有一定的保障。

【阿哲的回答(0票)】:

謝邀。掃碼支付國外用了很多年了,大問題是沒有的。安全問題多是環境被入侵、密碼被破、應用程序自身漏洞等等,其實都是常見的安全問題。一般來說,最好不要root,不要從來歷不明的地方下載應用(前幾天小米都被爆其應用商店上一些軟件體積和官方不一樣),還有,盡量不要丟手機…

【劉偉偉的回答(0票)】:

安全來自於風險防範,目前主流的攻擊方法:「盜號攻擊」「釣魚」「掛馬」「重放攻擊」「中間人攻擊」「網頁劫持」「更改時間戳」。

對於盜號攻擊,安全很大程度上依賴於對運營商卡片的管理,包括補辦,掛失等,也就是以後手機丟了,第一件事就要掛失你的手機卡,然後登錄微信;

釣魚、掛馬和中間人,本身通過應用來實現很難實現,但是如果微信應用被替換和重新包裝,然後發送當前手機的支付信息(二維碼)至黑客,進行小額支付,實現比較困難,但是也並非不可以做到,所以一定要從正規的市場下載應用,並且打開Android手機的防護,iOS就盡量不要越獄。

重放攻擊,因為一次一密,一密一分鐘,一定程度上降低了重放攻擊的時間窗,並增加了攻擊難度。

另外一個方面的安全性,就是收單商家的認證,都是小額支付+保證金的模式,並且收單之後錢並沒有立刻逃離騰訊的支付體系,一定程度上降低了這種攻擊帶來的收益。

因此,目前來看,這種支付模式還是比較安全的,持續關注。

【張斌的回答(0票)】:

二維碼相當於網絡上的網址,能亂點嗎

【呂威明的回答(0票)】:

利益確實有觸動,但是樓上分析也很有道理,手機客戶端的不安全性問題很大,大量的安卓用戶都是root過的,蘋果用戶越獄了,這些都存在被種木馬的問題,還有安卓市場的假冒客戶端問題,都是安全風險。

【知乎用戶的回答(0票)】:

就安全問題而言,二維碼支付沒什麼大的問題,樓上說得很全面了。某主流支付機構風控總監到我司聊的時候提過,他們家資損率在20萬分之一,國內平均水平也在5萬分之一左右,這種資損率全額賠付無任何壓力,比起收單行、銀聯等等各種金融機構雁過拔毛的手續費,各位在支付機構呆過的應該都清楚哪邊才是大頭。所以央媽上半年叫停二維碼支付,我是不贊同,有點管過界了,安全不安全市場自有定論,企業也不是傻子,塵埃落定再考慮監管問題不遲。

個人比較看好apple的apple pay,這個肯定會是將來的主流支付方式,但國內是否能引入,不好太樂觀。騰訊是一家軟件企業,線下支付這件事,引入一些硬件因素更符合人的認知。

【大亢的回答(0票)】:

二維碼,主要是網絡環境不乾淨,使得二維碼不能夠在高效率、低成本的同時兼顧好安全,或者說通過二維碼在網絡上裸跑隨時都有被劫持的可能。當然限制在小額上還可以的,損失發生也不會太大。

ps:個人暫時不會用掃碼,就像線上我也主要是用銀行網銀一樣,其他支付公司的支付方式很少用。體驗各家流程還是會的。

【知乎用戶的回答(0票)】:

只聽說過存銀行的錢沒了。

【張大民的回答(0票)】:

謝邀!上海的便利店試用過幾次,支付寶錢包出示付款二維碼,商家一掃錢就刷走,連個驗證碼都沒有。鎖屏密碼又是一陣哆嗦,丟手機很恐慌。但是就算有驗證碼還是本手機也沒意義,一時間似乎無更優解。

【知乎用戶的回答(0票)】:

謝 @David Chang 邀~

先簡單回答一下:二維碼支付總體而言是足夠安全的,可以相信支付寶、微信、銀聯等不僅專業,而且會非常認真的對待支付裡的任何問題——只是有時候會過於謹慎,以至於在用戶體驗和風險之間進行平衡時,可能會以損失用戶體驗為代價來確保足夠的安全。

我試試看用最簡單的方式讓朋友們理解吧。

  • 二維碼支付的安全與否,分為二維碼部分和支付部分
    • 二維碼部分主要看用什麼掃碼軟件:用支付寶錢包、微信基本沒問題(除非有漏洞被利用);
    • 支付部分,其實與二維碼關係不大,還是手機支付領域的老問題。
  • 支付部分:
    • 以支付寶和微信的技術能力來說,是足夠安全的(比如商戶POS與平台、用戶手機與平台的通訊、用戶手機APP的安全性等等);
    • 從支付模式來說,主要是快捷支付模式,這部分問題是快捷支付是否安全;
    • 從風控角度來說,支付寶的經驗更為豐富;
    • 從對消費者的保障來說,雙方都引入了賠付機制和保險公司;
    • 從監管角度來說,還有央媽盯著,不必太擔心;
    • 實際操作環境來說:會不會有釣魚呢?有可能,需要消費者自己特別注意保持警惕——見下文最末提醒。

利益相關:我的創業公司是支付寶授權代理商,為客戶提供智能WiFi、支付寶和微信相關的解決方案,同時自己在發展商戶做小平台運營。

1. 在二維碼支付裡,二維碼是做什麼的?

簡單說:借助二維碼生成和識別技術,在商戶收銀設備、用戶手機之間傳遞交易必要的參數。

  • 發起支付:無論是買方、賣方,首先通過支付APP或者收銀系統向支付平台服務器請求發起一筆支付;
  • 生成支付參數:服務器把支付相關的參數通過二維碼圖片返回給發起方;
  • 交換支付參數:發起方向對方展示二維碼;
  • 核實支付參數:對方APP或收銀設備掃碼後,通過支付平台服務器確認該支付的參數、細節;
  • 確認支付:隨後雙方用某種方式表示認可支付;
  • 完成:支付平台服務器端完成支付動作,返回信息

——二維碼最大的作用就是在交換交易參數環節:二維碼方便攜帶參數、方便對方接收和識別。

——以上過程中,將二維碼換成聲波等其它方式,起到的作用也是一樣的

——類似的,傳統支付POS中也有二維碼類似的問題,比如假讀卡器(複製磁卡信息)、假密碼鍵盤(複製密碼,或未經銀聯安全認證的普通數字鍵盤)

補充細節:

  1. 交易必要的參數加密生成二維碼:比如當前用戶信息(付款方)、商戶信息(收款方)、交易流水號、交易時間戳等必要的參數,組合成特定的數據結構並經過一定的加密後,用二維碼算法(比如流行的QR)生成二維碼圖片;
  2. 掃碼、識別、提取參數、自動處理:
  • 用戶發起交易、生成並出示二維碼給商戶;反之;
  • ——也就是其它朋友回答的主動掃碼還是被動掃碼

2. 其它環節與二維碼無關,那麼二維碼的安全問題在哪裡?

二維碼的內容有不同類型,可能是一段文字,也可能是一個超鏈接地址 Url,等等

問題出在掃碼軟件(二維碼識別軟件)對攜帶內容為超鏈接的二維碼的處理方式

一般的掃碼軟件,遇到內容Url類型的二維碼就自動打開瀏覽器,訪問對應的地址。

這時候,如果二維碼不是支付平台服務器生成的,就有可能被假冒的二維碼引導自動訪問釣魚網站等,造成用戶、商戶的損失。

這時,分兩種情況:

  • 商戶側的系統生成假冒的二維碼:用戶沒有足夠的能力防範,這時候就有較大的安全隱患了;

  • 用戶側生成假冒的二維碼:商戶有義務、有能力保障自己的收銀系統正確的連接支付平台服務器,不容易被用戶側假冒的二維碼所欺騙。

所以,2014年3月14日,央行叫停二維碼支付主要是針對商戶側生成二維碼這種模式。而用戶側生成二維碼的模式,至少我們用支付寶一直是可以的。

然而,進一步來看:

3. 遇到商戶側的系統生成假冒二維碼怎麼辦?

其實不必太擔心。

因為在支付操作中,用戶使用的是專用支付工具,不是一般的掃碼軟件。例如支付寶錢包(支付寶的支付APP)、微信(騰訊APP帶支付功能)、銀聯錢包(銀聯的支付APP)。

而這類專用的支付工具,其內置的掃碼功能是不會自動打開瀏覽器去訪問釣魚網站的。

具體原因:

  • 二維碼採用了特定數據格式:為了防範此類問題、為了競爭,它們採用的二維碼算法雖然是公共的,但攜帶的數據是自己平台特定的數據格式。掃碼軟件遇到特定數據格式時,才採取後續支付相關的動作,否則視為普通二維碼處理;
  • 安全地址過濾:即便識別為普通二維碼、內容為Url,這些APP也不會打開通用瀏覽器,而是由內置瀏覽器來訪問特定Url。甚至在內置瀏覽器訪問Url之前,會先經過服務器識別該Url是否在安全地址白名單,或者在黑名單之中。同時,有專門的安全團隊負責維護這樣的白名單、黑名單。

可能的問題來自:

  • 那些專用的支付APP有安全漏洞被利用(繞過了上述安全機制);
  • 用戶使用了其它的掃碼軟件(脫離了上述安全機制)掃瞄假冒二維碼打開了釣魚網站。

所以,結論是:

——使用對應的支付APP掃瞄對應的二維碼(支付寶對支付寶、微信對微信、銀聯對銀聯)

——並保持支付APP是最新版本

4. 額外需要注意的是操作環境安全:免費Wi-Fi

作為一個智能WiFi系統平台解決方案和運營服務方,我很負責地提醒消費者——你真正要擔心的主要是:

  1. 假熱點:假冒商戶免費Wi-Fi釣魚;
  2. 洩密:免費Wi-Fi傳輸不經加密可能存在的洩密(支付APP自己會加密,主要是其它內容如收發電子郵件、論壇和頁游登錄等等);
  3. 商戶路由器被劫持(植入惡意代碼):例如DNS劫持引起的釣魚、中間人攻擊、嗅探密碼等

——所以,敏感操作暫時還是使用3G/4G吧!

【知乎用戶的回答(0票)】:

從系統平台角度而言,尚夠安全;換而言,防君子不防小人,日新月異的詐騙手段總是層出不窮,不能一言概之的一刀切,至於核心安全技術手段,坐等大神補充專業點評。

另外,肯定是針對小額支付,每日、單筆都會有交易限額,也是規避風險的一種方式。

隱患:

不要隨意掃瞄不明來源的二維碼;

手機設密;

手機丟失及時掛失sim卡、各類銀行卡、三方支付賬戶;

點現金才是王道。

【JuangJuang的回答(0票)】:

風險就是你會整天被廣告電話騷擾 記得裝XX防護軟件呦

標籤:-支付寶 -電子支付 -微信 -移動支付 -條碼支付


相關資源:





給我留言