移动支付之所以有今天，是因为支付速度快，但也正是因为支付速度快，安全漏洞频频发生。

7月5日，中信银行武汉分行专家表示，消费者在使用快捷支付时，一定要保护好自己的个人账户信息，不要轻易点击陌生链接或泄露个人信息，特别是短信验证码内容，以免被快捷支付误会。支付。对付款缺乏了解会导致资金损失。

在安全、便捷话题不断升级的今天，有必要谈谈快捷支付的原罪。

快捷支付已成为银行卡诈骗的重灾区，97%通过第三方支付。

央行今年3月15日公布的数据显示，截至2016年末，全国银行卡使用量61.25亿张，同比增长12.54%，增速提升2.28个百分点。其中，借记卡使用和发行量56.60亿张，同比增长12.96%；信用卡、借记卡和贷记卡使用和发卡量合计4.65亿张，同比增长7.60%。

在全国银行卡发卡数量快速增长的同时，银行卡被盗的案件也层出不穷，而且每起案件的涉案金额都更高。

今年“3月15日”期间，21CN发布了《2016年境内银行卡欺诈大数据报告》（以下简称报告）。报告指出，2016年，全网共发生银行卡诈骗案件7095起，累计给客户造成损失1.83亿元。尤其是现在网上支付风靡一时，快捷支付已经取代了传统的假卡，成为诈骗的重灾区。但消费者在遭遇诈骗后仍普遍面临理赔难的问题。

据了解，报告2016年全年从新浪微博、聚投诉网、新闻网站、论坛等投诉网站收集了7000余条投诉信息。

其中，新浪微博收到投诉最多，全年共收到投诉3341条，占全网投诉总量的47%；投诉量第二多的是21CN聚投诉，全年收到银行卡诈骗有效投诉1705件，占总数的47%。超过24%；全年媒体新闻报道1566次，占22%；主流网络论坛全年发布银行卡诈骗投诉469起，占比7%；其他投诉网站的公众投诉较少。仅收集到14起诈骗投诉，其中9起是深圳市消委会受理的投诉。

在快捷支付诈骗投诉中，97%是通过第三方支付进行的。其中，支付宝银行卡诈骗投诉最多，全年累计562起，位居行业第一；京东钱包以 278 名紧随其后；财付通（含微信支付）投诉245起，排名第三。

报告统计，2016年，聚飞网网络银行卡诈骗投诉负面评论共计563条。四大银行中，工商银行、建设银行、农业银行位列前三。招商银行负面评价多于中国银行，与农业银行并列第三。上述五家银行的负面评价占总数的74%。工商银行负面评价最多，为173条，占全行业负面评价总数的30.7%。

报告指出，央行2016年颁布的《银行支付机构网络支付业务管理办法》在第三方支付机构监管方面取得了长足进步，但银行业的相关监管规则尚未澄清。目前在防欺诈、处理、理赔等方面硬约束不够，甚至落后于第三方支付机构。于是，被骗的顾客往往要通过各种方式投诉，才能得到重视。

快速支付缺口

长期以来，快捷支付一直被银行诟病。从它的激活到每一次的支付，都与银行传统的风控理念相去甚远。目前快捷支付的激活方式是第三方支付将银行的相关信息和客户输入的手机号码发送给银行验证客户身份并激活，无需验证银行卡密码。但从银行的角度来看，个人客户资金最重要的安全措施是密码和现场验证。其他信息和方法仅是辅助性的。但快捷支付验证的身份信息和预留手机号码在银行眼中并不是关键的安全因素。事实上，他们破坏了银行原有的支付安全系统。即使银行后来推出准快捷支付产品来竞争，激活验证内容中也必须包含卡密码。这也从一个方面验证了银行与第三方支付对于关键安全因素认识上的差异。

快捷支付本质上是第三方支付在银行以密码为安全核心的“防弹衣”中造成的缺口。虽然有安全措施，但只要漏掉“杀手”，资金被盗就是必然的结果。因此，通过快捷支付被盗的资金目前由第三方而不是银行支付是有道理的。并不像一些媒体所说的，银行店面欺骗客户，只会为客户考虑第三方支付。

快捷支付隐私泄露及黑色产业链

如果只是防弹衣上有缝隙，而没有人利用的话，就不会出现如此猖獗的盗窃事件。然而，目前个人隐私的泄露可以说是令人震惊。快捷支付和银行验证的客户相关信息已经不能作为识别客户身份的完整依据，更不能成为防范风险的屏障。

4月10日，央视新闻30节目播出了银行卡被盗的来龙去脉。大致内容是，不法分子通过假冒基站发送钓鱼短信、设置免费WIFI、修改POS等方式窃取个人信息、短信验证码和银行卡信息，最终通过复杂的黑色产业链盗取资金。

事实上，包括你我在内的大多数普通人的隐私，早已流通到了某一类人的手中。任何存储大量个人信息的网站被内部人士“拖走”或出售后，这群人的饕餮盛宴就会开始，而依赖这些个人信息和密码进行客户认证的网站自然会成为下一步。攻击的目标最终将成为一个比你我更了解自己的数据库。比如，现在一些人仍在谈论的“社会工作数据库”，只是暴露在公众面前的冰山一角。通过多个不同渠道获得的数据库，可以根据身份证、手机号码等关键键值将信息匹配到一起。 ，对每个人的隐私信息都有完美的画像，形成黑色产业链中的另一种“千人千面”的感觉。

除了非法手段之外，不少企业对客户隐私的漠视也是造成隐私泄露的重要原因。例如，中国移动目前要求客户在更换4G卡时向电话推销员提供常用地址，此前曝光的蚂蚁花呗催收方式通过联系人提醒借款人还款等，都涉及交出客户隐私。将信息提供给组织内权限较低的人甚至外包人员，大大增加了信息泄露的可能性以及未来追究责任的难度。

至此，快捷支付和银行验证的信息已经失去了验证客户身份和意愿的能力，只有手机验证码在奋力抵抗。

躺着也被枪杀的电信运营商

短信验证码是快捷支付验证用户身份的重要组成部分。然而手机通信技术这些年已经发展了，从模拟信号到GSM，再到现在的4G LTE甚至未来的5G。技术一直在不断进步，网络速度越来越快，通话质量也越来越好。但每一代技术都有一个共同点：手机号码和短信都没有被用作重要的安全措施。哪怕是手机这么大，也一直走在NFC的路上。

这其实是一种很正常的思维方式。对于电信运营商来说，其主要电信业务涉及的客户资金只有话费，而话费的提取需要非常复杂的流程且金额不大，因此没有太多考虑保护卡和手机的安全。电话号码。如果不是国家要求，恐怕我连实名制的想法都不会产生。毕竟，即使卡丢失或补发，也不会对电信运营商及其客户造成直接损失。直到有一天，他们在快速支付战车上被绑架，才发现自己虽然没有从中得到多少好处，却遭到了数千人的指责。

目前，除了常见的假基站假号码、批量发送钓鱼短信外，电信运营商提供的一些服务也成为不法分子利用的工具。比如之前的短信保险箱保存短信验证码、近期被曝通过邮箱发送诈骗短信等。170段虚拟运营商已经成为发送钓鱼短信的重灾区。这些问题实际上正在拉大快速支付所拉开的差距。然而，换个角度看，“不打招呼就拿邻居家的油条当门闩”指责“油条”不给力的第三方支付方式有何立场？足够的？

监管与未来发展

在前面的分析中，似乎银行、第三方支付公司、电信运营商各有各的理由和委屈。然而，即使没有人是对的，用户的钱被盗也是事实。因此，全链条企业应该主动承担更多的社会责任。毕竟，金融风险问题仍然遵循木桶理论。目前，银行和电信运营商在电话号码用户识别、换卡二次验证、假冒基站自动检测、钓鱼网站拦截等方面做了大量工作。但网络盗窃案件迅速蔓延，仍存在不少问题。任重而道远。

与此同时，监管层并没有选择等待。

2015年12月底，央行发布《非银行支付机构网络支付业务管理办法》。央行在该文件中强调，银行负有客户资金安全管理责任。应当在首次交易时独立识别客户身份，并直接与客户签订授权协议，承诺无条件全额承担该次交易的风险和损失责任并提前赔偿。实际上，这对银行对快捷支付尤其是开通方面提出了管理要求，与银监会2011年的文件基本一致。

此外，《办法》还规定，对于无法有效证明客户造成的资金损失，支付机构应当及时足额赔偿，并对支付机构进行风险分类。对于风控能力较弱的第三方支付，每笔支付金额为200元。上述不定期快速付款须经银行核实。风控能力较好的第三方支付可以通过协议与银行自主约定，由支付机构代其进行交易验证，但必须将支付相关信息告知银行。

2016年4月，《非银行支付机构分类评级管理办法》正式发布。结合前面提到的《非银行支付机构网上支付业务管理办法》，一些技术能力不足、业务水平有限、风控能力差的中小第三方支付企业将逐渐弱化直到他们退出舞台；而技术能力强、业务水平高、风控能力强的大型第三方公司将获得优惠。

同月，中央十四部委联合印发《非银行支付机构风险专项整治实施方案》。包括快捷支付在内的第三方支付的直接银行模式可能会在一段时间后结束，并可能被新的在线支付结算平台所取代。

当这些规范性文件出台后，我们可能需要告别原来的快捷支付模式；等待我们的是一个仍然便利但更安全的未来。

文章编译自：长江日报、法治周末、虎嗅网，略有删减。