网上支付对于很多人来说并不陌生。你也许通过某家商业银行的网上银行转账、支付交易保证金,或是通过一些专业的网上支付服务商进行过网上购物在线支付。所有这些通过互联网进行的支付方式都是网上支付。
支付工具的不断创新和丰富,增强了不同支付工具之间的替代性,为消费者提供了更多的选择和机会,给人们日常生活购物带来极大便利,对满足多样化的支付服务需求发挥了积极作用,但存在的隐患却让人担忧。因此,如何减少支付风险就成了一个摆在人们面前的问题。降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者通常用哪些手段得到得到支付密码呢?
(1)骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信(邮件)。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗,乖乖地向其泄漏自己的银行卡支付密码。
(2)支付终端截取。攻击者可以在持卡人电脑上发布恶意软件(如木马软件)。这些软件能在持卡人输入支付密码时悄无声息地捕获,并偷偷地发送出去。
(3)网络截获。攻击者在支付终端和其他网络设备等节点通过智能识别和密钥破解手段得到支付密码。
(4)暴力攻击。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机,攻击者可以采用密码词典(密码词典包含了0~9数字不同字长的各种数字串组合)方式逐个试探。
(5)其他途径获取。攻击者趁持卡人不注意,在银行柜台、ATM或POS终端记下持卡人的支付密码。
支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出,我们首先要具有安全意识和基本防范技能。持卡人应注意以下事项:
(1)识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此,持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商,熟悉其域名,并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式,可以帮助持卡人识别假网站。
(2)识别虚假短信和邮件。虚假短信(邮件)相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后,应确认短信发送者的真实身份或短信内容。
(3)不要设置简单密码。持卡人注意不要设置简单的密码。如不要采用简单数字组合、自己或亲人的生日信息、电话号码作为密码。
(4)要注意支付终端的安全性,如不要在公用网吧进行网上支付;在支付终端上安装反病毒、反木马软件。
(5)要注意在其他场所支付输入密码时不轻易为他人偷窥、摄像等,不要将密码记录在被人容易看到的纸片上。
(6)采用数字证书安全机制的支付方式。支付密码能轻易为攻击者骗取、窃取或破解,更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合,属于低安全强度的保护机制。如采用数字证书代替或补充支付密码就是一种更有效方式。因此,持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式。
