红星锐评丨数亿人的移动支付安全岂能只靠倒逼？

近日，全国多地接连发生多起银行卡被盗刷事件。深圳市龙岗警方历时一个多月，打掉一个涉嫌全链条盗刷银行卡的团伙，抓捕10名嫌疑人，涉案金额逾百万元。

在此之前，郑州、广州、厦门等地警方也相继破获类似案件。这些银行卡盗刷案件作案手段一致，均是利用手机2G网络（GSM）不加密传输的漏洞，通过伪基站和短信嗅探器，在一定范围内获取用户手机号码和短信验证码。之后，再利用各大银行、网站、移动支付APP存在的漏洞和缺陷，实现信息窃取、资金盗刷。

▲图据东方IC

在移动支付日益兴起的时代，大量的支付场景和应用程序，极大方便了网民的日常起居、衣食住行，仿佛一夜之间都可以通过手机、POS机、无人ATM等智能终端联系。

然而，不容回避的是，移动支付的飞速发展和高频次应用，必然带来更严苛的安全需求。事实上，短信嗅探带来的网络安全问题，已经引起了业内的注意。今年2月11日，全国信息安全标准化技术委员会组织专家论证，发布《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》，指出由于2G网络存在单向鉴权和短信内容无加密传输等局限性，且短信截获攻击呈现工具化和自动化趋势，使利用此类威胁实施攻击的门槛大幅降低，基于短信验证码实现身份验证的安全风险显著增加。

网络支付方便快捷，安全风险却不容小视，有风险就要补上。对此，上述技术指引建议，“各移动应用、网站服务提供商优化用户身份验证措施，选用一种或采用多种方式组合，比如通过短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式，加强安全性。” 其中，短信上行验证是由用户手机主动发送指定短信内容到各类应用平台进行身份验证；常用设备绑定是指原则上支付、转账等敏感操作只能通过绑定的设备执行；生物特征识别是人脸识别、指纹识别等。

看到漏洞，更应该补齐短板，才能弥补差距。不可否定，资本的助推，技术的迭代，对任何互联网产品的应用和普及提出了更高的要求。阿尔法狗出现，“人工智能”一时风靡，怎么保护个人隐私？百度无人驾驶技术逐渐成熟，交通规则怎么修改？新技术的使用，总会有一个探索的过程，谁的成长过程中不会出点这样那样的小毛病？

监管有漏洞，其实也是给管理者提了个醒儿。主动适应、积极变革，才能形成一个包容的政策环境、形成一种积极的政策导向，才能激发创新潜力。有关移动支付的争议，从它出现起就不曾断绝，也正是在一次次的质疑和碰撞中，相关企业和主管部门都从各自的职责出发，对这一新事物进行了规范和完善。网络技术正在改变我们的生活方式，但我们必须确保，那些旨在保护安全和生活品质的法律，不会以创新的借口被抛弃。

END

文丨观诸

编辑丨冯玲玲

如果您发现本新闻有虚假不实等问题

欢迎向我们后台留言举报