【導(dǎo)讀】子商務(wù)的出現(xiàn)，并使其成為業(yè)界新熱點(diǎn)。電子商務(wù)的顯著特。在交易過程中，消費(fèi)者、商家、企業(yè)、中間結(jié)構(gòu)。支付功能，并保證交易各方的安全保密。隨著電子商務(wù)的深入發(fā)展，支付領(lǐng)域的創(chuàng)新成為可能，在線競價(jià)市場熱鬧而缺乏交易的局面。我國的網(wǎng)上支付業(yè)務(wù)。隨著電子商務(wù)的發(fā)展而不斷發(fā)展，進(jìn)步，但是要想趕上國外，尤其是歐美國家的電子商務(wù)發(fā)展，還有一定的距離。足和國外的先進(jìn)技術(shù)，尤其是在網(wǎng)上支付平臺上的差距。

　　

【正文】 卡的資料又為了什么呢？由于當(dāng)時(shí)銀行工作人員表示“暫時(shí)查不了賬戶余額”，翟姐又以為反正卡在自己身上，也沒有受到什么損失，資料也改過來了，就沒再追究下去，只是叫銀行凍結(jié)賬戶。然而，幾天后，翟姐突然收到銀行發(fā)來的一條信息，顯示“用卡不成功”。后來銀行保衛(wèi)科打電話稱 她的卡被盜用了，建議她去報(bào)案。 因?yàn)橐呀?jīng)將卡凍結(jié)，加上臨近春節(jié)，翟姐并未馬上報(bào)案。到了 2 月 9 日，翟姐收到了銀行寄過來的賬單。不看不知道，一看嚇一跳，信用卡在凍結(jié)之前， 陽泉學(xué)院 畢業(yè)論文 21 居然被人刷走了三筆錢，都是網(wǎng)上消費(fèi)的，金額足足有 2 萬多元。翟姐一下子懵了。 翟姐去派出所報(bào)了案，希望公安部門能為自己追回?fù)p失。但不法分子是如何修改翟姐資料并盜刷其信用卡的呢？ 銀行方面回應(yīng)說，客戶修改資料，一是親自到銀行柜臺，出示身份證件修改，二是通過電話修改，如果客戶忘記密碼，他們則會進(jìn)行嚴(yán)格的審核，驗(yàn)證 客戶在銀行辦卡時(shí)填寫的資料信息，諸如身份證號、手機(jī)號、親人名字等等，答對后才可修改資料。 “出現(xiàn)這種情況，很有可能是翟姐信用卡的個(gè)人信息（如身份證號碼、卡號、 CVV 碼等）被人竊取了。不法分子謊稱忘了密碼修改了資料，我們也很難確認(rèn)打電話的是不是本人?！便y行工作人員表示。 翟姐表示，她一直沒遺失過卡，也從來就沒有把資料告訴過別人?！巴艘徊街v，就算有人知道了我的辦卡資料，但沒通過我簽名確認(rèn)的交易，又怎么能夠成功呢？”翟姐質(zhì)疑道。 銀行方面調(diào)查后則表示，現(xiàn)在很多交易都是在非面對面的情況下進(jìn)行的，只要有支付密碼以及卡 片的一些相關(guān)信息就可以交易，并不一定需要簽名。而且翟姐的 2 萬多元，都是不法分子通過電話訂機(jī)票的形式刷走的，甚至連卡號和密碼都不需要，所以他并沒收到消費(fèi)短信。 據(jù)介紹，國內(nèi)新近推出的電話支付系統(tǒng)不需要開通網(wǎng)銀，由銀行授權(quán)給某些商務(wù)網(wǎng)站，進(jìn)行訂票、旅游等服務(wù)?！艾F(xiàn)在我們正在研究怎樣降低風(fēng)險(xiǎn)，因?yàn)檫@種方式有一定風(fēng)險(xiǎn)。”銀行工作人員表示。 ，電話訂票審核少 這個(gè)事件，再次揭示了信用卡個(gè)人信息泄密的危險(xiǎn)。也引起了人們對電話支付的關(guān)注。 事實(shí)上，近年來信用卡辦理點(diǎn)遍及城市街頭。一些銀行為了提高發(fā)卡量，聘請了大量的業(yè)務(wù)員去街頭拉業(yè)務(wù)，并以免年費(fèi)、送禮物等方式，吸引一些市民前去辦卡。但在市民個(gè)人資料的保護(hù)上，這些銀行卻未必能加強(qiáng)監(jiān)督。 與此同時(shí)，電話訂票平臺在帶來便利的同時(shí)，也埋下了安全隱患。 陽泉學(xué)院 畢業(yè)論文 22 據(jù)了解，信用卡交易分為現(xiàn)場交易和虛擬交易兩種，現(xiàn)場交易持卡人必須持有信用卡和密碼才能使用。虛擬交易則主要通過網(wǎng)絡(luò)或電話來完成，翟姐的信用卡被人訂購飛機(jī)票就是通過虛擬交易進(jìn)行的。 對此，有網(wǎng)民表示擔(dān)憂：“沒問我要密碼票就訂好了，然后也扣款成功了，心里真是沒有安全感?！? 因此，電話銀行支付不要一味的追求方便便捷，也要考慮 到中國的國情：我國對個(gè)人隱私的保護(hù)力度還比較弱。也就是說，電話銀行支付應(yīng)該在考慮給顧客提供方便的同時(shí)也要保證客戶資金的安全，使之真正成為讓顧客滿意放心的新型支付手段。 電話支付的安全策略 客戶保障自己電話支付賬戶安全需注意 （ 1）客戶要提高自身的安全意識，不給犯罪分子任何可乘之機(jī)。保護(hù)好自己的卡號、密碼等重要信息，盡量在安全環(huán)境下進(jìn)行電話支付，而且要盡量避免使用公用電話等公共通訊設(shè)備。 （ 2）客戶在申請電話支付時(shí)，最好要綁定一個(gè)特定的電話。在這種情況下，即使不法分子偷聽到了銀行卡的卡號和密碼 ，也不能對客戶電話支付的賬戶進(jìn)行任何操作。因?yàn)殡娫捴Ц侗仨氁ㄟ^用戶綁定的電話進(jìn)行支付，也就是說賬號、密碼以及綁定電話缺一不可，所以其他人是無法盜用的。這就類似于網(wǎng)上支付時(shí)的電子口令卡等手段，同密碼一起為支付提供雙保險(xiǎn)，手機(jī)號碼、密碼的雙重驗(yàn)證保證了電話支付的安全性。 （ 3）盡量使用不同的密碼?？蛻粼谑褂?ATM、 POS。網(wǎng)上支付以及電話支付時(shí)，盡量使用不同的密碼。這樣，就算不法分子通過偷聽設(shè)備等手段獲得了客戶的銀行卡卡號和電話支付的支付密碼，并且復(fù)制了銀行卡，也無法得到交易密碼，不能實(shí)施竊取行為。 （ 4）如 果客戶使用的是智能手機(jī)，那么就要注意這個(gè)高科技產(chǎn)物的安全性了。由于現(xiàn)在智能手機(jī)已經(jīng)逐漸向掌上電腦的方向發(fā)展，其功能不斷完善，一方面為客戶提供了更多的功能，但另一方面也為木馬病毒提供了生存的土壤。所以，智能手機(jī)的安全性應(yīng)當(dāng)引起人們的關(guān)注。 上面只是從客戶的角度來保護(hù)自己的賬戶安全，但僅僅注意到這些方面是不夠的，銀行方面也有責(zé)任為客戶提供一個(gè)安全的支付環(huán)境，這就需要有一定的技 陽泉學(xué)院 畢業(yè)論文 23 術(shù)支持。電話支付計(jì)算機(jī)系統(tǒng)主要處理客戶通過電話提出的各種服務(wù)請求，并與銀行主機(jī)進(jìn)行數(shù)據(jù)處理即數(shù)據(jù)交換，完成各種指令。因此，電話支付計(jì)算機(jī)系 統(tǒng)有著較高的安全性要求，特別是對數(shù)據(jù)的正確性、保密性和完整性要求很高。 電話支付計(jì)算機(jī)系統(tǒng)方面的安全策略 （ 1）網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是信息安全的基礎(chǔ)，也是銀行數(shù)據(jù)安全、系統(tǒng)安全的前提條件?？蛻艋A(chǔ)信息和賬戶資料都存在銀行的數(shù)據(jù)庫中，而數(shù)據(jù)庫和銀行系統(tǒng)卻是通過網(wǎng)絡(luò)連接起來的，不論是銀行內(nèi)部網(wǎng)絡(luò)還是銀行外部的網(wǎng)絡(luò)，都可能存在這著對電話銀行系統(tǒng)的威脅。因此保證電話銀行系統(tǒng)的網(wǎng)絡(luò)安全也是十分必要的。 （ 2）數(shù)據(jù)加密 網(wǎng)絡(luò)中為保證數(shù)據(jù)的安全傳輸，首先的是對數(shù)據(jù)的加密。它是利用數(shù)據(jù)加密算法來實(shí)現(xiàn)數(shù)據(jù)保密的方法和 技術(shù)。與數(shù)據(jù)加密緊密相關(guān)的就是密鑰管理機(jī)制，它主要考慮密鑰的產(chǎn)生、分發(fā)和存儲的安全。 （ 3）信息認(rèn)證 信息認(rèn)證時(shí)信息安全的另一個(gè)重要方面，要驗(yàn)證信息的確來自授權(quán)方，網(wǎng)絡(luò)中互補(bǔ)認(rèn)識的雙方要進(jìn)行的通信，必須事先取得權(quán)威機(jī)構(gòu)的身份證書，才能取得對方的信任。 （ 4）信息完全性保護(hù) 信息在網(wǎng)絡(luò)中傳輸是可能會被篡改、重播或延遲。為了防止這些情況的發(fā)生，就要采取信息的完整性控制。序號機(jī)制、信息識別碼和數(shù)字簽名都可以有效地用于數(shù)據(jù)完整性控制。 （ 5）訪問控制 與數(shù)據(jù)庫中的訪問控制類似，給每個(gè)客戶賦予適當(dāng)?shù)牟僮骱驮L問權(quán)限， 其目的是為了拒絕非法訪問和使用網(wǎng)絡(luò)資源，以保障網(wǎng)絡(luò)系統(tǒng)的安全。每個(gè)網(wǎng)絡(luò)資源都有訪問控制表，通過 ACL 規(guī)定客戶的訪問權(quán)限。 （ 6）路由控制 路由控制一般由網(wǎng)絡(luò)服務(wù)商提供，是信息經(jīng)安全可靠的子網(wǎng)、中繼網(wǎng)或節(jié)點(diǎn)進(jìn)行傳送。當(dāng)發(fā)現(xiàn)或懷疑信息受到監(jiān)視或非法處理時(shí)，就重新建立路由。正確的路由控制可以避免是敏感數(shù)據(jù)進(jìn)入危險(xiǎn)的節(jié)點(diǎn)和鏈路。 陽泉學(xué)院 畢業(yè)論文 24 自助支付概述 自助支付是指商業(yè)銀行在營業(yè)場所以外設(shè)立的自動取款機(jī)、自動存款機(jī)等通過計(jì)算機(jī)、通信等科技手段提供存款、貸款、取款、轉(zhuǎn)賬、貨幣兌換和查 詢等金融服務(wù)的自助設(shè)施。 自助支付存在的安全問題 ATM 交易存在的安全問題 （ 1）外部風(fēng)險(xiǎn)。外部風(fēng)險(xiǎn)主要表現(xiàn)為：不法分子為盜取客戶資金，利用種種手段對 ATM 實(shí)施外部作案。例如：通過假象、分散客戶注意力、套取密碼、誤導(dǎo)客戶等方式竊取客戶資金或通過轉(zhuǎn)賬轉(zhuǎn)出客戶資金。 2020 年，公安部門公布了銀行卡和銀行自助設(shè)備犯罪活動的十種常見手法。 手法一：不法分子冒用銀行或發(fā)卡機(jī)構(gòu)等金融部門名義，在 ATM 機(jī)上粘貼“溫馨提示”等虛假“通告”，然后用透明膠帶塞進(jìn) ATM 吐鈔口，使機(jī)器里的鈔票無法正常吐出，前來取 錢的客戶不能取鈔，情急之下就會撥打 ATM機(jī)上虛假“通告”提供的“服務(wù)熱線”，被不法分子誘騙進(jìn)行轉(zhuǎn)賬操作。 手法二：不法分子使用鐵鉤、鑷子、膠帶和假鍵盤等工具，將一個(gè)特制的鐵鉤放入 ATM插口，造成銀行卡被吞的假象，誘騙客戶按提示操作，泄露銀行卡密碼，等客戶走后，犯罪分子再拉出鉤子，取出銀行卡竊取現(xiàn)金。 手法三：在客戶使用 ATM取款時(shí)，不法分子上前搭話，分散其注意力，設(shè)法竊取客戶銀行卡帳戶信息和密碼，或調(diào)換客戶銀行卡。 手法四：不法分子在鍵盤上安裝盜碼器，貼在銀行提款機(jī)鍵盤上，客戶按下的密碼會被自動記錄下來并直 接發(fā)射出去。 手法五：不法分子利用假插卡槽作案。不法分子將假的 ATM插口固定在原來真插口的位置，客戶將銀行卡插入假插口后，假插卡槽內(nèi)部設(shè)置的讀寫裝置能復(fù)制卡上的全部信息。 手法六：不法分子在廣告夾里藏?cái)z像鏡頭。在一些 ATM機(jī)旁邊有一個(gè)廣告夾，這些廣告夾里可能藏著一個(gè)微型攝像機(jī)，通過攝像機(jī)將鍵盤和熒屏上的資訊拍下來，并傳到 200 米之外的不法分子手上。 手法七：不法分子在 ATM柜員機(jī)安裝秘密攝像裝置，竊取持卡人密碼。同時(shí)，撿拾持卡人取款后遺棄的取款憑條獲取持卡人卡號，再利用電腦、讀寫磁機(jī)將卡號寫入另一張磁卡上， 變造銀行卡后使用。 陽泉學(xué)院 畢業(yè)論文 25 手法八：不法分子在自助銀行門上的刷卡器上安裝自制的磁條讀寫裝置，假冒成門禁系統(tǒng)以遮擋住原來的門禁系統(tǒng)，并貼上“刷卡后請按密碼確認(rèn)”等提示語言字樣，誤導(dǎo)客戶操作，竊取銀行卡卡號和密碼，制造假卡行騙。 手法九：不法分子采用有記憶功能的鍵盤或類似塑料薄膜的物質(zhì)覆蓋在 ATM鍵盤上，竊取持卡人密碼，并利用吞卡設(shè)置取得持卡人銀行卡。 手法十：不法分子用膠水封堵自助銀行自動門的刷卡器，在旁邊安裝另一個(gè)有輸入密碼的刷卡器，里面有一通信電話卡，只要持卡人輸入的密碼后刷卡，其信息資料九以短信的形式發(fā)往犯罪嫌 疑人的手機(jī)上。 表 51 為 ATM 犯罪活動的常見手法和作案手段。 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 虛假提示 √ √ √ 人為制造 ATM 吐超故障 √ 人為制造 ATM 吐超假象 √ √ 加裝工具盜取銀行卡 √ √ 加裝鍵盤盜取密碼 √ √ 假插卡槽盜取卡信息 √ 藏?cái)z像頭偷拍密碼輸入 √ √ 門禁加裝刷卡器盜取密碼等信息 √ √ 轉(zhuǎn)移客戶注意力 √ 陽泉學(xué)院 畢業(yè)論文 26 并盜取卡和密碼 仔細(xì)分析這些手法，可以歸納出每一種手法采用了一種或多種作案手段。商業(yè)銀行作為金融機(jī)構(gòu)的所有者和金融服務(wù)的提供者，應(yīng)該針對這些詐騙手段，在 ATM機(jī)上采取有針對性的技術(shù)手段進(jìn)行防范。 另外，外部分險(xiǎn)還表現(xiàn)在客戶的自我保護(hù)意識方面不強(qiáng)，人們普遍缺乏安全意識，隨手丟棄存取款憑條或交易憑證、在無保護(hù)狀態(tài)下進(jìn)行密碼輸入等情況相當(dāng)嚴(yán)重，磁道信息或帳戶密碼極易被犯罪分子獲得，為變造、偽造、克隆銀行卡和進(jìn)行網(wǎng)上犯罪提供了便利；有的網(wǎng)上銀行客戶對個(gè)人數(shù)字證書的安全 意義認(rèn)識不足，保管不當(dāng)，在多臺或公用計(jì)算機(jī)中安裝了個(gè)人數(shù)字證書；有的客戶賬戶交易密碼設(shè)置過于簡單；有的為了避免忘記密碼，將卡、折和密碼一起存放。這些都給犯罪分子留下可趁之機(jī)，并留下風(fēng)險(xiǎn)隱患。 （ 2）內(nèi)部風(fēng)險(xiǎn)。同外部風(fēng)險(xiǎn)相比，內(nèi)部風(fēng)險(xiǎn)隱蔽性較高，一旦發(fā)生，造成的損失往往比外部風(fēng)險(xiǎn)高的多，且內(nèi)部風(fēng)險(xiǎn)的防范比外部風(fēng)險(xiǎn)更為重要。主要表現(xiàn)在：風(fēng)險(xiǎn)意識淡薄、警惕性不足；軟件系統(tǒng)和日常維護(hù)管理不嚴(yán)；規(guī)章制度不健全，業(yè)務(wù)操作不規(guī)范；卡產(chǎn)品技術(shù)設(shè)計(jì)上的缺陷，為犯罪分子提供了可趁之機(jī)；自助設(shè)備硬件上的風(fēng)險(xiǎn)；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；服務(wù)響 應(yīng)風(fēng)險(xiǎn)；對賬手段相對落后。 POS 安全問題 隨著業(yè)務(wù)應(yīng)用范圍的不斷擴(kuò)大， POS 的安全性和保密性越來越受到關(guān)注。 （ 1）使用非法的物理設(shè)備，通過部分合法的信息，冒用合法的操作員進(jìn)行交易，一起進(jìn)入系統(tǒng)。 （ 2）冒用他人遺失或盜竊所得的卡、設(shè)備，以圖冒充別的合法用戶進(jìn)入系統(tǒng)，對系統(tǒng)進(jìn)行實(shí)質(zhì)上未經(jīng)授權(quán)的訪問。 （ 3）主動攻擊。直接對 POS 設(shè)備與外部通信所交換的信息流進(jìn)行截聽、修改等非法攻擊，從中牟取利益或破壞系統(tǒng)。 從上述分析可知， POS系統(tǒng)的安全不僅僅是軟件系統(tǒng)邏輯上的安全，而且還包括 POS本身的物理 上的安全。所以 POS 系統(tǒng)的安全可分為三個(gè)部分： POS的物理安全、用戶的身份安全和通信傳輸中的信息安全。 （ 1） POS 的物理安全。在 POS 的物理安全中，除 POS 本身的物理安全外，還包括防止外界對 POS的物理攻擊安全。 POS本身的物理安全主要體現(xiàn)在其物理 陽泉學(xué)院 畢業(yè)論文 27 封裝上是否堅(jiān)固耐用，能夠承受相應(yīng)的碰擊而不致?lián)p壞，能夠承受一定程度的化學(xué)、電氣和靜電的損害。在實(shí)際中，經(jīng)常遇到的是承受高壓、低壓的能力，不至于由此毀壞設(shè)備或外圍電路。 （ 2）用戶的身份安全。 POS 系統(tǒng)中的用戶一般分為操作 POS 的操作員和持卡人，因此用戶身份安全就 包括操作員和持卡人的身份安全。在處理 POS 交易前，要識別持卡人的身份，防止他人盜用合法持卡人名義進(jìn)行非法的 POS交易，以保護(hù)消費(fèi)者數(shù)據(jù)的完整性和保密性。同時(shí)還應(yīng)當(dāng)檢查操作員的權(quán)限，防止無權(quán)操作。 （ 3）通信傳輸中的信息安全。 POS 的通信安全與保密和用戶身份鑒別一樣重要，甚至更加重要。因?yàn)?POS上做任何交易都得與銀行主機(jī)進(jìn)行通信，相當(dāng)于銀行的一臺終端。主機(jī)與異地主機(jī)之間的互聯(lián)、交換信息相對頻繁。通信信息若被輕易的監(jiān)聽、分析，用戶身份的安全也就蕩然無存，所以通信上的安全與保密是 POS 安全特性中極其重要的一面。一