5月15日,中国人民大学的大一女生雪儿(化名)突然发现,自己工商银行卡上莫名其妙地少了700元钱。她随即于当天到海淀派出所报案。
回校后,雪儿联想到自己曾经使用该卡网上支付购物,便打印了工行卡的近期交易流水,发现5月13日16时05分,有人通过上海环迅电子商务有限公司的“环迅ISP”在线支付平台,划走了她卡上的700元钱。
记者致电环迅电子商务有限公司,接电话的客服部胡先生说,通过“环迅ISP”进行网上支付,必须输对卡号和密码才能完成支付。可能是有人利用“木马”病毒盗走了雪儿的卡号和密码。
“环迅ISP”的胡先生说,作为支付平台,他们只是提供客户与网上银行间的连接服务,卡号和密码认证都在网上银行进行,建议记者再与北京工行网上银行联系。
记者随即致电北京工行95588热线,1389号接线员转至网上银行部281号接线员,他让记者去报案等公安局来破案。记者问:“你工行客户的700元钱,通过工行网上银行被他人支付了,你们该负什么责任?”他说:“只要输对了卡号和密码,网上银行就能完成支付。至于银行该承担什么责任,让公安局跟我们联系。”
5月17日晚上7点,记者致电海淀派出所的黄警长,他表示已经立案了,等着吧。记者问等到何时,他答复:“我只能告诉你‘最快’。”
网络咋这么不安全
就雪儿遇到的问题,记者与几位亲友交流,她们表示虽然经常上网购物,但从来没有网上支付过,同城选择货到付款,异地选择邮局或银行汇款,因为担心网上支付不安全。但艾瑞市场咨询第五届网民网络习惯和消费行为调研数据则显示,网上支付已成为网民进行网上消费时的重要支付方式之一。
网上支付是否安全,主要是看信息能否被窃取和信息被盗时是否可追溯?记者了解到,目前世界上确保网上支付信息不被窃取的手段,主要靠四种身份认证手段:一是用户名和密码;二是动态密码,分为有源动态密码和无源动态密码;三是多因子的论证,包括手机短信和个人信息等;四是证书认证。其中,证书认证被认为是最安全而且方便的。
山东省电子商务综合支付平台副总经理孙继信说,到目前为止,无论国际还是国内,用数字证书进行的网上交易没有发生过一例信息被窃取的。就是说,如果用数字证书进行网上支付,即使卡号和密码泄露,别人也没办法支走你的钱。因为目前数字证书常用的RSA密钥长度为1024位,想要破译简直是天方夜谈。
孙继信分析,雪儿可能没有申请数字证书,并在上网过程中碰到了“木马”等窃取信息的病毒。
记者致电北京的雪儿,她说第一次网上支付购物时,的确曾有窗口提醒申请数字证书,但要求扫描个人身份证。
这太麻烦了,她就放弃了。而被盗走700元前,有一次她曾在一个网站上看到一条信息,称只要输入其银行卡号和密码,就可以注册成该网站会员,并享受到“预付5元见货付款”的优惠服务。
省信息产业厅网络处刘春波分析,这可能就是“木马”窃密过程。他描述,“木马”是一种具有很强隐蔽性的远程控制软件,在你点击某一个不明邮件时,就在你的电脑上完成了安装。诈骗者会使用“木马”截获受害者的个人信息,使用记录器将键盘、鼠标的使用情况记录下来并发送走,“木马”主人可以从中分析而获取密码;或搜索硬盘中含有诸如“password”、“密码”、“口令”等字样的各类文件,发现就发给主人。
责任到底该谁负
去年6月9日,中国人民银行发布了《电子支付指引(征求意见稿)》,其中对电子支付的定义、范围、责任等方面都进行了规定。
雪儿的700元钱是通过网上支付平台“环迅ISP”和工行的网上银行划走的,那么依据《电子支付指引》,支付平台和北京工行该承担什么责任呢?
中国银联山东分公司技术部主任单长胜对记者说,网上支付过程中,信息泄密发生在哪个环节,就应该由哪个环节承担。由于整个支付过程的信息都有记录,可以进行追溯。如果网上银行的持卡人,因为没有申请数字证书而资金被盗支,则责任在持卡人。
记者了解到,目前在国内法律体系下,如果公安机关抓不到犯罪分子,雪儿的这700元损失就只能自己承担。
雪儿讲,她以前都是通过“支付宝”来进行网上支付的。记者致电支付宝公司了解到,它是先将消费者的钱存在公司账户上,消费者收货满意后,支付宝才把钱划给卖家。而且支付宝提出受到损失将获得全额赔付。
这么看来,如果犯罪嫌疑人通过“支付宝”就没法盗取雪儿的钱。即使被盗取,支付宝也可能全额赔付。
可是记者了解到,支付公司不同于银行,众多商户、消费者的钱都存在支付公司的账户中。而且支付宝称,必要时无需事先通知即得终止服务,并可立即删除账号和账号中的资料和档案。记者不禁想,如果支付宝面临暂停或者关闭时,用户的资金安全吗?
单长胜对记者说,这是一种新的业务模式,应该说目前仍处在央行的监管办法之外。