网上支付是不是安全

　　5月15日，中国人民大学的大一女生雪儿（化名）突然发现，自己工商银行卡上莫名其妙地少了700元钱。她随即于当天到海淀派出所报案。
　　回校后，雪儿联想到自己曾经使用该卡网上支付购物，便打印了工行卡的近期交易流水，发现5月13日16时05分，有人通过上海环迅电子商务有限公司的“环迅ISP”在线支付平台，划走了她卡上的700元钱。
　　记者致电环迅电子商务有限公司，接电话的客服部胡先生说，通过“环迅ISP”进行网上支付，必须输对卡号和密码才能完成支付。可能是有人利用“木马”病毒盗走了雪儿的卡号和密码。
　　“环迅ISP”的胡先生说，作为支付平台，他们只是提供客户与网上银行间的连接服务，卡号和密码认证都在网上银行进行，建议记者再与北京工行网上银行联系。
　　记者随即致电北京工行95588热线，1389号接线员转至网上银行部281号接线员，他让记者去报案等公安局来破案。记者问：“你工行客户的700元钱，通过工行网上银行被他人支付了，你们该负什么责任？”他说：“只要输对了卡号和密码，网上银行就能完成支付。至于银行该承担什么责任，让公安局跟我们联系。”
　　5月17日晚上7点，记者致电海淀派出所的黄警长，他表示已经立案了，等着吧。记者问等到何时，他答复：“我只能告诉你‘最快’。”

　　网络咋这么不安全

　　就雪儿遇到的问题，记者与几位亲友交流，她们表示虽然经常上网购物，但从来没有网上支付过，同城选择货到付款，异地选择邮局或银行汇款，因为担心网上支付不安全。但艾瑞市场咨询第五届网民网络习惯和消费行为调研数据则显示，网上支付已成为网民进行网上消费时的重要支付方式之一。
　　网上支付是否安全，主要是看信息能否被窃取和信息被盗时是否可追溯？记者了解到，目前世界上确保网上支付信息不被窃取的手段，主要靠四种身份认证手段：一是用户名和密码；二是动态密码，分为有源动态密码和无源动态密码；三是多因子的论证，包括手机短信和个人信息等；四是证书认证。其中，证书认证被认为是最安全而且方便的。
　　山东省电子商务综合支付平台副总经理孙继信说，到目前为止，无论国际还是国内，用数字证书进行的网上交易没有发生过一例信息被窃取的。就是说，如果用数字证书进行网上支付，即使卡号和密码泄露，别人也没办法支走你的钱。因为目前数字证书常用的RSA密钥长度为1024位，想要破译简直是天方夜谈。
　　孙继信分析，雪儿可能没有申请数字证书，并在上网过程中碰到了“木马”等窃取信息的病毒。
　　记者致电北京的雪儿，她说第一次网上支付购物时，的确曾有窗口提醒申请数字证书，但要求扫描个人身份证。
　　这太麻烦了，她就放弃了。而被盗走700元前，有一次她曾在一个网站上看到一条信息，称只要输入其银行卡号和密码，就可以注册成该网站会员，并享受到“预付5元见货付款”的优惠服务。
　　省信息产业厅网络处刘春波分析，这可能就是“木马”窃密过程。他描述，“木马”是一种具有很强隐蔽性的远程控制软件，在你点击某一个不明邮件时，就在你的电脑上完成了安装。诈骗者会使用“木马”截获受害者的个人信息，使用记录器将键盘、鼠标的使用情况记录下来并发送走，“木马”主人可以从中分析而获取密码；或搜索硬盘中含有诸如“password”、“密码”、“口令”等字样的各类文件，发现就发给主人。

　　责任到底该谁负

　　去年6月9日，中国人民银行发布了《电子支付指引（征求意见稿）》，其中对电子支付的定义、范围、责任等方面都进行了规定。
　　雪儿的700元钱是通过网上支付平台“环迅ISP”和工行的网上银行划走的，那么依据《电子支付指引》，支付平台和北京工行该承担什么责任呢？
　　中国银联山东分公司技术部主任单长胜对记者说，网上支付过程中，信息泄密发生在哪个环节，就应该由哪个环节承担。由于整个支付过程的信息都有记录，可以进行追溯。如果网上银行的持卡人，因为没有申请数字证书而资金被盗支，则责任在持卡人。
　　记者了解到，目前在国内法律体系下，如果公安机关抓不到犯罪分子，雪儿的这700元损失就只能自己承担。
　　雪儿讲，她以前都是通过“支付宝”来进行网上支付的。记者致电支付宝公司了解到，它是先将消费者的钱存在公司账户上，消费者收货满意后，支付宝才把钱划给卖家。而且支付宝提出受到损失将获得全额赔付。
　　这么看来，如果犯罪嫌疑人通过“支付宝”就没法盗取雪儿的钱。即使被盗取，支付宝也可能全额赔付。
　　可是记者了解到，支付公司不同于银行，众多商户、消费者的钱都存在支付公司的账户中。而且支付宝称，必要时无需事先通知即得终止服务，并可立即删除账号和账号中的资料和档案。记者不禁想，如果支付宝面临暂停或者关闭时，用户的资金安全吗？
　　单长胜对记者说，这是一种新的业务模式，应该说目前仍处在央行的监管办法之外。

1