引言:日本Decomo移动支付盗刷事件正在发酵,这不仅仅是用户层面,更是引发了后端支付产业上下游的持续变革,落后的安全机制极大的制约了日本移动支付发展,回顾事件经过,本文将剖析日本多起盗刷事件的根本原因,窥探日本落后的支付系统,将如何赶上移动支付浪潮。
连日以来,日本NTT Docomo公司(“都科摩”)所提供的“Docomo口座”(本文译:都科摩账户)支付服务,因为其安全漏洞导致用户银行存款遭到盗用的问题,受到媒体及大众的广泛关注。日本由政府主导的无现金化政策推广开始之后,这是继7Pay以来第二次出现的重大安全问题,也让民众对移动支付业界产生普遍的质疑。本文将试着对本次“都科摩账户”事件经历和其原因进行粗浅的分析,抛砖引玉。
事件经过
2020年9月初,在日本社交网络上有多人报告自己的银行账户的8月份记录中出现了“都科摩账户”的转账记录,而这些人并没有使用“都科摩账户”的服务。此事引起了舆论重视,NTT都科摩公司就此展开了调查。调查发现,有攻击者利用已经掌握了的他人银行信息假冒身份开通“都科摩账户”并绑定银行账户进行充值后,在实体店线下支付获利。
从5日开始,“都科摩账户”陆续停止各个受害银行的账户登录/更改服务,10日停止了与其相连的所有35家银行系统的登录/更改服务。同样是10日,日本金融厅发出征求报告命令,NTT都科摩公司向全社会谢罪道歉,并发表总共有11家银行,66件转账总计约1800万日元。受害额统计一直陆续增加,截至10月8日,总共发现11家银行共计2842万日元受害。
除“都科摩账户”之外,日本境内知名的多家支付服务供应商如PayPay/ Kyash/ Merpay/ Line Pay/ PayPal等多也陆续发现类似被害。
虽然各个支付服务供应商的具体盗用方式有细微不同,但大致可以归结为下图的方式:
图1-1
此次事件,支付服务供应商方面“都科摩账户”受害最大影响最深。银行方面,日本邮政银行受害额最大;受害范围最广则是地方银行,多达9家地方银行在此次事件中受害。日本邮政银行进行全面分析之后,发现该行由于无现金支付造成的盗用受害已达到约6000万日元(10月5日最新消息表明赔偿额为4940万日元,而其中最早的受害可以追溯到2017年7月),其旗下的mijica支付服务也发生了大规模账户信息泄露及盗用问题。
事件特点
从事件特点来看,与2019年的7Pay事件相比,本次事件责任并不应该全由“都科摩账户”等支付服务提供商负责,银行本身也需要负担重大的责任。可以验证此结论的是,该事件后不久,SBI证券也很快发现了一种新型盗用方式。攻击者首先盗取SBI证券用户的账户;因为SBI证券账户中的金额只可以转入本人名义下的银行账户之内,所以攻击者使用同样名义伪造证件开设同名的银行账户;随后更改SBI证券中的收款银行账户为伪造的银行账户并进行转账最终获利。截至9月16日,SBI证券的受害金额已达9864万日元。
下表对7Pay、“都科摩账户”以及SBI证券事件的受害模式与受害金额的对比:
表2-1
总体来说,支付服务提供商的受害金额并不大。SBI证券并非支付业务,但也因为其证券业务性质,资金流动与其余两家支付公司相比较为大额,因此受害也最为严重。支付服务受害金额不大的原因可以大致分析如下:
1、受害基数相对较小
本次事件除邮政银行之外的主要银行的安全防范相对到位,并未受害。而受害最广的地方银行通常的主要业务是为本地企业提供金融服务,个人一般存款用户数量有限,因此整体受害基数较小。
2、支付服务属性限制
为了防范利用支付服务进行犯罪洗钱等行为,日本政府制定了犯罪收益转移法对电子交易以及支付服务做出了种种限制,例如限制购买电子货币以及快速现金化的商品等。攻击者获利方式大多只能选择线下购买保值且出手容易的商品,例如香烟等转卖,犯罪成本较高,周期较长。
但“都科摩账户”此次安全事故对民众信心的影响是很大的。与前次7Pay是盗取该支付账户内资金不同的是,本次是通过银行系统设计的不足直接盗取银行账户内的资金,让每个民众都会产生自己有可能成为下一个受害者的担忧,造成了较大的恐慌。
有趣的是,在“都科摩”公司的声明中,本次受害是“对于部分银行,在都科摩账户产生的盗用”(一部の銀行において、ドコモ口座を利用した不正利用が発生している),而受害银行的描述则是“在都科摩账户中发生盗用本行帐户的情况”(ドコモ口座において、当行口座の不正利用が発生した)。这清楚显示了双方对于责任分界的不明确,也表明本次安全问题并非是支付服务供应商单边的问题,而是支付业界整体的问题。
笔者认为,日本以银行为主的传统支付业界所存在的既有业务形态以及思维模式,与新形势下的互联网支付业态并不契合,才是安全问题频发的根本原因。
安全责任
那么,谁该负起什么样的安全责任?
1、“都科摩账户”的安全责任
我们来首先分析“都科摩账户”的业务模式。
NTT都科摩是日本最大的电信公司,拥有超过8000万的用户。2011年5月,该公司向日本政府提交了资金移动业者申请,从而获取了资金移动业从事资格。
该公司于同月,开始了“都科摩账户”的支付服务。该服务线上可用来在NTT都科摩网上加盟店进行购物,线下则是发行Visa的预付费卡以进行实体卡交易。该服务起初是针对NTT都科摩电信用户的附加服务。自2019年9月起,“都科摩账户”开放了非NTT都科摩电信用户的新用户注册,申请时可使用任意邮箱地址。“都科摩账户”除了对邮箱持有进行二段验证之外,不进行其他任何验证(包括手机验证码)。如下图所示:
图3-1
也就是说,攻击者可以在“都科摩账户”上随意进行匿名或者冒名申请。我们将“都科摩账户”/PayPay/支付宝的新用户申请进行大致的对比分析,如下表:
表3-1
日本政府为了抑止猖獗的电信诈骗,于2005年颁布法规,要求各通信运营商施行手机实名制,并严厉禁止私下转让手机号码。各大运营商也渐渐停止了犯罪者经常使用的预付费手机业务。从此,后付费手机号码成为主流。拥有手机号码本身代表了身份的实在性,民众也因此对手机号码有了较高的安全价值认知。
手机实名制的验证环节是在手机签约时,运营商会对用户的姓名/年龄/住所/银行卡或信用卡等进行认证,仿冒难度很高。从本次事件暂时的结果来看,大多数使用了手机验证注册的移动支付服务商的受害相对较小。
然而,如上表所示,虽然都科摩的电信账户因为相互关联实质上担保了实名认证,但是这是结果主义的思维。可以看出,NTT都科摩公司在该产品设计上,缺乏对产品安全的整体思维,以至于造成实名验证环节的缺失。即使用户拥有电信账户,“都科摩账户”仅仅验证了此账户而不是用户本人,假如电信账户被劫持,“都科摩账户”将会无能为力。
相反,支付宝却不仅仅依赖手机号码或者银行账号的验证,在其升级服务中使用了人脸识别等强有力的实名验证来防止冒名申请。这当然与中国国内多年的电子支付诈骗反诈骗长期博弈所积累的经验,以及快速发展的新技术,和相对宽容的个人信息授受环境有很大的关联性,但是“都科摩账户”作为支付服务供应商,没有意识进行基本的KYC(Know Your Customer)流程,而是完全信任上游(NTT都科摩电信账户验证服务)或下游(银行账户验证服务)服务,产品设计是不合格的。诚然,并不是所有业务都需要进行复杂的安全验证,但“都科摩账户”对用户验证之羸弱,与授予用户权限之强大,是不成正比的。本次事件下游的银行服务漏洞是资金流出的直接原因,但如果“都科摩账户”对未进行KYC的用户进行权限限制,也可以规避本次受害。
近日“都科摩账户”发表公告,将会于近期升级服务,导入e-KYC以加强用户本人的实名验证,这也正验证了笔者所述。
2、银行服务为何如此不安全
我们再来分析银行业务。本次“都科摩账户”在银行账户授权方面,使用的是“银行账户转账请求网络受理”(日语:口座振替依頼ネット受付)服务。从名称上,似乎是完全匹配的业务。然而从事件内容分析,攻击者仅仅盗取了部分银行信息,为何会发生如此大的安全问题呢?
本质上,银行账户转账请求网络受理,仅仅是银行转账请求业务的网络版。从字面上看似乎是没有意义的一句话。首先要理解银行转账请求业务是什么。此业务起初是由全日本银行协会于1989年制定标准,在全日本银行业界展开,旨在方便企业收取个人用户的定期支付费用,比如水电燃气或者健身房会费等等。流程如下:
图3-2
用户与企业及银行签订了该服务之后,企业可以定期地向银行请求任意金额的转账。转账请求是由企业发起的,这个过程不需要用户再次同意请求。(前提是,企业与银行已经签订了转账合约,在此环节银行会对企业进行严格的审查。)可以想象,此业务的基础是一个高度成熟秩序良好的社会环境,从而建立银行企业和用户三者之间强力的信赖关系。某种意义上来说,是成立在 “熟人”网络之上的。
此业务模式在日本运行良好,极大方便了用户和企业,节省了很大的社会成本。在网络时代到来之后,各个银行也与时俱进,也推出此服务的现金卡版与网络版。与传统模式相比,新模式在媒介和验证方式上有如下不同:
表3-2
但是,根本上来说,上述服务不论如何转变验证媒介和手段,其预想的业务场景并没有变化,仍然是面向企业发起的定期支付请求业务。可以推定,对本次事件出现安全问题的银行来说,网络模式只是更换了媒介,需要打交道的仍然是NTT都科摩这样的 “熟人”。
这里不是说,银行对“都科摩账户”的支付业务完全没有了解;反而是,银行对自己所提供的服务应该是什么样的性质、应该以何种目的来使用没有明确的安全认识。本次发生问题的某些地方银行仅仅需要账号密码就可以完成绑定,在攻击手段日新月异的今天,这样简陋的安全防范措施不是仅仅用户自身保管责任就可以解释的。
我们再来与支付宝进行对比。支付宝在推出后很长一段时间之内,充值需要用户通过网上银行,经过层层验证才可以完成。在银行看来,支付宝充值这个业务场景,本质上与向他人转账没有区别。当然彼时中国的很多银行也因为互联网的新形势产生了很多安全问题,但在安全认识上,银行是没有缺位的。
显然,即便是不以个人用户为主要服务对象的日本各地方银行,也不会许可只通过账号密码进行个人转账。因此可以定论,对银行来说本次事件的根本原因是,银行将本属于其他业务场景的服务直接使用于新业务场景,而并未为该新业务的流程进行整体安全评估。与NTT都科摩的问题同样,都在于安全理念的缺失。
展望
综上所述,本次事件暴露出的问题是日本支付行业的陈旧思维模式。可以看到,各银行安全服务水准参差不齐,体现了日本支付业界的混乱态势;各家银行与移动支付服务提供商各自作战,未能在业界形成安全共识;政策方面,政府在IT与金融的交叉领域前瞻性不足,未能提早制定有效的行业指导意见,法规松绑又迟迟没有进展,有技术与愿景的Fintech企业难以参与游戏,银行却安于现状建树寥寥。
然而变革正在进行中。2020年4月,日本公平交易委员会发表题为《关于使用Fintech改善金融服务的竞争政策问题》调查报告,严厉批评了银行利用其社会构造及法律上的优越地位不正当竞争,阻碍公平交易,不当获取利益。如下图所示:
图4-1
报告指出了包括现行支付构造存在商业竞争上/金融网络基础建设上/政策上三个角度的多个问题,在业界引起了广泛讨论。5月,日本全国银行资金支付网络协会对于金融网络基础建设问题,成立了关于下一代资金支付系统的研讨专案小组,包含政府机构/银行/资金移动业者/信息系统网络系统服务商/智库学者等人员,研究讨论进一步开放银行网络等议题,同样广受期待。
有担忧认为,本次“都科摩账户”事件表明支付业界的变革需要放缓脚步,笔者认为不然。本次事件恰恰是支付业界的整体落后造成的。如果能以此次事件为契机加快进行行业改革,加强政银企连携,制定具有前瞻性的行业安全标准,以互联网为基础构建更强力的安全网络,则可以摆脱旧有的熟人社会思维,加速业界融合消除壁垒,对移动支付行业乃至日本整个社会经济都会有很大的促进。
日本移动支付行业挑战与机遇并存,变革乍起,方兴未艾。
作者简介:Donald Wong,支付行业从业者,Episode Six日本地区客户成功经理,从事卡支付产品咨询架构设计多年。关注移动支付、FinTech、消费者金融等。
LinkedIn: https://www.linkedin.com/in/donald-wong-ba6887a2
声明:本文来自移动支付网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。