支付安全雷达模型：互联网支付宝最佳【3】

　　虽然支付企业在支付安全上下了不少功夫，投入了大量的人力物力等资源，但是，目前支付企业在支付安全上仍然存在着一些问题有待解决和提升。根据中国金融认证中心介绍，可以看出支付企业存在以下问题：

　　承载支付业务的IT系统存在漏洞：一是开发运营环境方面，包括开发测试环境同生产环境未严格分离；数据未经清洗即交由开发测试使用；系统版本变更流程界面不清晰。二是IT系统基础环境方面，包括身份验证薄弱；逻辑访问控制不严；应用身份鉴别机制存在缺陷；WEB安全引起的服务器被攻击及前端用户敏感信息泄露；数据存储及备份安全。

　　互联网支付本身业务控制薄弱：数据分级控制不严格导致用户敏感数据外流；促销活动功能模块逻辑不严格引发的漏洞；涉及线下票据处理的状态不一致。

　　开展支付业务公司管理控制存在疏忽：客户备付金管理无审核控制机制；差错处理流程无审核控制机制；商户审核及风险分类机制不够健全。

　　用户主要面临的安全问题

　　虽然银行和第三方支付企业采取了多种安全措施对用户进行安全保障，然而，在支付交易过程中，安全事件频繁。目前，主要的问题有以下几类：

　　遭遇木马，盗取密码：使用户感染综合性木马，综合性木马具有屏幕查看、远程控制、键盘记录等功能。黑客利用键盘记录功能记录账号，密码、交易密码，再利用远程控制功能操纵用户计算机进行转账。

　　钓鱼网站，诱骗支付：不法分子冒充卖家，在用户准备交易时谎称网络有问题，发给用户一个网址链接，用户点击该链接后往往与支付页面类似。用户在该页面进行支付后，卖家说没有收到付款。当用户从通过正常登录网银查询时，也没有显示付款信息。实际是不法分子通过钓鱼网站，诱使用户支付到其他账户，导致资金损失。

　　冒充客服，骗取信息：不法分子冒充客服或卖家，诱使用户登录钓鱼网站，获取用户名、密码、安全保护问题及答案，然后利用安全保护问题及答案撤销手机绑定，同时避开手机动态口令限制，或者获取用户手机动态口令，盗取资金。

　　U盾不拔，远程监控：用户使用完U盾，尤其是在公共电脑支付完后，没有及时拔出支付盾，被不法分子远程控制“借用”。

　　QQ求助，贸然支付：利用用户对好友的熟悉信任度，盗取QQ、MSN、阿里旺旺等即时通信号码后发送求助信息，要求汇款或支付资金，用户没有核实是否本人后就使用网上支付进行资金传递。或者通过QQ发来有危险的链接，用户由于对好友信任，贸然点击遭遇钓鱼网站或者木马病毒。

　　扫二维码，暗藏玄机：二维码木马诈骗是2013年新出现的一种诈骗方式，不法分子冒充买家，以订货等要求给卖家发送二维码，卖家一旦扫描二维码就中了木马，手机收到的各种验证码短信都会被拦截，并发到不法分子手中，从而盗刷。