近期,为了增强公众支付风险意识、有效防范电信网络欺诈,中国人民银行营业管理部下发了《关于开展加强信息保护和支付安全 防范电信网络欺诈宣传工作的通知》,通知对几个问题进行了明确的要求,具体如下:
一.个人账户分类管理要求
央行要求:个人银行账户将实行分类管理,分为Ⅰ类、Ⅱ类、Ⅲ类账户,不同类别的账户有不同的功能和权限。个人银行账户是很个重要很严肃的事情,它不仅是经济金融活动的基础,而且是打击违法犯罪的保障。
传统上在柜面开设的账户设为Ⅰ类账户,属于全功能的银行结算账户。在此基础上,为便利存款人支付,增设了Ⅱ类、Ⅲ类账户。Ⅱ类账户满足直销银行、网上理财产品等支付需求,Ⅲ类账户主要用于快捷支付比如“闪付”“免密支付”等。与Ⅰ类账户必须到柜台当面办理不同,Ⅱ类、Ⅲ类账户可以通过“绑定”Ⅰ类账户的办法在网上开设。
新划分三类后,对于之前的账户,银行根据开设时的材料进行分类,只要是当面开设的都会成为Ⅰ类账户。今后再开设账户,就会明确让客户选择是哪类账户。根据人民银行的规定,存款人可通过Ⅱ类账户办理存款、购买投资理财产品等金融产品、办理限定金额的消费和缴费支付等。存款人可通过Ⅲ类账户办理小额消费和缴费支付。
Ⅰ类账户为全功能账户;Ⅱ类账户只能投资理财缴费不能取走现金;Ⅲ类账户只能做一些小额支付。也就是说,Ⅰ类账户是资金进出的“总源头”;Ⅱ类账户与Ⅰ类账户最大的区别是不能存取现金、不能向非绑定账户转账;Ⅲ类账户与Ⅱ类账户最大的区别是仅能办理小额消费及缴费支付,不得办理其他业务。
二.账户实名制要求
个人在金融机构开立个人存款账户时,应当出示本人身份证件,使用实名。代理他人在金融机构开立个人存款账户的,代理人应当出示被代理人和代理人的身份证件。
在金融机构开立个人存款账户的,金融机构应当要求其出示本人身份证件,进行核对,并登记其身份证件上的姓名和号码。代理他人在金融机构开立个人存款账户的,金融机构应当要求其出示被代理人和代理人的身份证件,进行核对,并登记被代理人和代理人的身份证件上的姓名和号码。
不出示本人身份证件或者不使用本人身份证件上的姓名的,金融机构不得为其开立个人存款账户,金融机构及其工作人员负有为个人存款账户的情况保守秘密的责任。
三.个人账户转账业务限制措施
央行要求银行和支付机构在提供转账服务时,应向存款人提供实时到账、普通到账、次日到账等多种转账方式,存款人需选择后才能办理。除向本人同行账户转账外,个人通过ATM机等具有存取款功能的自助设备转账的,发卡行在受理24小时后办理资金转账。在发卡行受理后24小时内,个人可向发卡行申请撤销转账。受理行应在受理结果界面对转账业务办理时间和可撤销规定作出明确提示。“单位和个人可根据实际需求自行选择资金到账方式和时间,对于急需资金的可选择实时到账;对于不太紧急的资金需求,可选择普通到账或者次日到账。”
四.网络支付身份认证要求
新的支付管理办法规定,支付机构为客户开立支付账户的,应当对客户实行实名制管理。现在的个人网络支付账户基本可以分为三类,这三类用户的划分可以这么理解:一类账户主要适用于小额支付,比如大家最常用的手机红包,但这类账户累计发红包金额不能超过1000元;二类账户可以转账、购物、缴水电气费等,但一年不能超过10万元;三类账户可以买理财产品、基金、保险,支付金额20万元、100万元甚至更多都没问题。《非银行支付机构网络支付业务管理办法》要求,支付机构在开立二类、三类支付账户时,分别通过至少三个、五个外部渠道验证客户身份信息。此举是为了保障客户合法权益,防范不法分子开立匿名或假名账户从事欺诈、套现、洗钱、恐怖融资等非法活动。
同时,还提出几个重要的问题需要各机构及公众注意:
一是普及支付安全知识,增强支付安全风险意识。
随着科技的发展,通过网络平台进行消费支付的应用日益广泛,在网络支付带来便利性的同时,也给一些不法分子利用网络进行金融违法犯罪带来了可乘之机,侵害社会公众经济财产安全的案件时有发生。相关机构及社会各界,对维护公众网络金融使用安全,提升公众网络支付安全意识,都负有重要的职责和作用。网银在线始终高度重视对防范网络支付诈骗、侵害金融信息安全等知识的推广宣传,认真践行银行职责,有效防范风险,与用户共同营造安全、高效、便捷的网络金融环境。
个人金融信息安全离不开有效的保护措施:一是强化防止个人金融信息数据外泄的安全技术措施,持续加强授权控制与身份证,专网专用、专机授权,确保了有效的使用权限管控。在访问控制与数据管理方面,严格执行管理标准,对数据及其他敏感信息,采用严格的访问控制与管理,确保数据安全。二是加强信息系统运维管理,落实各类设备的全流程控制。从机房运维、系统运维、应用运维等方面做好运维管理,确保各类系统状态正常,使用安全。
二是要了解支付风险的表现形式,提高风险识别能力。
网络支付是在网络的开放环境中开展的。同时由于它涉及到资金转移,因此,非常容易成为犯罪份子觊觎的对象。平时,公众面临支付风险主要有:
1)个人信息的泄漏。
个人信息的泄露有两种,一种是由于个别网站系统被攻破,导致系统存放的个人敏感信息泄露,给相关的消费者造成资金损失。另一种是由于用户的疏忽或者被欺骗,导致用户的账户、密码或者手机验证码等信息被他人非法获得。
2)被钓鱼或者被植入木马。
不法分子通过假网站、假电子商务支付页面等“网络钓鱼”形式,利用用户安全意识薄弱,通过假的支付页面窃取用户网上银行信息。例如:不法分子首先建立一个假的电子商务网站,然后在购物网站发布虚假的商品信息,该信息中的商品价格往往比市场同类商品便宜很多,同时不法分子还会留下自己的QQ号或者MSN等即时通讯工具号码以及假电子商务网站的网址。当用户对该网站销售的便宜商品动心,并通过该网站购物进行支付时,就会链接到一个假的银行支付页面,用户在假支付页面输入的卡号、密码等信息就会被不法分子获取。通过木马窃取也是一种常见的风险。不法分子通过木马程序等网络技术手段窃取用户的文件证书或盗取网上银行账号和密码。
例如:犯罪分子会把木马软件捆绑在小游戏、实用软件上,发布到网上供人下载,某些用户将这个带有木马的软件包下载安装后,中了木马病毒,就成了黑客的“猎物”。在登录网银时,用户通过计算机键盘输入账号和密码,此时木马程序已经获取了键盘记录,用户的个人网上银行的账户和密码被盗取,并自动通过邮件发送到犯罪分子邮箱。
由于密码过于简单或者具有明显特征,导致密码泄露。用户设置的卡密码过于简单,没有真正起到保护的作用,容易被不法分子窃取或猜中,用户的账户就有可能在网上被盗用。
例如:犯罪分子通过互联网搜索到用户的卡号和身份证号码后,由于用户的银行卡密码正好为 “111111” 或 “888888” ,或恰好是出生日期,身份证的前、后几位,密码设置过于简单,容易被犯罪分子破解或猜中,凭此轻易进入用户的账户,盗取账户资金。
3)支付数据被篡改。
在缺乏必要的安全防范措施情况下,攻击者可以通过修改互联网传输中的支付数据。譬如,攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等,达到谋利目的并制造互联网支付事件。
三是要了解支付风险防范手段,培养安全支付习惯。
网络支付安全工具相当于给用户的账户或者资金上了一道道锁。如果能合理使用网络支付工具,能够大大降低网络支付风险,使用户的支付更加安全,更有保障。目前,市场上主流的网络支付工具主要有下面几类:
1.数字证书。电脑或手机上安装数字证书后,即使账户支付密码被盗,也需要在已经安装了数字证书的机器上才能支付,保障资金安全。
2.短信验证码。短信验证码是用户在支付时,银行或第三方支付通过用户绑定的手机,下发短信给用户的一次性随机动态密码。,
3.动态口令。无需与电脑连接的支付安全工具,采用定时变换的一次性随机密码与用户设置的密码相结合。
4.Usb Key。连接在电脑USB接口上使用的一种支付安全工具,支付时需要插入电脑,才能进行支付。
培养良好的安全支付习惯,保护个人信息、甄别虚假渠道、提高警惕:
1.使用办公、家庭外的电脑时,存在资料泄露的风险。不排除电脑已中了木马病毒,尽量不使用公共电脑进行支付,必须使用的,在使用前请先查杀木马或病毒,并开启防火墙保护功能。
2.不断让输密码,存在被套资料的潜在风险,应立即停止支付。
3.查询资金被转移后,请记录单号,即刻报警,请警方处理,保存收到的银行提醒短信,作为辅助凭证。
4.及时和网络支付的银行、第三方支付机构客服联系,及时了解资金去向,尽可能减小损失 。
5.使用公共电脑进行支付的,在使用前应先查杀木马或病毒,并开启防火墙保护功能。
6.在支付时应当注意订单内容,防止订单被替换后继续支付。
7.采取短信验证的辅助方式,对订单支付信息再次确认后再支付。
8.确认被钓鱼后,请即刻向公安部门报案。请保存相关网站截图和收到的银行提醒短信,作为辅助凭证。及时和银行、第三方支付机构联系,减小损失。
9.网络支付账号和密码应该单独设置,不要和其他网上账户相同。
10.密码设置要独特性,不能为了记忆方便,设置一些简易或者与生日、电话号码等关联的密码。
11.在支付账户中不要存入大额资金,对于支付账户开启电子证书、短信验证等多重保护,保证账户安全。
12.一旦发现支付账户被盗,及时与支付机构联系,冻结账户,防止损失扩大。
13.平时最好关闭Wi-Fi自动连接。手动使用时,也应看清Wi-Fi名称,尽量不在不明的Wi-Fi上进行网络支付。
14.在登录手机银行或者支付机构网站时,最好不要直接通过浏览器,而应用银行或者第三方支付公司专用应用程序。
15.发现银行卡被盗刷,应当及时与银行联系,冻结银行账户,并及时报警。
随着互联网及网银的普及,越来越多的人加入到线上支付“大军”,同时不法分子开始窥视公众的钱袋子,行骗手法花样繁多,在此提醒公众在享受网银、超级网银带来便捷高效的同时,一定要加强个人信息保护和支付安全学习,保护个人财产防范电信网络欺诈发生。