加强信息保护和支付安全 防范电信网络欺诈

① 自2016年12月1日起，开立个人银行结算账户的，同一个人在同一家银行只能开设1个I类账户。

② 已开立I类账户的，可再开II类、III类账户。

③ 已开立多个I类账户的，需存款人作出合理说明。

④ 对无法核实开户合理性的，应引导存款人撤销或归并账户，或采取其他措施，保护资金安全。

① 自2016年12月1日起，开立个人支付账户的，同一个人在同一家支付机构只能开设1各III类账户。

② 已开立多个支付账户的，需开户人确认保留的账户，其余账户降级或撤并。

③ 未按规定时间确认的，保留其使用频率较高和金额较大的账户。

账户实名制是一项基础性金融制度，对保护社会公众资金安全、维护经济金融秩序、促进市场经济健康发展、建立健全防腐败体系的重要环节。账户实名制是经济金融活动和管理的基础，也是反洗钱和反恐怖融资法律的基本要求。既能保障财产权利，又明确了债权债务关系。一旦发生资金被诈骗、账户被盗刷等事件时，易于追查，能有效降低风险，保障资金安全。根据人民银行公布的【2015】43号《非银行支付机构网络支付业务管理办法》，支付账户须按要求对用户实行实名制管理，此项工作即为保护客户资金财产奠定了基础，也为银行、支付机构切实做好了“了解你的客户”提供了准确的信息来源。

问：实名制管理是否会影响用户体验？

答：在身份验证过程中，客户只需要按照支付机构要求在网上填写相关信息即可。由支付机构负责在外部数据库或系统进行连接并验证身份信息的真实性。

根据人民银行发布的【2016】261号文件关于《加强支付结算管理防范电信网络新型违法犯罪有关事项》的通知要求，自2016年12月1日起，支付机构在为单位和个人开立支付账户时，应当与单位和个人签订协议，约定支付账户与支付账户、支付账户与银行账户之间转账限额和笔数，超出限额和笔数的，不得再办理转账业务。

根据中国人民银行发布的银管发【2015】395号，关于《建设电信诈骗风险交易事件管理平台相关工作文件》的通知，经公安机关认定的供电信诈骗犯罪所用的银行账户、支付账户信息及确认为出租、出借、租用、购买、借用银行账户（含银行卡）和支付账户信息纳入“涉案账户信息”；公安机关办案或银行、支付机构收集的存在可疑交易的银行账户和支付账户信息及疑似出租、出售、出借、租用、购买、借用银行账户（含银行卡）和支付账户信息纳入“可疑账户信息”。

对经设区的市级及以上公安机关认定的出租、出借、出售、购买银行账户（含银行卡）、假冒他人身份、虚构代理关系，以上开立银行账户或支付账户的单位和个人给予以下惩戒：

根据银管发【2016】105号《中国人民银行营业管理部 北京市通信管理局 北京市公安局 北京市工商局转发中国人民银行 工业和信息化部 公安部 工商总局关于建立电信网络新型违法犯罪涉案账户、紧急止付和快速冻结机制相关文件的通知》，公安机关、银行、支付机构依托管理平台收发电子报文，对涉案账户采取紧急止付、快速冻结措施。

根据人民银行公布的【2015】43号《非银行支付机构网络支付业务管理办法》中要求，支付机构对客户实行实名制管理，并根据客户身份验证情况将个人网络支付账户分为三类，规定了各类账户的信息验证标准和功能权限。 Ⅰ类账户身份核实方式为非面对面方式，通过至少一个外部渠道验证身份（如联网核查居民身份证信息），余额付款限额为自账户开立起累计1000元；Ⅱ类账户面对面验证身份，或以非面对面方式通过至少三个外部渠道验证身份，余额付款限额为年累计10万元；Ⅲ类账户面对面验证身份，或以非面对面方式通过至少五个外部渠道验证身份，余额付款限额为年累计20万元，余额付款功能在前两类都有的消费、转账基础上增加了投资理财。

从办法相关要求看，微信用户都能够收发红包。收到的红包资金将存放在微信的零钱包（支付账户）中，这些钱还可用于对外发红包，但累计发红包的金额不能超过1000元。如果发红包金额已超过1000元，还想继续发红包，则需要追加身份认证成为Ⅱ类或Ⅲ类账户。

根据央行发布【2016】170号《中国人民银行关于进一步加强银行卡风险管理的通知》要求，银行卡清算机构应会同成员机构进一步落实银行卡受理过程中的伪卡欺诈风险责任，保护芯片化迁移方的权益。建立完善的投诉处理机制，妥善处理欺诈风险事件，切实保障客户的合法权益。

今后银行卡受理机构需要承担更多的风险责任。因此，需要更完善的风险防控体系，来应对日益强大的黑产以及各种欺诈风险事件。

根据中支协发【2016】99号中国支付清算协会关于印发《关于加强银行卡敏感信息安全管理防范终端机具改装的倡议书》的通知提出以下倡议：

1）强化支付敏感信息安全使用内控管理。

各商业银行，支付机构(从事银行卡收单业务、网络支付业务的非银行支付机构)、银行卡清算机构应严格落实《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)，健全支付敏感信息内控管理制度。

① 严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等)，确有必要的应取得客户本人及账户管理机构的授权。

② 明确相关岗位和人员的管理责任，严格分离不相容岗位并控制信息操作权限，制定信息操作流程和规范，强化内部监督、责任追究机制，严禁从业人员非法 存储、窃取、泄露、买卖支付敏感信息。三是每年应至少开展两次支付敏感信息安全的内部审计，并形成报告存档备查。发现因系统漏洞造成支付敏感信息泄露或内部人员违规行为的，应立即采取有效措施防止风险扩大，并向人民银行报告;涉嫌违法犯罪的，应及时报告公安机关。

2）大力推广应用金融IC卡，降低磁条交易风险。

① 积极发行符合《中国金融集成电路(IC)卡规范》(JR/T0025)的 金融IC卡，并采用通过国家认证认可管理部门认可机构安全评估的芯片。

② 发卡行应从交易渠道、刷卡频次、单笔交易金额、日累计交易金额、交易地区等方面，进一步加强磁条交易风险控制。

③ 采取措施加快存量磁条卡更换为金融IC卡的进度。

④ 落实伪卡欺诈风险责任转移规则。银行卡清算机构应会同发卡银行、收单机构进一步落实银行卡受理过程中的伪卡欺诈风险责任，保护芯片化迁移方的权益。建立不同层次的完善的投诉处理 机制，妥善处理欺诈风险事件，切实保障持卡人的合法权益。

3）规范受理终端安全管理，防止改装机具入网。

① 各收单机构应加强银行卡受理终端产品选型、验收管理，确保使用符合国家、金融行业相关标准的受理终端。

② 银行卡清算机构应会同收单机构采取入网终端签名、唯一性标识等技术措施，加强 受理终端入网管理，严禁不符合标准的、非法改造的、未通过检 测的受理终端入网使用。对于存量终端应建立定期检查机制，持续开展终端抽检工作，确保布放的终端与合格样品的一致性，严控改装终端的使用。

③ 禁止在销售布放受理终端时，以提供套现、套积分等违规服务为宣传营销手段。

④ 对特约商户提出的新增、更换、维护受理终端的要求，收单机构应履行必要的核实程序。

⑤ 严格控制特约商户受理终端的布放类型。移动销售点终端(POS 机)原则上只能布放于航空、餐饮、交通罚款、上门收费、移动售货、物流配送等难以通过固定收银台结算款项，确 有使用需求的行业商户。

⑥ 收单机构要对 ATM 建立定期巡检制度，及时发现和排除风险隐患。加大傍晚、夜间等案件高发时段 ATM 的巡查力度，重点检查 ATM 等自助设备是否张贴有异常通知， ATM 出钞口、读卡器是否有堵塞或安装有其他附加装置，是否安 装有异常的刷卡进门装置，是否安装有盗取密码的摄像机，ATM 工作状态、夜间灯箱、自助区照明是否正常，ATM 电视监控、“110” 联动报警等技防设施工作是否正常。

4）提升支付敏感信息安全防护的技术水平。

① 全面应用支付标记化技术(Tokenization)，对卡号、卡片安全码等信息 进行脱敏处理，并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性，从源头控制信息泄露和交易风险。

② 开展网络支付业务时，不得委托或授权无支付业务资质的合 作机构采集支付敏感信息，应采用具有信息输入安全防护、即时 数据加密功能的安全控件，采取有效措施防止合作机构获取、留存支付敏感信息。

③ 加强网络交易风险监控。利用大数据分析、用户行为建模等手段，建立交易风险监控模型和系统，及时预警异常交易，并采取调查核实、风险提示、延迟结算等措施。针对批量或高频登录等异常行为，应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别，及时采取附加验证、拒绝请求等手段。

④ 加强客户端软件安全管理，确保客户端软件符合国家、金融行业相关标准和信息安全要求。从木马病毒防范、信息加密保护、运行环境可信等方面提升客户端软件安全防控能力。

⑤ 服务器端应对接收数据的有效性进行校验，防止客户端提交非法数据，进行SQL注入等攻击。

5）切实提高业务开通以及交易过程中的身份认证强度。

① 提高业务开通身份认证强度。自2016年11月1日起，银行基于银行卡账户与支付机构、商业机构建立关联业务时，应严格采用多因素身份认证方式，直接鉴别客户身份，并取得客户授权。

② 增强支付交易验证强度。在支付机构等合作方向银行发送支 付指令、扣划客户银行卡账户资金时，银行、支付机构应严格落实《非银行支付机构网络支付业务管理办法》(中国人民银行公告[2015]第43号公布)第十条规定，参照第二十二条、第二十三条、第二十四条等相关要求，采取交易额度与验证强度相匹配的技术措施，提高交易的安全性。银行应依照《中国人民银行关于改进个人银行账户服务加强账户管理的通知》(银发[2015]392号)，建立健全个人银行结算账户分类管理机制，引导客户使用II类、III类银行账户办理小额网络支付业务，有效防控I类银行账户信息泄露风险。

6）加大特约商户规范管理力度。

① 银行卡清算机构应会同收单机构建立健全特约商户信息电子化管理体系，严格落实特约商户实名制相关规定，完整、准确记录特约商户及其法定代表 人或主要负责人的身份信息，并对同一商户在不同收单机构的注册信息进行关联管理，通过对商户信息的交叉比对，关注同一身份申请多个商户的情形，加强对一机多号(一机多商户)的违规行为的排查。

② 充分利用影像采集、区域定位等技术，采取多渠道交叉验证等有效手段，健全特约商户资质审核和信息更新机制，持续加强特约商户信息真实性管理。

③ 收单机构应确保特 约商户按规定使用受理终端(网络支付接口)和收单银行结算账户，不得将受理终端(网络支付接口)用于受理协议约定以外的 用途，不得利用其从事或协助他人从事非法活动。

④ 加强对特 约商户银行卡套现、磁道侧录、终端改装、终端移机等违规行为 的监控、巡检和风险评级，并采取延迟资金结算、暂停交易、收回受理终端等措施。

① 各收单机构应严格落实《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发[2015]199 号)，承担收单环节支付敏感信息安全管理责任。

不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理。

② 指定专人管理终端密 钥和相关参数，确保不同的受理终端使用不同的终端主密钥并定 期更换。

③ 通过协议禁止实体和网络特约商户、外包服务机构不得留存支付敏感信息。

④ 每年应对外包服务机构、实体和网络特约商户至少开展一次有一定独立性的安全评估，并形成报告存档备查，对于未遵守相关协议的，应立即终断合作。五是及时将出现违法违规行为的外包服务机构信息报送中国支付清算协会，纳入黑名单管理，并终止与其合作。

8）加强客户银行卡支付安全教育工作。

加强银行卡、互联网支付等交易密码的保护管理和客户安全教育，培养客户风险防范意识和安全支付习惯。提高商户的合规合法经营意识以及安全防范意识，针对犯罪分子典型作案手法开展商户安全教育工作，通过网站、微信、视频、邮件等不同渠道及时向商户普及犯罪分子最新作案手法，提高商户风险防范水平。

9）行业各参与者应树立可持续发展的科学经营观，坚持依法合规经营，努力提高从业人员道德和业务素质，强化对从业人员的职业道德素养教育，规范经营行为，自觉维护市场秩序，树立良好的支付行业形象。

10）行业各参与者应自觉接受社会监督。

严格遵守《中国支付清算协会银行卡行业自律公约》、《银行卡业务风险控制与安全 管理指引》以及《银行卡收单外包业务自律规范》，增强自律意识，坚持自我约束，设置争议及投诉解决渠道，接受社会监督，妥善处理客户敏感信息保护工作中出现的争议与纠纷，保护相关方的合法权益;积极接入中国支付清算协会风险信息共享系统， 利用会员单位风险信息共享机制提升风险防范效率;发现收单机构、商户通过改装POS机盗取银行卡信息，从事欺诈等不法行为， 按中国支付清算协会发布的《支付结算违法违规行为举报奖励办 法实施细则》相关规定进行举报。

案例：登录手机不使用 及时修改防盗贼

林女士最近没买东西，却收到淘宝的一份退货通知，查证后发现自己的银行账户被盗。在警察的帮助下，查到了真实收货地址，收货人显示是杨某，发现所留的收货手机是自己已经停用了很久的手机。

原来杨某早前买了个新手机卡，用该手机号申请注册支付宝时发现，该手机号已经注册过支付宝。于是，他利用手机号码的找回密码功能，将手机号码之前注册的林女士的支付宝密码查了出来，并使用该支付宝账户进行购物。

电子支付安全专家提醒：对于运营商二次放号带来的问题，如果用户支付宝账户登录手机号不再使用，请及时修改，以确保个人隐私、银行账户的安全，防止被犯罪分子利用，造成财产损失。

案例：南昌市持卡人苏某接到一个通知中奖15万元的短信。苏某马上与短信提供的电话联系。对方称必须先提供了卡号、身份证号以及银行卡密码，并在银行卡中存入3000元现金才能汇奖金过来。苏某心想银行卡在自己手中，应该没有问题，便一一照办。当天下午，苏某到银行查账，发现卡内3000元已被人取走，方知受骗上当，遂即报警。经过警方调查，犯罪分子获得苏某卡号及密码后，通过网上转账方式将其卡上资金盗走。

最新出现的一种犯罪方式，冒充公安、司法部门公职人员给持卡人打电话，声称卡内的钱存在某种形式的不安全，要求提供卡号或密码，将钱转到公安、司法部门指定的账户，以此套取持卡人的现金。

小贴士：目前犯罪分子的犯罪手法日益高科技化，利用账户信息进行网银欺诈、伪卡盗刷等盗取卡内资金的案件时有发生，因此账户信息千万不可泄露给陌生人。同时，密码作为银行卡的防护线，任何人包括银行工作人员，均无权询问密码。公安、司法部门即使在进行执法时，也不会要求持卡人提供密码。如果有人打电话索要密码，不论声称何种人，一定是骗子。

此外，真门禁系统是无需输入密码的，在ATM上查询、取款时，要留意ATM上是否有多余的装置或摄像头，密码键盘是否有改装过的痕迹或被贴上薄膜；输入密码时应尽量快速并用身体遮挡操作手势，以防不法分子窥视。另外，持卡人也不要设定简单数字排列的密码，以防密码的安全性降低，被不法分子破解。

案例：除密码外，另一个需保护的重要信息就是卡号。不法分子窃取卡号常用的作案方式，是将读卡磁道及密码按键组装成假门禁，并通常选择在晚上将其安装在自助银行真门禁上，当持卡人刷卡时，记录银行卡卡号。在自助银行门禁系统刷卡前，请留意门禁是否有密码键盘或改装痕迹。在门禁系统上刷卡时，用手指挡住卡面上卡号等信息，防范被不法分子的针孔摄像机偷窥。

持卡人在保护好密码、卡号的基础上，还应该掌握“四不”防范技巧，以保护银行卡资金安全：政府机关、银行或公共事业单位不会直接致电持卡人交谈涉及费用的问题，更不会直接“遥控指导”持卡人去ATM等没有银行工作人员在场的地方进行转账。接到这样的电话，不应相信，不予理睬；对可疑的语音电话或短信不要回应，应直接致电发卡银行客服热线询问。目前，犯罪分子模仿相关单位或银行服务的语音提示或电话极具欺骗性，如果贸然回复，很容易上当受骗；不可按照陌生人的“指导”进行ATM或网上银行操作，小心钱会落入了骗子的腰包。

案例：验证号码切莫泄露 支付客服不会索要

半个月前，小陈用搜索引擎找到一位卖家充话费。卖家在QQ上说要改价格，就要小陈接收链接。小陈打开链接，紧接着输入支付宝账户名、登录密码、支付密码!在最后一步，却弹出了“系统升级，无法支付”的对话框。

就在这时手机来了短信，是支付宝的确认信息，“您申请取消数字证书，校验码：123456”。正疑惑时电话就响了，对方自称是“客服小二”，说账户存在安全问题，需要小陈报出刚刚接收到的手机校验码，小陈信以为真，就把校验码报给了对方。随后小陈再充值时发现，自己账户里的余额已全没了!

在工作人员帮助下小陈才知道，原来自己连中两招。一开始卖家发给小陈链接其实就是事先准备好的钓鱼网站，小陈输入信息后，小陈的账户就已被盗了。但由于小陈申请了数字证书，所以骗子暂时无法盗走支付宝账户里的资金。之后骗子假扮客服，又自称是“客服小二”，骗取了小陈的校验码，而校验码正是安全产品数字证书在保护账户时发送到用户手机上的6位数字，它如同密码一样用于保护账户的安全。泄露了校验码，就卸载了数字证书，所以小陈才遭受了损失。

专家提醒：加强网络安全意识，保证电脑环境安全，不接受陌生文件，不同网站用户名与密码做区分，网络密码不放在电脑内，最好使用同一台电脑进行网络支付;一定不要随便点击卖家提供的链接，特别是链接中的支付系统。正规的第三方支付平台工作人员，以及有诚信的卖家在联系您时，是不会索要您的账户密码信息的。当对方试图询问密码、手机校验码等信息时，一定要提高警惕，千万不要透露。

身份证号码与联系电话一一对应，对多人使用同一联系电话号码开立和使用账户的，联系当事人进行确认。对于未成年人或老年人使用成年人预留收集号的情况，由当事人出具说明后可保持不变。

问题：什么是快捷支付？

答：快捷支付指用户购买商品时，不需要开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付发送手机动态口令到用户手机号上，用户输入正确的手机动态口令，即可完成支付。如果用户选择保存卡信息，则用户下次支付时，只需输入第三方的支付密码或者是支付密码及手机动态口令即可完成支付。

案例1：快捷支付风险 — 盗刷案件

近日，李先生在托人代办信用卡之后，卡内现金被悉数盗刷。据了解，李先生通过网络中介办信用卡，将银行预留手机号码、身份证号、银行卡号等信息泄露给了对方以便办理业务。尽管李先生当天迅速去银行柜面关闭了网银并更改了预留手机号，但依然未能幸免卡内现金不翼而飞的“悲剧”。调查显示，李先生的卡被对方绑定了快捷支付，卡里的款项正是通过快捷支付方式被转出。李先生质疑，他已经及时关闭了网银业务，为何还是无法摆脱被盗刷的厄运？相关支付机构解释称，用户在使用快捷支付时并不需要开通网上银行业务，网银与快捷支付之间不构成任何关联。因此，即使李先生意识到了危机并立即关闭网银业务，也不会影响快捷支付的资金转移。

案例2：快捷支付风险 — 易“被”开通

李先生上述案例款项被盗刷没有通过他银行卡支付密码的验证。在快捷支付页面填写本人的姓名、身份证等个人信息便可快速地开通快捷支付业务。后期支付时无须原有银行卡的支付密码验证，只需要快捷支付密码即可完成资金交易。不法分子正是利用了这种跳过银行密码验证的安全漏洞完成了盗刷行为。

小贴士：对于此类案件的防范，关键还是在于用户自身对于个人信息安全的重视，一定要做好保密工作，避免“被”开通快捷支付。在此基础上，第三方支付账户使用者应该下载并全面应用相关的数字证书或安全软件，来提升账户安全度。如果丢失手机担心账户安全，可以拨打相关支付机构客服电话，工作人员会核实信息，帮助用户关闭快捷支付功能，也可以把账户暂时冻结。

案例1：提防虚假客服，切勿泄漏动态码

某女士在购物网站上买了一条裤子，几分钟后收到了一个自称“店家”的电话，告知因交易失败需要办理退款，并提供了一个“客服”QQ号码，某女士加了QQ号 与“客服”沟通，根据其提供的“退款链接”进入一个网站，按照客服提示输入了密码等信息，最后在收到动态码后未仔细校验便急忙填入。之后某女士并未收到退 款，而且QQ也再联系不上那个“客服”。某女士立即查询了银行卡余额，发现账户遭到了盗用。

解读：不法分子通过非法渠道获取了客户网购信息，以“退款”或“退货”为由电话联系客户要求客户加聊天工具，并点击其提供的“钓鱼网站”的链接。而实际上，在退货及退款环节不需要校验动态码或交易密码。

小贴士：

1）办理网络购物、网络退货、退款等业务时请认清官方渠道。

2）如在购物网站申请退款或退货时，建议与官方客服联系后进行操作，切勿轻信不明身份的电话、网络聊天工具或其它形式提供的非正规途径的网络链接。

3）在收到动态验证码时，请仔细核对短信中的业务类型、交易商户和金额是否正确。

4）任何客服工作人员不会向持卡人索取短信验证码，如有人索要可判定为诈骗，请立即报警;也切勿轻易泄露自己的身份证件号、银行卡信息、交易密码、动态验证码等重要信息。

案例2：关注支付安全，慎设账户密码

某先生接到银行客服的交易核实电话，称其名下的卡片发生了多笔大额消费，而某先生并未操作这些交易，便立即报了案。警方根据交易资金流向的线索破案后发现，不法分子是通过黑客技术入侵了某网站，窃取了某先生在该网站的用户名和登陆密码，随后不法分子尝试用于网络支付，由于某先生在支付网站也设置了相同的用户名和密码，因此被盗刷。

解读：由于目前某些中小网站的安全防护能力较弱，容易遭到黑客攻击，从而导致注册用户的信息泄露。同时，如客户的支付账户设置了相同的用户名和密码，则极易发生盗用。

小贴士：

1）对于支付账户的登陆密码、消费密码应与一般网站登录密码区别设置，并养成定期更改密码的习惯，防止因其他网站信息泄露而造成支付账户的资金损失。

2）网络支付相对POS消费等传统用卡渠道，存在交易场景虚拟化，验证强度相对较弱等特点，因此主要定位于小额支付。建议客户根据自身情况设置合理的单笔与单日交易限额，防止发生大额盗刷。

3）开通短信提醒服务，可及时掌握账户动态信息，避免发生连续盗刷。

案例1：网络社交陷阱多，身份验证防诈骗

某女士碰到过一件比较蹊跷的事情，一个正在国外进修的闺蜜晚上用QQ联系某女士，聊了些近况，提到国外信用卡的便利，就问某女士用的什么信用卡，并好奇地 让某女士发信用卡正反面的照片给她，要比较一下国内外信用卡的差别。某女士有点犹豫，就拨通了闺蜜的电话，结果闺蜜说QQ被盗了。某女士很庆幸自己没有上传照片，但觉得很奇怪，为什么不法分子要信用卡的正反面照片呢?

解读：不法分子运用社交网络的熟人关系，让持卡人放松了警惕。索要信用卡正反面照片是想获取信用卡的卡号、有效期和卡片背面末三位数字，因为这三项信息已可以进行网络支付。

小贴士：

1）不要轻易在任何社交网络中发送信用卡的卡号、密码、卡片背面末三位数字、有效期、动态码等关键信息，以免不法分子通过假冒亲友或盗取聊天记录，窃取用户银行卡信息。

2）可以开通账务短信提醒服务，及时了解账户信息，一旦发现有异常，立即致电银行客服人员了解情况，并及时冻结信用卡。

案例2：慎扫二维码，降低盗用风险

某女士经常网购。最近找到一家网店承诺购物能返100元的红包。某女士挑选了一件500元的毛衣，并询问卖家如何获得红包。卖家给某女士发送了一个二维码 并称只要扫描该二维码，就可以获得红包。某女士扫描后发现，红包界面并未出现。怀疑自己遇到了骗子，于是急忙联系卖家，可卖家已下线。

不久之后，某女士发现自己的银行卡被盗刷，并立即报了警。经警方调查，当时扫描的二维码中含有木马病毒，盗取了某女士的银行卡信息。

解读：不法分子提供的二维码其实是一个木马病毒的下载地址，这种病毒被下载后，可以自行安装，并不会在桌面上显示任何图标，而是潜伏在移动终端后台中运行，持卡人的信息就能悄无声息地被盗取。

小贴士：

1）应该尽量选择信誉度比较高的正规商户，不要轻信商户发送的链接、压缩包、图片和二维码等。

2）谨防“山寨”应用软件，在扫码前一定要确认该二维码是否出自正规的网站，一些发布在来路不明的网站上的二维码最好不要扫描，更不要点开链接或下载安装。

3）在移动终端安装杀毒软件等相应的防护程序，一旦出现有害信息，可以及时提醒和删除

案例1：徐先生刷卡消费时被餐厅员工通过“读卡器”复制了银行卡信息，并偷窥记录了徐先生输入的密码，徐先生的银行卡被复制。犯罪嫌疑人用复制的伪卡先后刷卡3次共消费378000元。法院认为，银行不能识别伪卡，导致伪卡刷卡消费成功造成徐先生损失，银行应承担责任。而徐先生在使用银行卡时操作不规范导致密码泄露，也应承担部分责任。

案例2：陈先生持有信用卡主卡，陈太太持有信用卡副卡，但是夫妻均未在澳门时，却收到银行短信提示副卡在澳门刷卡消费3笔合计1万余元。银行提供的三张POS机签购单显示，三笔消费均发生在2011年6月18日，地点在澳门，刷卡人签名非夫妻姓名。陈先生夫妇的港澳通行证显示，2011年6月18日当天，夫妻均未在澳门。法院推定涉案三笔刷卡消费属于伪卡交易行为。银行辩称陈先生夫妇可能是将信用卡委托他人使用，或信用卡遗失造成被盗刷，但因未能提供相关证据，法院未有采纳。法院认为被告银行作为专业金融机构，对信用卡负有安全保障义务，却未有效识别和防范伪卡交易，造成持卡人损失，因此银行应承担全部责任。

案例1：买家在网购平台上拍下商品后，伪装成卖家的不法分子会借口修改价格，通过聊天窗口发给买家一个看似与真实支付页面几乎一样的链接，让买家直接付款。实际上该链接是模仿真实网页制作的钓鱼网站。不法分子可通过买家在钓鱼网站页面上操作记录下的账号、密码登陆买家的帐户，转走钱款或购买它物。

安全联盟提醒用户：在进行付款操作时，一定要看清链接。如支付宝官网，其URL就为加密链接，开头为HTTPS，而非http，在地址栏还会显示一个小锁标志。

案例2：某先生收到一条促销短信，告知可低价购买热门手机，某先生按短信中的网址链接登陆网站，选中心仪手机后，按提示输入了个人银行卡卡号，身份证号，姓名，手机号码等信息，之后又输入了动态码，网站显示交易成功。但之后，某先生一直没有收到购买的手机，报案后经警方调查，才得知是误入了“钓鱼网站”。

解读：不法分子会通过互联网、短信、聊天工具、社交媒体等渠道传播“钓鱼网站”，持卡人一旦输入个人信息就会被不法分子窃取盗用。

小贴士：

1）在信任的网站进行购物，不要轻信各渠道接触到的“低价”网站和来历不明的网站。

2）进行支付前一定要确认登陆的购物网站或网上银行的网址是否正确。因为网站页面可以伪冒，但“钓鱼网站”的网址与官方网址一定存在差异，请认真识别。若有任何怀疑，请立即致电银行或电商客服。

3）在正规网站购物，下好订单进入支付页面时，网址的前缀会变成“https”，此时页面的数据传输是加密的，可以保护个人信息。如支付页面的网址前缀仍然是“http”，就可能存在风险。

4）安装防火墙和杀毒软件，并定期更新杀毒软件，防范电脑和移动终端受到恶意攻击或病毒的侵害;下载并安装由银行或正规电商提供的用于保护客户端安全的控件，保护账号密码不被窃取。

近几年盛行的诈骗短信，多是由伪基站发送，可以轻而易举地伪装成任意来源，也因此诈骗短信披上了官方的外衣，博取了诸多信任，为骗子的下一步动作铺平道路。以下将阐述三种不同的案例描述短信诈骗手法：

1）伪装成运营商 运营商的短信是我们最常收到的，通常会反馈给我们流量、话费和近期优惠的信息，由于运营商庞大的受众，也就顺势成为诈骗短信的温床。于是积分换礼这样的短信便应运而生：您话费积分可兑换XXX元现金，即日将过期，请立即登录积分商城XXXX.COM，根据提示下载激活领取!【中国移动】。乍一看冠冕堂皇，行文风格与号码来源都是如此官方，极易令人相信。但仔细看来就会发现其中的猫腻，通常这类短信提供的网址都是山寨网址，比如网址中“10086”的“1”用字母“l”代替，网址用汉语拼音充数等，要仔细甄别。当然，这类短信还会伴随一些让人啼笑皆非的破绽，

2）伪装成银行 银行与我们的财产直接对接，通常对于来自银行的短信，我们都是格外的慎重，生怕出了什么闪失。诈骗短信也是抓住了我们这样的心理，冒充95588、95555这样的银行号码进行诈骗，通常是这样的言辞：尊敬的X行账户：您的账户在异地消费XXX元，如非本人操作，请登录X行安全网站XXXX.COM进行账户冻结【XX银行】。接收到这样蒙受财产损失的短信，有些人心就慌了，抱着亡羊补牢减小损失的心理，马上就登录网站进行处理，将一些敏感信息直接送给了骗子。实际冷静下来后，这个骗局很容易被戳穿，因为通常银行的短信会将您的卡号尾号说出，以“您尾号XXX的账户”为称谓，绝不会草率地仅说“您的账户”。掌握了这个小技巧，您也就可以成功甄别诈骗短信了。

3）伪装成快递公司 随着网购的盛行，快递物流行业得到了迅猛发展，尤其是在年关，几乎家家户户都有年货快递在路上，骗子也就创造了全新的诈骗方式——伪装成快递员或者快递公司谎报军情。这种诈骗短信通常是这样的言辞：您好，您有一件包裹因XXX问题被扣留在XXX，需要您XXX，详情请致电XXX【XX快递】。接到这种短信，一定要核实自己是否有相应的包裹在该快递公司手中，如果有一定要去官方网址核实快递单号，梳理运单信息，切忌拨通短信中提供的电话进行联络。

案例 1：某女士收到一条显示为“10086”发来的短信，称其获得手机积分奖励，可兑换奖品，并附上了一个链接。某女士点击该链接后在页面上输入了卡片信息及手机号，并按网页提示点击下载并安装了一个“积分兑换客户端”的应用，但安装后却无法正常打开，某女士也没有在意。第二天，某女士用卡时提示卡内余额不足，查询发现银行卡在前一晚发生了多笔大额交易。某女士赶紧报案，但已造成损失。

解读：某女士收到的短信是不法分子利用伪基站冒充10086发送的，短信中的链接其实是一个“钓鱼网站”，而下载的客户端实际上是一个木马病毒。不法分子利用木马病毒窃取卡片信息并进行网络购物，同时将发送到某女士手机上的短信验证码转移到了自己的手机上，从而完成支付。

小贴士：

1）不法分子能利用“伪基站”冒充任意号码发送短信，因此即使收到中奖、软件推荐等显示为官方号码发送的短信，仍需保持警惕，建议回拨进行确认。

2）木马病毒往往会伪装成其他应用，并通过“钓鱼网站”、短信、图片、邮件、压缩包、聊天软件等方式传播，建议不随意点击来历不明的应用软件等内容。

3）安装防火墙及杀毒软件，定期杀毒并定期更新系统补丁，保护移动终端安全。

4）下载网银支付类应用要到官方网站进行下载。

5）开通短信通知服务，账户发生异常变化后，及时联系银行，封锁账户或挂失卡片。

小贴士：

1）不要轻信此类优惠活动，刷卡时切记卡片不要离开您的视线

2）最好开设“短信提醒”服务或者绑定官方微信，一旦刷卡，就会收到银行发送的交易提醒，而且要及时阅读提醒，确认扣款明细。

3）如有异常情况，请及时与客服联系或报警。

多人都有过网络密码被盗的经历，而防范意识不强是造成密码被盗的主要原因之一，有些人使用数字串“12345678”作为密码，还有些人使用密码的英文单词“password”作为密码。实际上，即使对“password”做一些的变动，比如写“p@ssw0rd”，仍然不是安全的密码。

黑客们使用的暴力破解软件每秒钟可以尝试800万个密码，如何你的密码过于简单，破解它是分分钟的事。

问：如何保证网络账号的安全呢？

答：1）检查一下自己的密码是否强度太低。

2）为每个网站创建容易记住且不一样的密码。即使某个网站用户密码遭大面积泄露，也不会殃及其他网站。

问：什么是撞库？

答：撞库是一个看起来很专业，但实际理解起来却很简单的名词。它其实就是黑客无聊的“恶作剧”。黑客首先会通过收集互联网已泄露的用户+密码信息，生成对应的字典表，然后再用字典中罗列的用户和密码，尝试批量登陆其他网站，这样，一旦用户为了省事，在多个网站设置了同样的用户名和密码的话，黑客很容易就会通过字典中已有的信息，登录到这些网站，从而获得用户的相关信息，如：手机号码、身份证号码、家庭住址，支付宝及网银信息等。这些信息泄露后，不仅会给用户和精神和经济带来巨大损失，同时也会给相关网站带来负面影响。

问：撞库的出现，究竟能给用户带来哪些危害?

答：黑客千方百计获取用户信息的唯一目的无非是为获利。目前，黑客在获得用户信息后，一般会通过以下几种途径来迅速获利：

1）售卖用户账号中的虚拟货币、游戏账号、装备等变现，也就是俗称的“盗号”。

2）对于金融类账号，比如：支付宝、网银、信用卡、股票的账号和密码等，则可以用来进行金融犯罪和诈骗。

3）对于一些比较特殊的用户信息，如：学生、打工者、老板等，则会通过发送广告、垃圾短信、电商营销等方式变相获利。

4）会将有价值的用户信息直接出售给第三方，如网店经营者和广告投放公司等。

为了防范支付风险手段，培养安全的支付习惯可采取以下措施：

1）对于支付账户的登陆密码、消费密码应与一般网站登录密码区别设置，并养成定期更改密码的习惯，防止因其他网站信息泄露而造成支付账户的资金损失。

2）网络支付相对POS消费等传统用卡渠道，存在交易场景虚拟化，验证强度相对较弱等特点，因此主要定位于小额支付。建议客户根据自身情况设置合理的单笔与单日交易限额，防止发生大额盗刷。

3）开通短信提醒服务，可及时掌握账户动态信息，避免发生连续盗刷。

1） 网上购物用户应增强安全防范意识，阅读电子商务公司的隐私保护条款。部分用户密码设置过于简单，需设置较为复杂的包括特殊符号的密码，并定期更换密码。

2） 开通余额查询短信提醒功能。一旦发现银行卡出现不是本人查询的情况，立即电话拨打银行客服报停、报警，也可以立即更改密码，防止银行卡被盗刷。

3) 不要误入钓鱼网站。在网上进行资金操作时，要登录正规银行网站，切勿相信来历不明的广告，误入钓鱼网站被窃取银行卡信息和密码，以致造成财产重大损失。

4) 妥善保留刷卡小票。切勿随手丢弃刷卡签购单，如果被不法分子掌握，很可能根据小票上的信息盗取你的密码和盗刷你的信用卡，因此，请尽量保留商户签账单的存根联，以便与银行卡对账单核对。

5) 认真核对银行卡对账单。很多人马马虎虎，即使自己的信用卡被盗刷也没有察觉。因此，在收到对账单后，请认真核对账单，如发现不明支出及时报警并与银行取得联系。

在使用电脑过程中采取以下网络安全防范措施：

1）安装防火墙和防病毒软件，并经常升级，及时更新木马库, 给操作系统和其他软件打补丁。

2）不要打开来历不明的网页、邮箱链接或附件，不要执行从网上下载后未经杀毒处理的软件，不要打开QQ 等即时聊天工具上收到的不明文件等。

3）打开任何移动存储器前用杀毒软件进行检查。

4）定期备份，以便遭到病毒严重破坏后能迅速修复。

问：如何将网页浏览器配置得更安全？

答：利用病毒防护软件对所有下载资源进行及时的恶意代码扫描。

问：如何防范U 盘、移动硬盘泄密？

答：1、及时查杀木马与病毒。

2、将U 盘、移动硬盘接入电脑前，先进行病毒扫描。

1）养成良好的WIFI使用习惯。手机会把使用过的WiFi热点都记录下来,如果WiFi开关处于打开状态,手机就会不断向周边进行搜寻,一旦遇到同名的热点就会自动进行连接,存在被钓鱼风险。因此当我们进入公共区域后,尽量不要打开WiFi开关,或者把WiFi调成锁屏后不再自动连接,避免在自己不知道的情况下连接上恶意WiFi。

2）家里路由器管理后台的登录账户、密码,不要使用默认的admin,可改为字母加数字的高强度密码;设置的WiFi密码选择WPA2加密认证方式,相对复杂的密码可大大提高黑客破解的难度。

3）不管在手机端还是电脑端都应安装安全软件。对于黑客常用的钓鱼网站等攻击手法,安全软件可以及时拦截提醒。

4）谨慎使用公共场合的WiFi热点。官方机构提供的而且有验证机制的WiFi,可以找工作人员确认后连接使用。其他可以直接连接且不需要验证或密码的公共WiFi风险较高,背后有可能是钓鱼陷阱,尽量不使用。

5）使用公共场合的WiFi热点时,尽量不要进行网络购物和网银的操作,避免重要的个人敏感信息遭到泄露,甚至被黑客银行转账。

开通短信提醒服务，可及时掌握账户动态信息，避免发生连续盗刷。

开通银行卡短信提醒方法：

携带本人身份证、银行卡、正常使用的手机号到银行柜台提交开通业务申请，需提供身份证，银行卡，接受短信提醒的手机，通过柜台工作人员办理开通，成功即生效，有短信通知即开通成功。

问：什么是二维码？

答：二维码，也叫做“二维条形码”，是用某种特定的几何图形按一定规律在平面（二维方向上）分布的黑白相间的图形记录数据符号信息的，在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性：每种码制有其特定的字符集；每个字符占有一定的宽度；具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。

案例：媒体上关于使用二维码导致话费丢失或中毒的报道不少。某先生不幸也中招了，他在网上看到一家餐馆五折的优惠券，觉得很合适就扫了二维码，结果手机中毒了。现在二维码生成软件很普遍，制作二维码基本没有门槛。一些不法分子就盯住了时下年轻人热衷的电子优惠券、软件下载、网络支付等消费方式，将带有病毒、木马程序、钓鱼软件或者手机吸费软件的网页或者应用网址生成一个二维码，伪装成打折促销、中奖、优惠、热门软件或视频，诱导用户扫描。有些消费者看到二维码后，马上拿起手机拍一拍、扫一扫，在手机联网状态下，就会中毒，轻者弹出广告链接、下载垃圾软件，重者中病毒、木马后恶意发送收费短信、消耗上网流量、泄露手机里存储的通讯录、银行卡密码等隐私信息，更有甚者被虚假中奖、虚假银行、虚假充值、虚假购物等各类钓鱼网站欺骗，损失惨重。

小贴士：不要盲目扫描来历不明的二维码，在扫码前一定要确认该二维码是否出自知名正规的网站，特别是路边广告、电梯广告和不明网站上的二维码，需要下载和支付的二维码链接更是要加倍小心，注意看清楚提示信息，不能随意点击“确定”或者“同意”。使用的二维码识别软件要经过官方认证，从正规渠道获得，即使IOS、安卓等平台商店中也会出现一些假冒的、挂马的应用，一定要注意甄别，不清楚用途的软件不要安装，避免因为软件本身挂马而带来安全隐患。还要在智能手机中安装防病毒、防木马等安全防护软件，并进行有效地配置和定期检查，一旦发现有害链接，能够及时地提醒、阻止甚至清除。对于不小心安装了的软件，也可以进行快速查杀。

注意养成良好的使用习惯，保管好手机终端，避免被家中的小朋友或者不明情况人员使用，降低风险。如果手机和银行卡绑定，不要在银行卡内储存过大数额的资金。

设置密码是信息化社会一种比较常见的保密方式，密码有长有短，有复杂有简单，正是由于这些密码，让账户更加安全，但是由于密码多了，设置的复杂度不同，使得密码的安全问题经常警惕用户。用户在设置密码时需要注意的事项如下：

1）不要让密码和账户名称相同。

密码和账户名称相同，是设置密码的一大忌。很多人可能为了方便，将密码和账户名称设置的相同，以方便记忆。

2）不要用手机号、账户、身份证的一部分作为密码。

手机号、账户、身份证号是我们经常使用的，将这些设为密码，很容易让人联想到这些数字，极有可能被别人破码。

3）不将有规律的字符和数字作为密码。

有规律的字符和数字，如生日、连续的数字、连续的字母等，都是很容易被别人很快识破的号码，所以一定不要使用你认为很好记的这些规律字符和数字作为密码。

4）最好一个账户一个密码。

现在，银行卡、网银、网站等有许多自己设置的密码，这些账户之间以及与银行卡、网银等可能存在关联性，若设置的密码均相同，可能很容易在某一账户密码泄露后，其他的也被别人识破。

5）密码不要与常用的手机软件账户密码相同。

手机软件可能很容易被别人盗走，尤其是常见的聊天软件，万一被别人通过木马盗取密码，其他的账户很有可能也被别人利用相同密码进入你的其他账户。

6）密码要设置的复杂。

尽量使用数字、字母、符号组合设置密码，这样的密码相对不容易识破，设置这些密码，为了防止遗忘，可以将其记录在一个纸质笔记本上。

案例：某先生支付账户余额，商家显示“付款金额已超出该信用卡银行支付额度。请使用其他卡或其他方式付款”。

1）提示信用卡超出支付限额，表示付款的时候是选择信用卡支付的，但是信用卡的额度不够，所以需要用其它方式付款。

2）支付账户的金额和银行卡的金额不要混淆。

3）如果支付账户余额有钱，在支付账户收银台付款时选择余额支付即可。

实行紧急止付制度，是防止电信诈骗的一个重要手段。当电信诈骗案的受害人意识到自己受骗后，马上报警，公安部门立案后紧急通知银行，对受害人的转账资金进行紧急止付，快速查询，冻结相关资金，确保一旦发生电信网络诈骗案件能够快速响应、联动处置，最大限度避免和挽回群众财产损失。

新规将个人支付账户分为三类。央行负责人解释，Ⅰ类账户只需要一个外部渠道验证客户身份信息（例如联网核查居民身份证信息），账户余额可以用于消费和转账，主要适用于客户小额、临时支付，身份验证简单快捷。为兼顾便捷性和安全性，Ⅰ类账户的交易限额相对较低（余额付款限额为自账户开立起累计1000元），但支付机构可以通过强化客户身份验证，将Ⅰ类账户升级为Ⅱ类或Ⅲ类账户，提高交易限额。

Ⅱ类和Ⅲ类账户的客户实名验证强度相对较高，能够在一定程度上防范假名、匿名支付账户问题，防止不法分子冒用他人身份开立支付账户并实施犯罪行为，因此具有较高的交易限额（余额付款限额为年累计10万元、20万元）。鉴于投资理财业务的风险等级较高，办法规定，仅实名验证强度最高的Ⅲ类账户可以使用余额购买投资理财等金融类产品，以保障客户资金安全。