近年来,网上购物的现象越来越普遍,相关的消费纠纷逐渐成为消费投诉新焦点,商家和律师提醒,您在进行网上购物时还须谨慎。□今报记者 赵丹/文 尚鑫/图
【投诉】紫水晶套饰变了样
花了三百多元钱,网上购买的紫水晶套饰变成了废品。近日,看到本报风尚版开版的消息,市民曹女士打来电话述说了这件窝心事儿。
去年秋季,曹女士在网上看中了一款紫水晶套饰。“总共三百多,买一个手链送配套的耳环、项链”。光灿灿的紫水晶套饰显得格外漂亮,曹女士立即跟商家取得联系要求购买,甚至连品牌都没记住。
不到一星期,快递公司送货上门。付钱、收货,双方利索地“交易”完毕。比较粗心的曹女士一没要发票,只留了一张收据,二没仔细察看。“当时隐隐觉得送货到家的紫水晶套饰颜色不那么鲜亮,摸着手感也比较粗”。
曹女士戴了一个月之后,先是手链出现颜色脱落问题,“像是生锈了一样,斑斑点点”,曹女士还想着是整天打电脑摩擦所致。没料到,项链和耳环也相继出现了这种问题。最后,这套花了三百多元买的紫水晶套饰扔进了抽屉。
曹女士说她的第一次网上购物,就是以这样的失败告终。“不敢再轻易相信网上购物了”。
【现象】网上购物渐兴起
近些年来,随着网络的兴起,相关的消费纠纷逐渐成为消费投诉新焦点。
据报道,宁波的姜先生曾网购了一款价值1399元的康佳蓝极星触屏手机。用了不到半年,触屏键盘就坏了。于是,姜先生把手机寄到保修卡上指定的南京服务点去修理。但对方称手机经检测属人为损坏,要求姜先生在24小时内汇去180元维修费才给维修。
而上面提到的事件,不少消费者都遇到过。曹女士坦言由于她的麻痹大意,出了问题想着钱少就不再追究的心态,导致利益受损。一位珠宝界人士告诉记者,网上购物有利有弊,特别是珠宝首饰通过这种渠道购买一是难以辨别真假,二是售后服务难以得到保障。
【观点】网上购买珠宝还须谨慎
据中消协日前公布的“2007年消费维权十大难点”中,网络购物位列其中——网上消费虽时尚,知情维权难保障问题。
采访中,众多珠宝商家都不提倡消费者通过网络购买珠宝首饰。“产品质量、尺寸大小、产品价格、售后服务等问题,消费者还是看着东西买比较保险。”中国宝玉石协会理事、国家珠宝检验师穆强说,“网络购物弹性较大,消费者还须谨慎购买。”“取证难是网络购物的主要维权问题。”河南良仁律师事务所律师宁国涛认为,网上购物都存在着“看不到商品实物”的特点。
网上购物主要是针对特定的商品而言,而消费者不容易将网上购物宣传节目保留下来,造成发生纠纷以后给自己的维权带来一定的难度。
宁国涛建议消费者不要被商家的夸大宣传所蒙蔽,在购买网上所宣传的商品时,可以到商场里看一下商品实物,不至于被商家在网上的夸大宣传所蒙蔽。另外,在出现纠纷后应及时向当地消协、工商部门以及监管部门举报。
·支付终端截取。攻击者可以在持卡人电脑上发布恶意软件(如木马软件)。这些软件能在持卡人输入支付密码时悄无声息地捕获,并偷偷地发送出去。
·网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。
·暴力攻击。通常支付密码是由数字和字母组成的一段字串。由于人类记忆能力的限制,该字串不会太长。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机,,攻击者可以采用密码词典(密码词典包含了0-9数字不同字长的各种数字串组合)方式逐个试探。
·其它途径获取。攻击者趁持卡人不注意,在银行柜台、ATM或POS终端记下持卡人的支付密码。
支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出,我们首先要具有安全意识和基本防范技能。持卡人应注意:
识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此,持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商,熟悉其域名,并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式,可以帮助持卡人识别假网站。
虚假短信(邮件)相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后,应确认短信发送者的真实身份或短信内容。
密码保护还需要持卡人注意不要设置简单的密码,如不要采用类似“123456” 的简单数字组合、自己或亲人的生日信息、电话号码。此外,还注意支付终端的安全性,如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时,还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等,不要将密码记录在被人容易看到的纸片上。
支付密码能轻易为攻击者骗取、窃取或破解,更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合,属于低安全强度的保护机制。目前有很多更适合采用的高安全强度的加密机制。如采用数字证书代替或补充支付密码就是一种有效方式。很多商业银行的专业版网上支付系统就是采用这种方式。数字证书的使用,大大降低了网上支付事件的数量。因此,持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式。
防止支付数据被篡改需要网上支付平台采用完善的信息安全措施。当前普遍采用数字签名来保障支付数据不会被篡改。数字签名在保护数据完整性方面有两个功能:
·首先,能标明支付数据特征值。即便是支付数据的细微差异,数字签名将产生内容迥异的签名结果。可以说数字签名就是支付数据地特征值。因此,一旦支付数据被篡改,通过对支付数据与签名结果比对,可以轻易识别支付数据是否被人篡改。
·其次,能表明特征值是由谁产生的。设想一种情形,倘若攻击者篡改数据后同时将原签名结果替换为攻击者的签名,比对支付数据和签名结果时很难发现数据被人篡改。因此,为了识别支付数据究竟是否被修改,还需要验证支付数据特征值的真实产生方。只有确认特征值是由持卡人产生且特征值与签名结果匹配才能确认支付数据有效。
再看看支付否认情形。否认支付是网上支付服务提供商(商业银行或专业网上支付公司)和收款人的关注点。通过数字签名同样可以解决否认支付问题。我们在银行柜面办理存款、取款,或是在POS刷卡、ATM存取款,通过银行会给你一张支付回单。一旦出现争议,你可以将该回单作为交易操作的证明。互联网支付,数字签名记录可以充当“电子回单”。
·为解决付款人否认支付,商业银行要求付款人在进行支付时必须附带其确认支付的签名。商业银行保存该签名结果和支付记录。一旦付款方否认支付,商业银行可以出示该支付指令签名作为证据。
·为解决商业银行否认结算资金转入收款人账户,收款人要求商业银行提交资金划入操作记录的数字签名。收款人验证该签名结果有效的,才确认已经收款,才能与付款人继续后续的商务活动。否则,收款人拒绝进行后续活动。
4、一个实例说明
下面我们从一个典型的电子商务网上支付交易出发,应用数字证书安全方案,说明在网上支付具体实现过程中如何保障各方利益。
以消费者A在电子商务网站B进行商务交易,并通过商业银行C完成在线支付的情形来说明。对于第三方网上支付平台,基本的交易流程与此并与本质性的区别。只是为了便于说明,这里采用消费者通过商业银行直接支付的相对简化的方式,而非通过第三方支付平台支付。
基本的交易流程如下和安全措施说明如下:
1)消费者在商务网站选择商品,消费者确认订单并选择网上支付。
该环节需要传输消费者购物订单信息,这类信息属用户私密信息,需要予以传输保密保护。此外,消费者还需要验证商务网站是真实的。
通常的解决方案是:商务网站和消费者浏览器之间建立安全数据传输通道(如HTTPS),或者传输加密报文(如XML加密报文)。这种情况下,需要商务网站端安装有web服务器数字证书,除提供加密服务外,消费者可以据此证书鉴别该网站。
2)消费者到商业银行网上支付系统完成支付后,商业银行将支付结果反馈给消费者。该步骤需要保护消费者的支付密钥(口令或数字证书)、应用层的交易数据完整性保护和消费者对支付请求的签名。
消费者和商业银行端都使用数字证书是目前现实的具有高安全强度、简洁特色的解决方案。更为具体的安全操作步骤是:
i。消费者登录到商业银行网上支付系统后,需要验证该系统的服务器数字证书可信,以避免登陆到假冒网站。
ii。消费者浏览器与商业银行支付系统间建立安全通道,该通道提供支付信息加密保障。
iii。消费者对支付信息(通常为确认支付信息)数字签名,并发送到商业银行支付系统。该数字签名可以起到一箭三雕的作用:
·商业银行据此认证消费者身份
·提供端对端的、基于认证的数据完整性保护
·商业银行保存该签名,该签名为消费者确认支付的证据
·商业银行通知商务网站支付成功信息。
该过程中,商务网站需要鉴别商业银行,并要求商业银行对某一订单成功收单提供数字签名。这两种安全要求都可以通过商业银行对某收单结果数据的数字签名来满足。必要的被签名数据应包括:交易流水号和支付金额。商务网站验证该签名数据有效后,继续与消费者之间的后续商务交易活动。
5、还有什么?
根据一些调查公司对近几年网上支付交易量的统计分析结果来看,网上支付交易额逐年攀升,表现出这一新生支付方式发展的良好势头。但是,正如前面提及,由于支付安全存在一定隐患,网上支付要得到社会的普遍认可,还需要一些时日。期间,需要解决几个问题:
首先,需要加大网上支付安全的宣传介绍。商业银行、支付公司和支付组织在大肆宣扬网上支付优势的同时,更需要注重提高人们网上支付安全的关注、介绍基本的安全控制措施。
其次,尽管目前安全技术发展成熟,但商业银行、第三方支付平台等支付服务商都采用各自的安全方案,难免出现安全漏洞。因此,网上支付的发展需要专业的支付安全服务公司、完善的支付安全技术标准,并建立网上支付安全评价体系和准入机制。只有如此,网上支付才能在提升服务价值的同时,通过更好的社会安全环境,保障支付各方的利益,更加健康、快速地发展。
, ,
