【行业新闻】移动支付安全问题的重要性 - 移动支付安全_指纹芯片_安全单元_三代Key_动态令牌芯片—杭州晟元芯片技术有限公司
您当前的位置:首页>关于晟元>企业新闻企业新闻

【行业新闻】移动支付安全问题的重要性

来源:安全视点          上传日期:2014-06-25

    今年以来,最为火热的当属打车软件,虽然在停止补贴后用户开始回落,但是没人能否认,这场烧了数亿元人民币的战争,换来了无数消费者使用移动支付的习惯。随之而来的移动支付安全问题也孕育而生了

    来自央行最新公布的今年一季度支付报告显示,移动支付业务金额以200%的同比增速“疯长”了5个季度。但是,道高一尺魔高一丈,伴随着移动支付狂飙突进般发展的同时,安全问题随之而来。

    有网友称:“移动支付最被诟病的就是安全问题,尤其是绑定手机号、绑定手机、个人信息都存储在手机里的,问题尤为严重。”

移动支付井喷式增长

    近日,央行公布2014年一季度支付体系运行总体情况。报告显示,移动支付业务金额接近4万亿元。电子支付在业务笔数和支付金额上,同比分别增长25.92%和34.60%。其中,移动支付的增长最为迅猛,在2014年第一季度,移动支付业务6.59亿笔,金额3.89万亿元,同比分别增长232.20%和255.37%。

    易观国际预测,2014-2016年,中国第三方互联网支付市场交易规模增长率将分别为49.2%、44.3%、39.4%,而移动支付市场交易规模增长率将分别为90%、67.5%、50.7%。

    业内人士指出,尽管移动支付在非现金支付业务中占比尚不足1%,但伴随移动互联时代的到来,各方巨头均积极布局。随着产业链的逐步成熟和更多应用场景的出现,加上移动支付基数较低,行业料将继续保持高增速,而nfc和o2o将成为移动支付接下来的爆发点。

安全问题被诟病

    与移动支付一同增长的还有手机病毒的数量。据腾讯发布的相关数据,手机病毒数从2011年的2.5万增长到2013年的79.3万,增速3年达到32倍。

    据统计,在2013年到2014年第一季度诈骗短信中的关键词汇中,目前出现频率最高、危害最大的,与网银支付相关的十大诈骗短信关键词为:航班改签、密钥升级、中行到期、密码器过期、房东出差、U盾失效、同居被查、网银升级、验证码、安全账号。

    在网银支付类诈骗短信中,诈骗分子利用伪基站可冒充各大银行的客服号码进行诈骗。在各大银行钓鱼网址中,工商银行钓鱼网址占比达到95.32%、位居第一。中国银行为4.25%,邮储银行占比0.29%,农业银行占比0.14%。

    同时,百度手机卫士与易观智库联合发布《中国手机安全市场现状研究报告》显示,2014年一季度跟移动金融相关的手机病毒样本量就达到了12万,给用户造成经济损失高达7500万元。

    手机病毒的快速增长显然与各种应用下载量的激增直接相关,根据360手机助手的下载量统计及相关第三方数据估算,在国内,与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。

电商类APP最易“染毒”

    据腾讯移动安全实验室统计,在银行、支付、电商、航空、理财等六大类手机支付购物类软件中,共有320款软件被植入恶意病毒代码。

    从比例来看,电商类APP感染病毒的软件款数占39.69%,位居第一。其次是理财类APP和第三方支付类APP,感染病毒的软件款数比例分别占27.19%、13.44%,分别位居第二和第三。  另外三类,比如团购类、银行类、航空类APP“染毒”占比分别为11.25%、7.19%、1.25%。

    在六大类手机支付购物类APP中,每类别对应被病毒包感染最多的手机支付购物类APP分别为:掌上一号店、支付宝、美团网、交通银行等,感染病毒包数分别为:29个、13个、10个、9个、5个、2个。而掌上一号店同时也是感染病毒包数最多的手机支付购物类APP。

病毒入侵后最爱“静默联网”

    据腾讯的相关统计报告,2014年第一季度Android病毒类型占比为:资费消耗占35.53%、隐私获取类占比22.87%、恶意扣费占比17.25%、诱骗欺诈占比13.75%、流氓行为占比6.3%。进程控制、恶意传播、系统破坏占比分别为3.1%、1.03%、0.17%。

    这些支付类病毒最大的特征表现为:静默联网、删除短信、发送短信、读短信、开机自启动。其中,静默联网比例高达61.09%,位居第一。静默删除短信、静默发送短信、开机自启动、读短信的病毒行为分别占比37.3%、36.51%、30.1%、19.74%,位居第二、第三、第四、第五。

19.74%支付类病毒可读取短信

而在整个手机支付过程中,大家可能最信任的是“验证码”,然而,根据腾讯移动安全实验室的抽样统计,19.74%的支付类病毒可以读取用户短信。这里的“用户短信”包括用户支付交易的手机验证码,而黑客可以通过验证码破解用户的支付账号。

如果黑客能窃取到手机验证码,那么再结合窃取到的用户手机号码等隐私信息,可以取消数字证书等设置。

那么这些病毒又是如何“窃取”到验证码的呢?比如2013年12月发现的名为a.remote.eneity(“短信盗贼”)的手机病毒,该病毒可转发手机用户短信(包择验证码短信)到指定号码,并拦截用户短信。

另外一个病毒叫“盗信僵尸”,它可将中毒手机变成“肉鸡”,私自发送短信注册淘宝账号,同时可拦截屏蔽自动回复系列支付确认短信,盗取手机支付确认验证码和手机资费。  二维码诈骗大行其道

曾流行一时、号称支付界巨大创新的二维码,一度成为打通线上线下所谓O2O的关键环节,但在实践中,它也同样成了支付类病毒极为容易流通的应用场景,那么,诈骗分子是如何利用二维码行骗的呢?

一般的过程是,诈骗者通过即时通讯找到目标用户,通过捏造身份,比如淘宝卖家等,以利益诱惑骗取用户信任,关键环节是骗用户扫描二维码进行购物支付,用户手机扫描之后即感染病毒。

之后黑客可直接套取目标用户信息,间接利用手机病毒、钓鱼网站等诱骗用户填写个人信息后传递给诈骗者,如“姓名、身份证号、手机号”等信息,进而手机病毒会监听转发目标用户手机短信给诈骗者,特别是各类支付平台的“动态校正码”短信。

另一个途径是,诈骗者利用目标用户身份验证,开通新的第三方支付平台账号,绑定目标用户的银行卡账户,从而通过支付转账等操作,所有的用户隐私信息具备之后,就可以盗取用户银行卡内的余额资费。





上一篇:互联网巨头移动支付安全PK传统安全巨头

下一篇:移动支付安全性决定生存权