移動(dòng)端支付的安全隱患與應(yīng)對(duì)措施

移動(dòng)端支付的安全危機(jī)與對(duì)策分析

背景介紹1支付優(yōu)勢(shì)2安全隱患3應(yīng)對(duì)策略4目錄Contents目錄

1背景介紹

移動(dòng)互聯(lián)網(wǎng)發(fā)展

移動(dòng)支付的概念移動(dòng)支付也稱(chēng)為手機(jī)支付，就是允許用戶(hù)使用其移動(dòng)終端（通常是手機(jī)）對(duì)所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式。單位或個(gè)人通過(guò)移動(dòng)設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機(jī)構(gòu)發(fā)送支付指令產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實(shí)現(xiàn)移動(dòng)支付功能。移動(dòng)支付將終端設(shè)備、互聯(lián)網(wǎng)、應(yīng)用提供商以及金融機(jī)構(gòu)相融合，為用戶(hù)提供貨幣支付、繳費(fèi)等金融業(yè)務(wù)。移動(dòng)支付主要分為近場(chǎng)支付和遠(yuǎn)程支付兩種，所謂近場(chǎng)支付，就是用手機(jī)刷卡的方式坐車(chē)、買(mǎi)東西等，很便利。遠(yuǎn)程支付是指：通過(guò)發(fā)送支付指令（如網(wǎng)銀、電話(huà)銀行、手機(jī)支付等）或借助支付工具（如通過(guò)郵寄、匯款）進(jìn)行的支付方式，如掌中付推出的掌中電商，掌中充值，掌中視頻等屬于遠(yuǎn)程支付。目前支付標(biāo)準(zhǔn)不統(tǒng)一給相關(guān)的推廣工作造成了很多困惑。移動(dòng)支付標(biāo)準(zhǔn)的制定工作已經(jīng)持續(xù)了三年多，主要是銀聯(lián)和中國(guó)移動(dòng)兩大陣營(yíng)在比賽。數(shù)據(jù)研究公司IDC的報(bào)告顯示，2017年全球移動(dòng)支付的金額將突破1萬(wàn)億美元。強(qiáng)大的數(shù)據(jù)意味著，今后幾年全球移動(dòng)支付業(yè)務(wù)將呈現(xiàn)持續(xù)走強(qiáng)趨勢(shì)。常用移動(dòng)支付軟件01020304支付寶微信支付京東錢(qián)包百度錢(qián)包2支付優(yōu)勢(shì)支付優(yōu)勢(shì)

定制化基于先進(jìn)的移動(dòng)通信技術(shù)和簡(jiǎn)易的手機(jī)操作界面，用戶(hù)可定制自己的消費(fèi)方式和個(gè)性化服務(wù)，賬戶(hù)交易更加簡(jiǎn)單方便。

及時(shí)性不受時(shí)間地點(diǎn)的限制，信息獲取更為及時(shí)，用戶(hù)可隨時(shí)對(duì)賬戶(hù)進(jìn)行查詢(xún)、轉(zhuǎn)賬或進(jìn)行購(gòu)物消費(fèi)。

移動(dòng)性隨身攜帶的移動(dòng)性，消除了距離和地域的限制。結(jié)合了先進(jìn)的移動(dòng)通信技術(shù)的移動(dòng)性，隨時(shí)隨地獲取所需要的服務(wù)、應(yīng)用、信息和娛樂(lè)。

集成性以手機(jī)為載體，通過(guò)與終端讀寫(xiě)器近距離識(shí)別進(jìn)行的信息交互，運(yùn)營(yíng)商可以將移動(dòng)通信卡、公交卡、地鐵卡、銀行卡等各類(lèi)信息整合到以手機(jī)為平臺(tái)的載體中進(jìn)行集成管理定制化及時(shí)性移動(dòng)性集成性3安全隱患安全隱患

病毒感染

手機(jī)漏洞

詐騙電話(huà)及短信

個(gè)人信息泄露

病毒感染

“銀行鬼手”(a.expense.tgpush)

“短信盜賊”（a.remote.eneity）

“鬼面銀賊”（a.rogue.bankrobber）

“盜信僵尸”（a.expense.regtaobao.a）

“偽淘寶”(a.privacy.leekey.b)病毒感染1、截止到2014年第一季度，第三方支付類(lèi)、電商類(lèi)、團(tuán)購(gòu)類(lèi)、理財(cái)類(lèi)、銀行類(lèi)這五大手機(jī)購(gòu)物支付類(lèi)APP下載量增長(zhǎng)迅猛。2、2014年第一季度支付類(lèi)軟件共364款，其下載量占全部軟件下載量的30.38%。3、2014年第一季度截獲手機(jī)病毒包數(shù)143945個(gè)，感染手機(jī)病毒用戶(hù)數(shù)達(dá)到4318.81萬(wàn)。4、電商類(lèi)APP下載量和該類(lèi)別感染的病毒包數(shù)均排名第一。病毒感染2015年第三季度，Android手機(jī)安全形勢(shì)持續(xù)嚴(yán)峻?；隍v訊手機(jī)管家安全服務(wù)的騰訊移動(dòng)安全實(shí)驗(yàn)室數(shù)據(jù)顯示，2015年第三季度Android手機(jī)病毒包新增713.6萬(wàn)，相比2014年的三季度，同比增長(zhǎng)217%。[2-3]2015年第三季度，Android病毒感染人次達(dá)到8032.8萬(wàn)人次，相比2014年第三季度，同比增長(zhǎng)56%。[2-3]2015年第三季度，手機(jī)中毒最多的五大省份或直轄市依次分別是廣東省、北京市、湖北、河南、江蘇。感染用戶(hù)占全國(guó)的比例分別為14.38%、7.45%、6.3%、6.2%、5.8%。[2-3]2015年第三季度，騰訊手機(jī)管家針對(duì)Android病毒查殺次數(shù)達(dá)到1.26億次，相比2014年第三季度，同比增長(zhǎng)51%。[2-3]2105年第三季度，垃圾短信新增用戶(hù)舉報(bào)1.69億條。用戶(hù)舉報(bào)騷擾電話(huà)次數(shù)達(dá)到2.2億。[2-3]手機(jī)漏洞Android掛馬漏洞MasterKey漏洞風(fēng)險(xiǎn)WiFi威脅手機(jī)漏洞手機(jī)漏洞MasterKey漏洞正常情況下，每個(gè)Android應(yīng)用程序都會(huì)有一個(gè)數(shù)字簽名，來(lái)保證應(yīng)用程序在發(fā)行過(guò)程中不被篡改，但黑客可以在不破壞正常APP程序和簽名證書(shū)的情況下，向正常APP中植入惡意程序，并利用正常APP的簽名證書(shū)逃避Android系統(tǒng)簽名驗(yàn)證。而利用該簽名漏洞的扣費(fèi)木馬可寄生于正常APP中，進(jìn)而針對(duì)捆綁手機(jī)用戶(hù)進(jìn)行惡意扣費(fèi)，并向用戶(hù)聯(lián)系人發(fā)送惡意軟件下載推薦短信，在Android系統(tǒng)中，MasterKey漏洞是最為常見(jiàn)的一個(gè)，黑客們可以通過(guò)這個(gè)漏洞繞過(guò)系統(tǒng)認(rèn)證安裝手機(jī)病毒或惡意軟件，進(jìn)一步操控用戶(hù)的Android系統(tǒng)及他們的設(shè)備。風(fēng)險(xiǎn)WiFi威脅風(fēng)險(xiǎn)WiFi主要類(lèi)別分為ARP中間人攻擊、虛假釣魚(yú)、DNS劫持。其中，ARP中間人攻擊是主流，占風(fēng)險(xiǎn)WiFi類(lèi)型比例達(dá)到61.35%，另外，虛假釣魚(yú)WiFi占比15.02%，DNS劫持占比23.63%。手機(jī)漏洞Android掛馬漏洞2013年9月，在烏云漏洞平臺(tái)，被曝出多款A(yù)ndroid應(yīng)用出現(xiàn)嚴(yán)重手機(jī)掛馬漏洞現(xiàn)象。黑客通過(guò)受漏洞影響的應(yīng)用或短信、聊天消息發(fā)送一個(gè)網(wǎng)址，只要用戶(hù)點(diǎn)擊網(wǎng)友發(fā)過(guò)來(lái)的掛馬鏈接，都有可能中招。接著手機(jī)就會(huì)自動(dòng)執(zhí)行黑客指令，出現(xiàn)被安裝惡意扣費(fèi)軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取等嚴(yán)重后果。國(guó)內(nèi)幾大知名的手機(jī)瀏覽器APP等都受此漏洞影響，包括手機(jī)QQ瀏覽器、獵豹瀏覽器等最新版本瀏覽器已經(jīng)修復(fù)該漏洞。詐騙電話(huà)及短信詐騙電話(huà)及短信個(gè)人信息泄露

【密碼是16位英文數(shù)字混合的一段話(huà)，而且除了事主沒(méi)有別人知道，使用的電腦手機(jī)也沒(méi)有中毒，可是支付寶[微博]賬號(hào)中的32萬(wàn)元卻不翼而飛！罪魁禍?zhǔn)资亲矌?kù)。撞庫(kù)是黑客最常用的竊取個(gè)人信息的手法，近年來(lái)，大規(guī)模的個(gè)人身份泄漏已經(jīng)發(fā)生多起，個(gè)人信息安全問(wèn)題已經(jīng)刻不容緩?！?應(yīng)對(duì)措施應(yīng)對(duì)策略

政府：制定完善相關(guān)法律，嚴(yán)厲打擊黑客及詐騙行為相關(guān)企業(yè)：提高手機(jī)和支付端的安全系數(shù)，減少漏洞個(gè)人：提高個(gè)人安全意識(shí)。養(yǎng)成良好的支付習(xí)慣學(xué)習(xí)提高手機(jī)支付安全性的方法外部環(huán)境內(nèi)部個(gè)人國(guó)家政府1.完善移動(dòng)支付的法律法規(guī)在現(xiàn)有的《非金融機(jī)構(gòu)支付服務(wù)管理辦法》、《電子支付指引（第一號(hào)）》、《電子簽名法》、《電子銀行業(yè)務(wù)管理辦法》等部門(mén)規(guī)章的基礎(chǔ)的，制定統(tǒng)一的《移動(dòng)支付法》，并完善配套的法律規(guī)章和司法解釋。立法過(guò)程中，加強(qiáng)移動(dòng)支付的安全性立法，加強(qiáng)相關(guān)的責(zé)任承擔(dān)，明確當(dāng)事人的權(quán)利和義務(wù)，明確舉證責(zé)任等。2.明確監(jiān)管主體，加強(qiáng)監(jiān)管對(duì)于移動(dòng)支付的支付清算、市場(chǎng)準(zhǔn)入、資金安全、金融安全等負(fù)責(zé)監(jiān)管。3.加強(qiáng)司法監(jiān)督，防范洗錢(qián)風(fēng)險(xiǎn)

運(yùn)營(yíng)商移動(dòng)支付產(chǎn)業(yè)鏈各參與方應(yīng)通過(guò)相互協(xié)作形成合力確保支付安全移動(dòng)支付產(chǎn)業(yè)鏈涉及通信運(yùn)營(yíng)商、應(yīng)用提供商、設(shè)備提供商、支付服務(wù)商、系統(tǒng)集成商等多個(gè)參與方，沒(méi)有一家機(jī)構(gòu)能主導(dǎo)整個(gè)產(chǎn)業(yè)鏈的格局，在運(yùn)營(yíng)模式、安全標(biāo)準(zhǔn)、技術(shù)方案等方面，相關(guān)各方應(yīng)加強(qiáng)溝通協(xié)作，采取合作的態(tài)度共同致力提升移動(dòng)支付的安全。在支付環(huán)節(jié)，銀行、電信公司及第三方支付公司等主體應(yīng)在統(tǒng)一的安全架構(gòu)下設(shè)計(jì)安全支付流程，提升支付終端設(shè)備、加密認(rèn)證、應(yīng)用程序等軟硬件方面的兼容性，整合安全管理體系，完善應(yīng)對(duì)移動(dòng)支付安全事件的協(xié)同處理機(jī)制。建立完善的舉報(bào)機(jī)制，及時(shí)停用被標(biāo)記為詐騙的電話(huà)與短信。同時(shí)保障業(yè)主的信息安全，防止其移動(dòng)通信信息的泄露。

運(yùn)營(yíng)商第三方支付紛紛聯(lián)手保險(xiǎn)提供損失賠償事實(shí)上，針對(duì)不斷出現(xiàn)的網(wǎng)絡(luò)盜刷，目前不少第三方支付機(jī)構(gòu)針對(duì)快捷支付、手機(jī)支付和余額寶等產(chǎn)品一直以來(lái)都采用全額賠付，以打消消費(fèi)者對(duì)網(wǎng)絡(luò)支付和移動(dòng)支付的疑慮和擔(dān)憂(yōu)。去年4月份，支付寶開(kāi)始以保險(xiǎn)的形式為用戶(hù)提供資金保障。支付寶的資金安全由平安保險(xiǎn)全額承保，用戶(hù)發(fā)生被盜，平安保險(xiǎn)會(huì)全額賠付，支付寶承諾賠付金額無(wú)上限，保費(fèi)全部由支付寶承擔(dān)。事實(shí)上，不少第三方支付企業(yè)都表示，目前無(wú)論是PC支付還是移動(dòng)支付，風(fēng)險(xiǎn)最大的地方還是出在木馬病毒釣魚(yú)網(wǎng)站中，尤其是手機(jī)上，99%的被盜跟此相關(guān)，其余是用戶(hù)被騙，而不是因?yàn)閬G失手機(jī)。個(gè)人意識(shí)1設(shè)置密碼。大家在使用手機(jī)時(shí)，設(shè)置一個(gè)難破解的開(kāi)機(jī)密碼，為自己的支付寶、余額寶、理財(cái)通、手機(jī)銀行等支付途徑設(shè)立不同的密碼，并進(jìn)行賬戶(hù)綁定，這是保護(hù)手機(jī)信息安全最有效的辦法，可以有效防止手機(jī)丟失和被盜帶來(lái)的安全隱患。2防盜軟件。一定要在手機(jī)中具有防盜能力的安全管理軟件，安裝后記得激活設(shè)置防盜功能?？梢酝ㄟ^(guò)親友號(hào)碼、登陸軟件賬號(hào)，個(gè)人電腦等途徑開(kāi)啟防盜功能，可以跟蹤手機(jī)位置、鎖定手機(jī)、響警報(bào)音，刪除手機(jī)數(shù)據(jù)，當(dāng)手機(jī)換卡時(shí)還可以有短信提醒。3不Root系統(tǒng)。Root手機(jī)系統(tǒng)后，手機(jī)病毒感染的可能性變大，手機(jī)支付遭受的危險(xiǎn)增加。因此不要盲目Root手機(jī)系統(tǒng)，確保手機(jī)系統(tǒng)穩(wěn)定。想更新系統(tǒng)時(shí)，一定正規(guī)的官方網(wǎng)站下載更新包，由專(zhuān)業(yè)人士指導(dǎo)操作個(gè)人意識(shí)4掛失手機(jī)卡。當(dāng)手機(jī)丟失后，應(yīng)該馬上到當(dāng)?shù)貭I(yíng)業(yè)廳掛失手機(jī)卡，并立即補(bǔ)辦新卡，避免被其他人用于其他用途，盜刷自己的資金。立即和銀行卡、支付寶、理財(cái)通等客服聯(lián)系，接除綁定或凍結(jié)有關(guān)手機(jī)支付業(yè)務(wù)，防止資金被盜刷，減少自己的損失。5小心二維碼。不要隨便掃描生活中的二維碼，小心危險(xiǎn)就隱藏在其中。現(xiàn)在二維碼已經(jīng)成為惡意軟件傳播的新途徑，手機(jī)掃描下載時(shí)很容易下載到惡意軟件，陷入別人設(shè)計(jì)的陷阱中，危及自己手機(jī)支付的安全。6不亂安裝軟件。安裝軟件到正規(guī)的手機(jī)商店下載，下載后及時(shí)進(jìn)行病毒查殺，確保下載的軟件安全無(wú)毒。不要隨意下載安裝來(lái)源不明的軟件，防止部分詐騙軟件偽裝成其他軟件裝入手機(jī)，對(duì)部分來(lái)源不明的軟件要及時(shí)進(jìn)行舉報(bào)，以防病毒蔓延。個(gè)人意識(shí)7盡量避免手機(jī)藍(lán)牙處于開(kāi)啟狀態(tài)，不少手機(jī)病毒可以通過(guò)藍(lán)牙傳播，還有不法分子可以通過(guò)藍(lán)牙間諜軟件查看你的電話(huà)本、信息、文件等重要信息。8隨著WiFi的普及，走到哪里都能上網(wǎng)。但對(duì)免費(fèi)WiFi和沒(méi)有加密的