移動端支付的安全隱患與應對措施

移動端支付的安全危機2016與對策分析2021/5/91

1.

2.

3.

4.背景介紹支付優(yōu)勢安全隱患應對策略目錄CONCENTS2021/5/9201背景介紹2021/5/93移動互聯(lián)網(wǎng)發(fā)展2021/5/94移動支付的概念移動支付也稱為手機支付，就是允許用戶使用其移動終端（通常是手機）對所消費的商品或服務進行賬務支付的一種服務方式。單位或個人通過移動設備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機構發(fā)送支付指令產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實現(xiàn)移動支付功能。移動支付將終端設備、互聯(lián)網(wǎng)、應用提供商以及金融機構相融合，為用戶提供貨幣支付、繳費等金融業(yè)務。移動支付主要分為近場支付和遠程支付兩種，所謂近場支付，就是用手機刷卡的方式坐車、買東西等，很便利。遠程支付是指：通過發(fā)送支付指令（如網(wǎng)銀、電話銀行、手機支付等）或借助支付工具（如通過郵寄、匯款）進行的支付方式，如掌中付推出的掌中電商，掌中充值，掌中視頻等屬于遠程支付。目前支付標準不統(tǒng)一給相關的推廣工作造成了很多困惑。移動支付標準的制定工作已經(jīng)持續(xù)了三年多，主要是銀聯(lián)和中國移動兩大陣營在比賽。數(shù)據(jù)研究公司IDC的報告顯示，2017年全球移動支付的金額將突破1萬億美元。強大的數(shù)據(jù)意味著，今后幾年全球移動支付業(yè)務將呈現(xiàn)持續(xù)走強趨勢。2021/5/95常用移動支付軟件01020304支付寶微信支付京東錢包百度錢包2021/5/96電子支付業(yè)務333.33億筆金額22.59萬億元同比增長134.30%同比增長170.25%發(fā)展現(xiàn)狀與趨勢2014年2021/5/9702支付優(yōu)勢2021/5/98支付優(yōu)勢

定制化基于先進的移動通信技術和簡易的手機操作界面，用戶可定制自己的消費方式和個性化服務，賬戶交易更加簡單方便。

及時性不受時間地點的限制，信息獲取更為及時，用戶可隨時對賬戶進行查詢、轉(zhuǎn)賬或進行購物消費。

移動性隨身攜帶的移動性，消除了距離和地域的限制。結(jié)合了先進的移動通信技術的移動性，隨時隨地獲取所需要的服務、應用、信息和娛樂。

集成性以手機為載體，通過與終端讀寫器近距離識別進行的信息交互，運營商可以將移動通信卡、公交卡、地鐵卡、銀行卡等各類信息整合到以手機為平臺的載體中進行集成管理2021/5/99定制化2021/5/910及時性2021/5/911移動性2021/5/912集成性2021/5/91303安全隱患2021/5/914安全隱患

病毒感染

手機漏洞

詐騙電話及短信

個人信息泄露

2021/5/915病毒感染

“銀行鬼手”(a.expense.tgpush)

“短信盜賊”（a.remote.eneity）

“鬼面銀賊”（a.rogue.bankrobber）

“盜信僵尸”（a.expense.regtaobao.a）

“偽淘寶”(a.privacy.leekey.b)2021/5/916病毒感染1、截止到2014年第一季度，第三方支付類、電商類、團購類、理財類、銀行類這五大手機購物支付類APP下載量增長迅猛。2、2014年第一季度支付類軟件共364款，其下載量占全部軟件下載量的30.38%。3、2014年第一季度截獲手機病毒包數(shù)143945個，感染手機病毒用戶數(shù)達到4318.81萬。4、電商類APP下載量和該類別感染的病毒包數(shù)均排名第一。2021/5/917病毒感染2015年第三季度，Android手機安全形勢持續(xù)嚴峻。基于騰訊手機管家安全服務的騰訊移動安全實驗室數(shù)據(jù)顯示，2015年第三季度Android手機病毒包新增713.6萬，相比2014年的三季度，同比增長217%。[2-3]2015年第三季度，Android病毒感染人次達到8032.8萬人次，相比2014年第三季度，同比增長56%。[2-3]2015年第三季度，手機中毒最多的五大省份或直轄市依次分別是廣東省、北京市、湖北、河南、江蘇。感染用戶占全國的比例分別為14.38%、7.45%、6.3%、6.2%、5.8%。[2-3]2015年第三季度，騰訊手機管家針對Android病毒查殺次數(shù)達到1.26億次，相比2014年第三季度，同比增長51%。[2-3]2105年第三季度，垃圾短信新增用戶舉報1.69億條。用戶舉報騷擾電話次數(shù)達到2.2億。[2-3]2021/5/918手機漏洞Android掛馬漏洞MasterKey漏洞風險WiFi威脅2021/5/919手機漏洞2021/5/920手機漏洞MasterKey漏洞正常情況下，每個Android應用程序都會有一個數(shù)字簽名，來保證應用程序在發(fā)行過程中不被篡改，但黑客可以在不破壞正常APP程序和簽名證書的情況下，向正常APP中植入惡意程序，并利用正常APP的簽名證書逃避Android系統(tǒng)簽名驗證。而利用該簽名漏洞的扣費木馬可寄生于正常APP中，進而針對捆綁手機用戶進行惡意扣費，并向用戶聯(lián)系人發(fā)送惡意軟件下載推薦短信，在Android系統(tǒng)中，MasterKey漏洞是最為常見的一個，黑客們可以通過這個漏洞繞過系統(tǒng)認證安裝手機病毒或惡意軟件，進一步操控用戶的Android系統(tǒng)及他們的設備。風險WiFi威脅風險WiFi主要類別分為ARP中間人攻擊、虛假釣魚、DNS劫持。其中，ARP中間人攻擊是主流，占風險WiFi類型比例達到61.35%，另外，虛假釣魚WiFi占比15.02%，DNS劫持占比23.63%。2021/5/921手機漏洞Android掛馬漏洞2013年9月，在烏云漏洞平臺，被曝出多款Android應用出現(xiàn)嚴重手機掛馬漏洞現(xiàn)象。黑客通過受漏洞影響的應用或短信、聊天消息發(fā)送一個網(wǎng)址，只要用戶點擊網(wǎng)友發(fā)過來的掛馬鏈接，都有可能中招。接著手機就會自動執(zhí)行黑客指令，出現(xiàn)被安裝惡意扣費軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取等嚴重后果。國內(nèi)幾大知名的手機瀏覽器APP等都受此漏洞影響，包括手機QQ瀏覽器、獵豹瀏覽器等最新版本瀏覽器已經(jīng)修復該漏洞。2021/5/922詐騙電話及短信2021/5/923詐騙電話及短信2021/5/924個人信息泄露

【密碼是16位英文數(shù)字混合的一段話，而且除了事主沒有別人知道，使用的電腦手機也沒有中毒，可是支付寶[微博]賬號中的32萬元卻不翼而飛！罪魁禍首是撞庫。撞庫是黑客最常用的竊取個人信息的手法，近年來，大規(guī)模的個人身份泄漏已經(jīng)發(fā)生多起，個人信息安全問題已經(jīng)刻不容緩。】2021/5/92504應對策略2021/5/926應對策略

政府：制定完善相關法律，嚴厲打擊黑客及詐騙行為相關企業(yè)：提高手機和支付端的安全系數(shù)，減少漏洞個人：提高個人安全意識。養(yǎng)成良好的支付習慣學習提高手機支付安全性的方法外部環(huán)境內(nèi)部個人2021/5/927國家政府1.完善移動支付的法律法規(guī)在現(xiàn)有的《非金融機構支付服務管理辦法》、《電子支付指引（第一號）》、《電子簽名法》、《電子銀行業(yè)務管理辦法》等部門規(guī)章的基礎的，制定統(tǒng)一的《移動支付法》，并完善配套的法律規(guī)章和司法解釋。立法過程中，加強移動支付的安全性立法，加強相關的責任承擔，明確當事人的權利和義務，明確舉證責任等。2.明確監(jiān)管主體，加強監(jiān)管對于移動支付的支付清算、市場準入、資金安全、金融安全等負責監(jiān)管。3.加強司法監(jiān)督，防范洗錢風險2021/5/928

運營商移動支付產(chǎn)業(yè)鏈各參與方應通過相互協(xié)作形成合力確保支付安全移動支付產(chǎn)業(yè)鏈涉及通信運營商、應用提供商、設備提供商、支付服務商、系統(tǒng)集成商等多個參與方，沒有一家機構能主導整個產(chǎn)業(yè)鏈的格局，在運營模式、安全標準、技術方案等方面，相關各方應加強溝通協(xié)作，采取合作的態(tài)度共同致力提升移動支付的安全。在支付環(huán)節(jié)，銀行、電信公司及第三方支付公司等主體應在統(tǒng)一的安全架構下設計安全支付流程，提升支付終端設備、加密認證、應用程序等軟硬件方面的兼容性，整合安全管理體系，完善應對移動支付安全事件的協(xié)同處理機制。建立完善的舉報機制，及時停用被標記為詐騙的電話與短信。同時保障業(yè)主的信息安全，防止其移動通信信息的泄露。2021/5/929

運營商第三方支付紛紛聯(lián)手保險提供損失賠償事實上，針對不斷出現(xiàn)的網(wǎng)絡盜刷，目前不少第三方支付機構針對快捷支付、手機支付和余額寶等產(chǎn)品一直以來都采用全額賠付，以打消消費者對網(wǎng)絡支付和移動支付的疑慮和擔憂。去年4月份，支付寶開始以保險的形式為用戶提供資金保障。支付寶的資金安全由平安保險全額承保，用戶發(fā)生被盜，平安保險會全額賠付，支付寶承諾賠付金額無上限，保費全部由支付寶承擔。事實上，不少第三方支付企業(yè)都表示，目前無論是PC支付還是移動支付，風險最大的地方還是出在木馬病毒釣魚網(wǎng)站中，尤其是手機上，99%的被盜跟此相關，其余是用戶被騙，而不是因為丟失手機。2021/5/930個人意識1設置密碼。大家在使用手機時，設置一個難破解的開機密碼，為自己的支付寶、余額寶、理財通、手機銀行等支付途徑設立不同的密碼，并進行賬戶綁定，這是保護手機信息安全最有效的辦法，可以有效防止手機丟失和被盜帶來的安全隱患。2防盜軟件。一定要在手機中具有防盜能力的安全管理軟件，安裝后記得激活設置防盜功能?？梢酝ㄟ^親友號碼、登陸軟件賬號，個人電腦等途徑開啟防盜功能，可以跟蹤手機位置、鎖定手機、響警報音，刪除手機數(shù)據(jù)，當手機換卡時還可以有短信提醒。3不Root系統(tǒng)。Root手機系統(tǒng)后，手機病毒感染的可能性變大，手機支付遭受的危險增加。因此不要盲目Root手機系統(tǒng)，確保手機系統(tǒng)穩(wěn)定。想更新系統(tǒng)時，一定正規(guī)的官方網(wǎng)站下載更新包，由專業(yè)人士指導操作2021/5/931個人意識4掛失手機卡。當手機丟失后，應該馬上到當?shù)貭I業(yè)廳掛失手機卡，并立即補辦新卡，避免被其他人用于其他用途，盜刷自己的資金。立即和銀行卡、支付寶、理財通等客服聯(lián)系，接除綁定或凍結(jié)有關手機支付業(yè)務，防止資金被盜刷，減少自己的損失。5小心二維碼。不要隨便掃描生活中的二維碼，小心危險就隱藏在其中。現(xiàn)在二維碼已經(jīng)成為惡意軟件傳播的新途徑，手機掃描下載時很容易下載到惡意軟件，陷入別人設計的陷阱中，危及自己手機支付的安全。6不亂安裝軟件。安裝軟件到正規(guī)的手機商店下載，下載后及時進行病毒查殺，確保下載的軟件安全無毒。不要隨意下載安裝來源不明的軟件，防止部分詐騙軟件偽裝成其他軟件裝入手機，對部分來源不明的軟件要及時進行舉報，以防病毒蔓延。2021/5/932個人意識7盡量避免手機藍牙處于開啟狀態(tài)，不少手機病毒可以通過藍牙傳播，還有不法分子可以通過藍牙間諜軟件查看你的電話本、信息、文件等重要信息。8隨著WiFi的普及，走到哪里都能上網(wǎng)。但對免費WiFi和沒有加密的WiFi一定要多加小心。輕則被黑客截