偷取短信、拦截验证码、上传转发隐私数据等成为2015年上半年手机支付类病毒的典型特征。其中,靠读取并转发用户手机支付类短信验证码的病毒行为,再通过第三方网络支付工具发起快捷支付,从而实现对绑定银行卡的盗刷;或黑客把支付款项拦截转入陌生账号等问题较为频发。
出门不带钱包没关系,只要带手机即可。无论是逛街吃饭,还是打车加油,支付宝、微信等多种移动支付方式都能无缝让我们与商家对接完成交易,就连沙县小吃、菜场等都能使用,真的不得不说,这种支付方式很便利,再也不用怕现金不够去银行排队取钱,也不用怕找回的零钱中有假币。
正当我们乐呵呵地享受移动支付带来的便利时,一群研究网络安全的专家却在担忧其中的隐患,因为有不少软件病毒就是冲着手机移动支付去的。
近日,中国科学技术协会和俄罗斯科学工程学会联合会以及浙江省科学技术协会等联合举办的“2015中俄工程技术论坛”上,“网络信息安全与挑战”的分论坛中,专家们谈到了眼下热门的手机移动支付安全问题。
近三成用户存在移动支付风险
浙江大学计算机学院教授张森是研究网络信息安全的专家,同时也是杭州市信息安全协会会长。在这次论坛上,他就提到,当前中国网民6.5亿,手机网民总数为5.94亿,年增长率19%,使用手机支付的用户已达2.67亿。其中,有近三成的用户处在移动支付风险环境中。
这是什么意思呢?原来,一切是手机支付病毒在作祟。据腾讯数据显示,今年上半年,新增手机支付病毒29762个,感染用户总数达到1145.4万。
浙江省计算信息系统安全协会副会长、杭州安恒信息技术有限公司总裁范渊说,支付类病毒多半与窃取隐私相关,偷取短信、拦截验证码、上传转发隐私数据等行为是2015年上半年手机支付类病毒的典型特征。“这些移动支付病毒可以直接威胁到用户的财产安全。其中,靠读取并转发用户手机支付类短信验证码的病毒行为,再通过第三方网络支付工具发起快捷支付,从而实现对绑定银行卡的盗刷;或黑客把支付款项拦截转入陌生账号等问题较为频发。”
支付宝风控技术安全方面负责人张道生表示,支付宝作为目前最大的第三方支付平台,平均每天要拦截上万次黑客攻击,屏蔽了全球近一半的电商钓鱼网站。
或许你会说,不怕,手机里安装了杀毒软件。事实上,这些病毒是杀毒软件发现不了的。范渊说,支付类病毒最大特征表现为静默发送短信,静默删除短信、隐藏图标或静默删除并转发短信。“作为普通用户来说,是很难察觉到手机被植入木马病毒或被黑客攻击的,并且杀毒软件也无法扫描得知。但还是有些异常可以发现的,如手机出现运行速度突然长时间变慢、突然无故黑屏、某些软件自动被打开、账号泄露或其他一些不正常的现象,可能就是中毒了。如果真的感觉手机被木马侵入,这时,最好求助专业人员进行检测。”
爱玩社交和游戏的手机病毒多
手机上的病毒哪里来?范渊的公司本来是做大数据的安全监管,后来发现手机支付的问题,又成立了团队做手机安全监测。从他们的分析情况来看,导致这些病毒对移动支付产生危险问题发生的原因有两方面:一方面是支付平台自身存在漏洞易导致支付风险;另一方面是手机或手机上的社交软件感染木马,威胁到支付软件的安全,带来支付风险。
他公布了一则最近的数据:受政府部门委托,针对某省的互联网金融网站抽样了100个进行了深入检测,发现其中有71个网站存在高危漏洞,33%的网站发现跨站脚本漏洞,6%的网站发现逻辑漏洞,7%的网站发现密码重置漏洞,4%的网站存在弱口令,7%的网站发现密码重置漏洞,4%的网站存在弱口令,8%的网站发现高危敏感信息泄露。
这些网络漏洞,会直接影响平台移动支付端的安全。“跨站脚本漏洞、网站逻辑漏洞、密码重置漏洞、弱口令、敏感信息泄露等,都可以直接导致黑客攻击破解用户账号密码,拦截支付或盗取用户钱财;更严重的会使黑客攻击造成整个网站平台瘫痪,导致整个网站的资金受到威胁。”范渊解释说。
除此之外,手机社交软件或游戏软件,是病毒易感区,黑客可以利用对手机的攻击或是对手机社交、游戏软件的木马植入,控制支付软件,靠读取并转发用户手机支付类短信验证码,盗取用户银行卡客户端或支付账号内钱财。
蚂蚁金服高级安全策略专家冯力国表示,到目前为止,他们碰到的用户反映支付安全出了问题,基本上是用户被骗,或是手机设备遭到病毒攻击被植入木马所导致。张道生表示,他们有专门的团队在做安全监管。2014年支付宝发出1.28亿条异地登录安全报警提醒,146万条欺诈风险提醒都是在交易时发出的。“在用户进行交易的时候,平台也会像一个房子一样,根据用户的习惯进行监控。平台的风控监管,就像一个智能的大脑,如果非本人操作找回密码,会根据账号的登录习惯、时间、消费习惯、地点、网络环境、打字速度等,进行监控排查。”
不能用两个手机就别“手贱”
“由于黑客攻击,每天都有大量的资金损失案件发生,这些资金大都是发生在支付过程中,被黑客拦截转入陌生账号的。如果数额不是很大,一般情况下很难追回。”张森教授透露,哪怕追究责任,一般也会按责任来承担。比如说,支付平台自身存在漏洞,由平台方承担责任,而用户手机在安装社交软件或游戏软件中感染木马威胁到支付软件安全,损失则由用户方负责。
在范渊看来,手机用户想降低移动支付风险性,最便捷的方法就是平时使用两个手机。一个手机安装移动支付软件,另一个手机安装游戏和社交软件。“这样的方法比较极端,但是却可以避免木马软件利用社交软件漏洞,攻击移动支付软件。”
不过,论坛上也有安全专家建议,用户最好给支付账户设置单独的、高安全级别的密码、给手机支付设置手势密码;不越狱、不给手机乱装软件;支付应用实名认证;谨慎保管个人的身份证、银行卡、手机验证码等隐私信息;不点击不明链接,不安装不明软件;丢失手机后应进行挂失服务……
这些“秘诀”全是老生常谈的内容,可是却常常因为“手贱”而被遗忘。当然,你可以花点钱购买一些专门针对手机支付病毒的软件。据了解,这个市场被国内外多个网络安全信息技术公司看中。据悉,目前已经有公司研制出一款对于木马病毒的植入防护软件产品,通过对手机内部软件进行打包计算,适时观测手机异常情况。但是不是有用,还有待市场验证。
不过,有个脑洞大开的设想,倒是可以作为一针安慰剂。冯国力透露,目前行业的趋势是逐步把精力放在后台安全,通过生物识别和大数据的方式来设置一把“锁”,它知道开锁的是不是主人。“这是包括蚂蚁金服在内的不少互联网公司努力的方向。”