移动支付市场提速 漏洞层出不穷指尖安全迎大考
作者: 日期:2014年03月19日 阅:2,464

merkel phone

木马威胁、诈骗短信等已成为移动支付安全的严重威胁。近日由360发布的《2014年第一期中国移动支付安全报告》显示,2013年以来,360互联网安全中心共截获支付及购物类恶意程序2962个。其中假冒类木马为最常见的移动支付恶意程序,占总比约74%。除了恶意程序的攻击外,手机本身存在的安全漏洞也是造成移动支付环境恶化的原因之一。

2014年被称为是中国移动支付的元年,但是,移动支付却面临着巨大的安全隐患。专家表示,国内的移动支付市场尚处在探索成长的发展阶段,建议加强对实名制管理、资金安全、软件安全、风险防控等进行研究和管理,切实保护消费者权益,促进移动支付的健康成长。

互联网及手机支付用户近几年快速增长,中国互联网络信息中心发布的数据显示,截至2013 年12 月底,中国网民规模达6.18 亿,同比增长9.6%;手机网民规模达5.0 亿,同比增长19.0%,占总网民数的81.0%。手机支付用户规模达到1.25 亿,同比增长了126.0%,占手机网民总量的25.0%。这表明,继银行卡支付、网上支付(PC 端)之后,中国消费者已经快速进入了移动支付时代。

“不过,由于智能手机系统的某些先天性不足,移动支付安全一直受到手机安全漏洞和各类手机木马的威胁。”360资深安全研究员安杨在接受中国商报记者采访时表示,“不管是手机还是传统网上支付(PC端)的重要验证途径和消费通知途径,都是各类诈骗短信攻击的目标。因此,尽管目前所有的移动支付产品都非常重视支付的安全性,但移动支付的安全性问题仍然存在很多隐患,值得消费者和业内人士高度关注。”

  购物及支付类木马难防范

专门针对移动支付的木马使用最新的攻击技术,使得此类木马的发现和查杀难度大大增加。

河南的淘宝店主王先生某一天在网上售货,有买家说要和同学一起购买多款商品,担心买错款式,他们就用手机做了一个二维码清单,这样王先生用手机一扫描就能知道他们要买什么了。然而,王先生扫描完二维码后,浏览器就跳转到了一个文件下载页面,等安装并打开名为“购物清单”的apk文件后,看到的却是乱码,根本没有任何商品信息。

“我再去问买家为何看不到时,他就下线了。”王先生向记者描述称,没隔几分钟,自己却收到网购充值卡支付成功的短信提醒,同时电脑也弹窗提示说他的支付宝在异地登录。忽觉事有蹊跷的王先生赶紧尝试修改支付宝密码,这才发现自己的密码已被人改掉。

安杨表示,“事实上,王先生遭遇了典型的二维码钓鱼欺诈,当他下载并运行了所谓的‘购物清单’文件后,暗藏的apk 木马就成功入侵了他的手机。”

造成手机支付安全隐患的原因之一是手机本身的漏洞。据360安全专家万仁国向中国商报记者介绍,国产手机漏洞较多,更让人不可思议的是,国产手机厂商定制产生的手机安全漏洞最多,约占被测试手机已知漏洞总数的70%。后台消息、签名漏洞、短信欺诈、后台电话、清除数据、静默安装等六类漏洞中,签名漏洞对移动支付安全性的威胁最为严重。“黑客恰恰可以利用这个漏洞,对正常的支付工具或网银客户端进行篡改。而篡改之后,程序的数字签名不会发生改变,因此也很难被发现。”

研究发现,在购物及支付类木马方面,从绝对数量上看,专门针对手机网银、支付工具和网上购物设计的木马程序并不是很多。但此类木马往往会使用最新的攻击技术和方法,使得此类木马的发现和查杀难度大大增加。

伪基站短信诈骗成倍增加

目前市面上的手机安全软件不能识别和拦截伪基站短信。

很多消费者都收到过各种各样的诈骗短信,这些诈骗短信会诱骗用户登录钓鱼网站或下载木马程序,从而对网上购物和网上支付构成威胁。据360互联网安全中心统计,2013年全年共收到用户举报垃圾短信总量约为4.46亿条,360手机卫士全年共为用户拦截各类手机垃圾短信971亿条,其中诈骗短信占据垃圾短信总量的5%,约为49亿条。

“2013年下半年开始流行至今的伪基站技术,不仅使垃圾短信满天飞,更使诈骗短信的危害成倍增加。” 万仁国向记者介绍,去年一种名为伪基站的强发垃圾短信和诈骗短信的攻击方式逐渐泛滥,不法分子将与电信运营商的无线基站同频的伪基站放入车中,在人群密集的街道和小区自动搜索附近的手机卡信息,发送广告或诈骗短信,甚至冒充95588等银行号码诱骗中招者访问虚假网银,盗刷银行账户资金。另外,冒充电信运营商号码,如13800138000 的伪基站短信也不在少数。

进入2013 年下半年,又出现了大量伪基站伪装运营商、银行等官方号码发送欺诈短信,诱导受害者下载可以拦截和转发用户短信的手机木马(如“隐身大盗”木马)的案件。该类木马可以实现盗刷支付账户的目的。

据某不法商家宣称,其一个月就能卖出伪基站上百台,而一台伪基站每小时最多可以发送3 万条短信。保守估计,2013 年国内由伪基站发出的短信已经达到上百亿条的规模。

更为严重的是,这些伪基站使用的发信号码多为银行或电信运营商的官方号码,这些号码不仅对于用户来说很具有迷惑性,而且这些号码通常也会被手机安全软件列入白名单,因此,目前市面上的绝大多数手机安全软件和号码管理软件也不能识别和拦截伪基站短信。

 如何防范手机支付漏洞

安装手机安全软件是保护自身财产安全的重要手段之一。

针对移动支付的诸多安全问题,全国人大代表郑杰在今年两会带来的议案与建议中指出,要培育公平竞争的市场,明确监管部门,制定统一的监管标准和退出机制;在移动支付业务金融核心能力基础上进行规范管理。

针对移动支付业务中涉及的实名制管理、资金安全、软件安全、风险防控和消费者权益保护等核心问题,郑杰建议,采取必要的防范措施,同时,建立国家级的征信中心,将涉及移动支付的互联网公司、第三方支付公司、电信运营商纳入管理。

万仁国建议消费者特别要提高警惕,不要轻信陌生人发来的二维码信息,如果扫描二维码后打开的网站要求安装新应用程序,则需不要轻易安装。消费者要保持设置手机开机密码的习惯,不要把密码保存在手机里,或者设置成生日、车牌等容易被猜到的个人信息。

“电子密码器失效”、“U盾升级”等属于不法分子常用的诈骗术语,如果消费者收到类似短信,又无法判断真伪时,应直接拨打银行的官方客服电话联系银行工作人员进行咨询,或者是到银行网点柜台办理,绝对不能通过短信中的网址登入网银。“即使是银行官方客服号码发来的类似短信,也不要轻信。一定不要直接拨打短信中留下的联系电话,而是要通过银行官方客服进行咨询。” 万仁国特别告诫消费者。

此外,专家还建议,安装手机安全软件也是保护自身财产安全的重要手段之一。

手机支付五大安全防范建议

1、不要轻信陌生人发来的二维码信息。

2、遇到交易对方有明显古怪的行为,就应当提高警惕,不要轻信对方的说辞。

3、保持设置手机开机密码的习惯。

4、使用宝令、支付盾等安全必备产品。

5、如果收到电子密码器失效类似的短信,又无法判断真伪,绝对不能通过短信中的网址登入网银。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章