钱Lady第十一期:移动支付安全 且行且珍惜

如果马斯洛还活到现在,他一定想不到,他的人类五层次需求说中,又外加了一个第六需求——WiFi。

有了WiFi,我们身体器官延伸到了更为亲密的手机、ipad等移动设备,这样,我们就能够轻松完成一件事——支付,比如交水电煤气、交学费、交通罚款、甚至一切能交易的事情,我们都可以通过移动支付。

然而,你一定想不到的是,马洛神伟大之处就在于他把“安全”放在了基于生理需求这个最底层需求之后的第二需求上,移动支付亦如此,即时有了WiFi,没有安全,您还敢支付么?

1.移动支付一年增3倍,手机病毒三年增30倍。

昨天,央行发布2014年第一季度支付体系运行总体情况,喜人的结果是,电子支付在业务笔数和支付金额上,同比分别增长25.92%和34.60%。

其中,移动支付的增长最为迅猛,在2014年第一季度,移动支付业务6.59亿笔,金额3.89万亿元,同比分别增长232.20%和255.37%。

移动支付来势凶猛,这个行业增长正处火山口的喷发,然而,“道高一尺魔高一丈”,据腾讯方面发布的相关数据,手机病毒数从2011年的2.5万增长到2013年的79.3万,增速3年达到32倍。

同时,百度手机卫士与易观智库联合发布《中国手机安全市场现状研究报告》显示,2014年一季度跟移动金融相关的手机病毒样本量就达到了12万,给用户造成经济损失高达7500万元。

手机病毒的快速增长显然与各种应用下载量的激增直接相关,根据360手机助手的下载量统计及相关第三方数据估算,在国内,与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。

2.支付类APP成重灾区

据腾讯移动安全实验室统计,在银行、支付、电商、航空、理财等六大类手机支付购物类软件中,共有 320 款软件被植入恶意病毒代码。

从比例来看,其中,电商类 APP 感染病毒的软件款数占 39.69%,位居第一。其次是理财类 APP和第三方支付类 APP,感染病毒的软件款数比例分别占27.19%、13.44%,分别位居第二和第三。

另外三类,比如团购类、银行类、航空类 APP染毒占比分别为11.25%、7.19%、1.25%。

在六大类大类手机支付购物类 APP 中,每类别对应被病毒包感染最多的手机支付购物类APP分别为:掌上一号店、wind资讯、支付宝、美团网、交通银行等,感染病毒包数分别为:29 个、13个、10 个、9个、5个、2个。而掌上一号店同时也是感染病毒包数最多的手机支付购物类 APP。

3.手机病毒入侵后都会干哪些坏事?

据腾讯的相关统计报告,2014 年第一季度Android病毒类型占比情况为:资费消耗占35.53%、隐私获取类占比22.87%、恶意扣费占比17.25%、诱骗欺诈占比13.75%、流氓行为占比6.3%。进程控制、恶意传播、系统破坏占比分别为3.1%、1.03%、0.17%。

这些支付类病毒最大特征是表现为静默联网、删除短信、发送短信、读短信、开机自启动。

其中,静默联网比例高达61.09%、位居第一,静默删除短信、静默发送短信、开机自启动、读短信的病毒行为分别占比 37.3%不36.51%、30.1%、19.74%。分别位居第二和第三、第四、第五。

4.验证码,真的就你一个人知道?

而在整个手机支付过程中,各位君可能最信任的是“验证码”,然而,要让诸君失望的是,

在腾讯移动安全实验室的抽样统计,19.74%的支付类病毒可以读取用户短信。这里的“用户短信”包括用户支付交易的手机验证码,而黑客可通迆验证码破解用户的支付账号。

即如果黑客能窃取到手机验证码,那么再结合窃取到的用户手机号码等隐私信息,可以取消数字证书等设置。

那么这些病毒又是如何“窃取”到验证码的呢?比如2013年12月发现的名为a.remote.eneity(“短信盗贼”)的手机病毒,该病毒可转发手机用户短信(包择验证码短信)到指定号码,并拦截用户短信。

另外一个病毒叫“盗信僵尸”(a.expense.regtaobao.a),它可将中毒手机变成“肉鸡”,私自发送短信注册淘宝帐号,同时可拦截屏蔽自劢回复系列支付确认短信,盗取手机支付确认验证码和手机资费。

5.二维码,蓝色妖姬的美丽诱惑

那么,曾一时流行,号称支付界巨大创新的二维码,一度时期成为打通线上线上所谓O2O的关键环节是否安全呢?事实上,在实践中,二维码也同样成了支付类病毒极为容易流通的应用场景,那么,诈骗分子或者制毒者如何利用二维码诈骗呢?

一般的过程是,诈骗者通过即时通讯找到目标用户,通过捏造身份,比如淘宝卖家等,通过利益诱惑骗取用户信任,关键环节是骗用户扫描二维码进行购物支付,用户手机扫描之后即感染病毒。

之后黑客可直接套取目标用户信息,简洁利用手机病毒戒钓鱼网站等诱骗用户填写个人信息后传递给诈骗者。如“姓名、身份证号、手机号”等信息,进而手机病毒会监听转发目标用户手机短信给诈骗者,特别是各类支付平台“动态校正码”短信。

另外一个途径是,诈骗者利用目标用户身份验证,开通新的第三方支付平台账号,绑定目标用户的银行卡账户到苦熬接支付中,从而通过支付转账等操作,所有的用户隐私信息具备之后,就可以盗取用户银行卡内的余额资费。

所以,这个如蓝色妖姬般的美丽诱惑,在今年3月被央行叫停,原因之一则是安全性方面存疑。

6.“同居被查”,且付且珍惜

根据前述研究报告,据统计,在2013年到2014年第一季度诈骗短信中的关键词汇中,目前出现频率最高危害最大的,与网银支付相关的十大诈骗短信关键词为:航班改签、密钥升级、中行到期、密码器过期、房东出差、U盾失效、同居被查、网银升级、验证码、安全账号。

所以,网银支付要安全,且付且珍惜。

此外,则是网银诈骗,大家经常收到的钓鱼诈骗的典型案例为:“尊敬的工行用户您好:您申请的电子密码器将于次日过期,请尽快登入我行网址 wap.95588id.com升级更新。给您带来不便敬请谅解。工商银行。”

诈骗短信的钓鱼网址的域名往往会针对工商银行的真实域名网址www.icbc.com.cn进行模仿,在icbc后面添加后缀戒前缀,或者类似www.95588id.com,在网址中模仿工行的客户电话幵加前缀戒后缀,对于不知情的手机用户而言,极具迷惑性。

用户若点击该类钓鱼网址即会跳转到一个模仿复制的“工商银行手机银行(WAP)”的网站。页面提示用户进行所谓的“电子密码器申请延期”操作,如果手机用户根据网页要求输入银行账号、密码和验证码后,页面可能显示“由亍更新客户过多,请耐心等候”的循环字样,之后用户就会发现网银已被盗刷。

用户输入的账号和密码以及诈骗网站提示手机用户输入的验证码,都可以被诈骗分子在后台监控到,诈骗分子可根据该验证码将手机用户账户中的资金转出。

在网银支付类诈骗短信中,诈骗分子还可以利用伪基站可冒充各大银行的客服号码进行诈骗。在各大银行钓鱼网址中,工商银行钓鱼网址占比达到 95.32%、位居第一。中国银行为4.25%、邮储银行占比 0.29%、农业银行占比0.14%。

7.安全三巨头,谁最靠谱?

而移动支付安全这块蛋糕,事实上,早已是巨头切入。

目前,布局移动支付安全领域的三大移动安全应用主要是百度手机卫士、腾讯手机管家和360卫士。

从目前三家最新的版本来看,在移动支付防护的范围上,三家均支付病毒扫描、验证短信防护、账号和密码保护等,在应用领域,百度手机卫士和腾讯手机管家支持电商应用和第三方支付,360手机卫士暂不支持。

同时,三家为争抢市场,也都打出赔付计划,比如百度手机卫士赔付范围包括电商、第三方支付和银行,腾讯手机管家仅限微信支付和财付通,360手机卫士仅限网购。

此外,在赔付金额上,百度手机卫士去年最高赔付金额为100000元,腾讯手机管家为公布,360手机卫士去年最高赔付金额36000元。

8.产业链协同,买单者是谁?

在三巨头竞争愈发激烈之时,一个有意思的细节是,腾讯在移动支付领域计划投5个亿资金,同时,联合警方、银行、商家、安全企业共同参与产业链计划。

比如浦发银行、联想、大众点评、知道创宇、乌云等均参与此移动支付安全计划。

不过,“产业生态”历来都是个好概念,从腾讯投资的5个亿资金来看,更多是加强腾讯移动支付安全领域的布局,至于其他各家,参与此计划,除了象征性地站队,对于广大用户,更期待的可能还是各家拿出自己的安全解决方案,在此其中,对于用户而言,可能更多殷切的目光是要投向银行了:“您要不安全了,谁还敢付呀”。