移动支付的好处
随着移动支付的快速发展,移动支付的安全问题越来越突出,用户对移动支付安全管理的需求也越来越迫切。基于此,EnfoDesk易观智库对当前移动支付安全领域进行了专题研究,发布了《2014移动支付安全研究报告》:报告中对用户移动支付安全的使用情况和主要问题进行了调查:
调查结果显示,手机安全软件成为移动支付用户防范移动支付风险的最主流方式,91.1%用户选择使用腾讯手机管家等第三方手机安全软件,可见安全软件是最受欢迎的防护措施,门槛较低。在被调查者中,只有7.7%的人选择不采取任何防护措施,只有1.2%的人选择其他方式。
在移动支付的安全功能中,盗号木马病毒查杀功能是最成熟、用户认知度最高的一项,有74%的用户表示正在使用,而支付保险的概念相对较新,只有37%的用户表示正在使用。其他用户,如手机防盗保护、监控拦截钓鱼网站、安全扫码、WIFI网络查杀、盗版软件查杀等。,都占50%左右,比例比较接近。
用户对手机支付安全使用的频率和需求大大增加。在手机安全软件常用功能的优先级排名中,手机加速和手机支付安全占比最高,分别达到41.65%和39.41%。可见,用户对移动支付安全的需求和意识已经大大增强。
2014第二季度,腾讯手机管家在品牌认知度和安全功能利用上领先于其他厂商,成为用户移动支付安全应用的首选品牌。
随着智能手机和移动互联网日益渗透到人们生活的方方面面,移动支付也从2013开始呈现爆发式增长。一系列被称为“XX宝”的移动支付产品引起了不断的热潮。阿里巴巴加大了支付宝钱包的推广力度,余额宝的用户数在过去的四个月里已经超过了3000万。微信支付通过打车和微信红包,短短几个月就达到了几千万用户。
人们通过手机购物、转账、偿还信用卡、订票和充值话费变得越来越普遍。统计数据显示,2013年,我国第三方移动支付市场规模已超过1200亿元。未来十年是移动支付行业的黄金十年,基本已经成为行业知识。
移动支付在带来更多便利的同时,也面临着越来越多的安全风险。据金山毒霸安全中心分析,从2013年初到2014年2月,与移动支付相关的病毒、木马等风险因素激增312%,成为威胁网民资产的一个非常重要的原因。
首先,中国移动支付市场的规模
随着移动互联网用户的快速增长和移动电子商务相关产业链的成熟,网络支付和移动支付的用户数量迅速扩大。
统计显示,截至2013,12,我国使用网上支付的用户规模达到2.6亿,使用率达到42.1%。2013年手机网上支付增长更快,用户规模达到125万,使用率超过25%,比2012年末提高11.9个百分点。
在支付金额方面,统计数据显示,2013年中国第三方互联网支付市场交易规模超过5.3万亿元,同比增长46.8%,整体市场持续高速增长。2013年,中国第三方移动支付市场交易规模也超过1200亿元,同比增速超过700%。
在国内移动支付市场,支付宝钱包、各大银行网银客户端、Lacarra、微信支付已经组成了第一军团,占据了90%以上的市场份额。其中,支付宝钱包依然遥遥领先,占据了60%左右的市场份额。腾讯的微信支付蓄势待发,增长最快,成为冲击支付宝钱包地位的最有力竞争者。
近期,腾讯和阿里巴巴在移动支付领域展开肉搏,通过互联网理财产品、春节红包、手机打车软件等几场战役,竞争异常激烈。从整个移动支付市场来看,正是这些战役大大提高了网民对移动支付的认知度,对市场教育和行业格局都有积极意义。
二、移动支付安全风险分析
2013下半年以来,随着互联网金融概念的火热,越来越多的网民使用手机支付和手机理财,随之而来的是对手机支付工具的恶意攻击,受害者的损失普遍比以前多。
金山毒霸安全中心发现恶意攻击大多采取以下形式:
1,手机验证码小偷
该病毒的特点是:非常简单且成本低廉的病毒,开发门槛低,掌握一些社会工程技能,容易获取。
病毒的主要功能是拦截短信,有的拦截所有短信,稍微用心一点只拦截与验证码相关的短信。然后,病毒将截获的短信通过邮件或短信转发给小偷。窃贼可以利用盗取的验证码,以及通过社会工程学从受害者处获取的身份证号、秘密安全信息、银行卡号等个人信息,重置支付宝密码。
窃贼获得登录和支付权限后,可以立即转账余额,消费(一般是购买游戏卡和手机充值卡),快速支付关联银行卡的活期存款,申请淘宝贷款,受害人损失可达数十万元。
2、网购退款钓鱼。
正常交易后,骗子假冒网上卖家,谎称交易失败,联系买家退款。聊天过程中,发送钓鱼网站骗取受害人银行卡、身份证、验证码信息。成功后,受害人的网银资金会通过互联网支付工具被迅速转走。
出现了大量类似的案例。除了通过网络购买一般商品,受害者还被忽悠。一些订机票的客户在起飞前就被骗子拨通了电话。骗子以航班取消或变更为借口,诱骗受害者退款。聊天过程中,让受害人通过网银或ATM转账。
3、假身份证补办手机SIM卡。
通过非法购买个人信息,伪造他人身份证,在一些经营不善的电信运营商营业厅补办手机卡。受害人的手机SIM卡作废,但另一张SIM卡直接落入不法分子手中。随后的结果和验证码贼中毒一模一样。窃贼可以通过重置密码轻松获得受害者资金的控制权。
4.申请信用卡骗取个人详细信息。
以办理大额信用卡为幌子,诱骗受害人提供详细的个人信息,用银行卡开户,并将新办的储蓄卡与小偷的手机号关联。窃贼迅速利用互联网支付工具,利用移动支付工具将受害人新储蓄卡内的资金全部转移。
第三,移动支付相关病毒数量统计
在移动支付平台普及之前,金山毒霸安全中心观察到,对支付的攻击主要是网购木马和钓鱼网站。攻击者将网购特洛伊伪装成与商品相关的图片文件发送给受害者进行双击。一旦中毒,网购特洛伊可以在付款的瞬间取走网银资金。网购木马是业内公认的有一定技术含量的木马,开发门槛较高。
移动支付工具普及后,尤其是2013下半年,使用移动支付的网民数量迅速增加,很多人开始使用手机理财。手机中蕴含的财富吸引了许多攻击者的注意。同时,由于Android的开放性,Android病毒增长迅速。在安卓可疑文件中,病毒检出率高达7%。
一些攻击者很快发现,只要拦截Android手机的短信,就可以获得大量财富。2013年7月,金山毒霸安全中心截获首个验证码盗窃病毒,各地媒体不断报道网银资金莫名被盗案件。很多人无法理解,银行卡、u盾、密码都在自己手里,银行卡里的钱却不翼而飞。
金山毒霸安全中心对验证码小偷手机病毒的感染情况做了专门的统计。截至目前,* * *已截获2959个验证码大盗病毒样本,每天有超过2800部不同型号的安卓手机感染验证码大盗病毒。受害者的损失难以估计。
除了手机病毒,用户还会受到各种诈骗短信的欺骗和骚扰。不法分子利用手机短信发送大量含有诈骗内容的短信,直接诱骗网民登录假冒银行钓鱼网站骗取网银资金,通过短信、电话等方式诱骗网民通过ATM机或网银转账。
钓鱼网站对手机网民的影响也很大。据金山毒霸安全中心统计,假冒网购钓鱼网站占钓鱼网站总数的47%。由于手机界面的限制,用手机上网的用户比用电脑上网的用户更难辨别真假网站。一旦上当,向钓鱼网站提交个人信息很难避免经济损失。
随着各种“宝”类理财工具的流行,与之相关的各种假投资理财网站迅速增长。主要类型有:1。小额贷款处理,2。信用卡处理。投资和金融欺诈。其中,投资理财类钓鱼是单笔诈骗金额最高的类型,单笔诈骗金额达到1500元以上。
四。专家建议和解决方案
移动支付安全相关案件的发生有两个基本条件:一是各种原因导致的个人信息泄露;二是由于种种原因,移动支付所依赖的手机验证码信息到达不法分子手中。
防止这两个基本条件同时满足,才能防止网络犯罪的发生。具体建议如下:
1,网民需要意识到密码管理的重要性。
重要且关键的网络服务(如常用邮箱、B2C网站账号、QQ、微博等。)必须确保密码不会被重复使用。重复使用密码就像用一把钥匙打开所有的门。只要任何一个网站被黑,都会危及所有关键网络服务的安全。
互联网用户可以选择在自己的电脑上使用密码管理软件生成复杂的密码,然后将生成的密码加密存储在本地电脑中。注意定期更改重要的服务密码。
2.相关企业和单位合作保护公民个人信息。
主管用户个人信息的企业、单位和国家机关应当加强信息系统的安全管理,防止黑客入侵;司法机关加强对非法倒卖个人信息犯罪的查处,依法打击黑客非法入侵;
安全厂商、媒体、银行等机构不断对网民进行安全知识教育,让网民逐渐养成自觉保护个人信息的习惯。
3.利用安全软件拦截手机应用软件中普遍存在的滥用权限行为,防止手机软件非法收集个人信息。移动支付发展缓慢的问题不仅发生在中国,在很多西方发达国家也是如此。就移动支付而言,有两个明显的缺点:一是大部分手机受到SIM卡容量的限制,发送的信息都是明码,使得移动支付的安全性较低;二是短信支付即时性差,必然导致资金流和物流的停滞。要想让移动支付达到理想的快捷安全水平,从技术角度来说,至少要解决两个问题。首先是SIM卡和STK卡的集成。STK卡是一个小的编程语言软件,可以固化在SIM卡中。可以收发GSM短信数据,起到SIM卡和短信的接口作用。同时允许SIM卡运行自己的应用软件。其次,要通过技术手段保证信息传递的及时性。手机支付一般要求通信实时性强。在某些情况下,使用短信时,往往会因为存储等原因而延迟。另外,有些物品的购买不是通过短信就能实现的,而是通过语音,这样会导致通话成本,增加交易成本。如何使用语音回拨等手段,以及S M S、WAP、GPRS等传输手段的综合比较和采用,还有待研究。
存在陷阱
“主动泄露”是指用户在没有意识到账户存在安全风险的情况下,主动向犯罪分子泄露个人银行卡、支付宝账户、密码等个人敏感信息。主动揭发往往伴随着不法分子精心设计的各种“钓鱼陷阱”。近日,百度手机卫士以“钓鱼”的方式识破了一个移动支付的“连环陷阱”。
为了获取用户的手机号、银行账号和银行卡密码,不法分子设计了一条中奖话费的诈骗短信,诱骗用户点击短信中的“钓鱼网站”来兑换奖金。这条短信采用了“伪基站”的手段,将发送号码伪装成中国移动官方服务号码,10086,改善了诈骗短信的迷惑性。用户一旦进入钓鱼网站,就会被要求填写个人手机号、银行账号、银行密码等信息,并下载一个“中国移动客户端”。这种看似正规的软件,其实是一种新型手机病毒,可以拦截银行验证短信。从此,犯罪分子可以神不知鬼不觉地窃取用户网银中的资产。
此外,还有不法分子制作各种山寨网银、支付应用,诱骗用户下载使用,获取用户信息。这些手段使得用户在不经意间泄露了自己的个人信息,对银行账户的财产安全造成了极大的威胁。
悄无声息的窃取隐私,无所遁形。
除了诈骗短信和新型病毒,手机系统漏洞和免费WiFi也会导致用户信息泄露,威胁用户支付安全。手机安全专家、清华大学副研究员诸葛建伟说:“你只是在咖啡馆和酒吧里连了一个免费WiFi,刷了世界杯的新闻,打开了正常的网站,启动了常规的app,就可能被抓到,手机被控制。”
据央视报道,其实不法分子可以利用手机操作系统本身的安全漏洞,插入恶意攻击程序,然后静默读取手机中存储的所有用户隐私信息。这种恶意程序通常是在用户连接到不法分子设置的“山寨WiFi”时或用户将手机插入电脑时,悄悄植入手机,利用安卓ROOT的安全漏洞获取手机最高权限。这意味着攻击者获得了对手机的完全控制。一旦手机被完全接管,支付账户密码自然会落入黑客手中,财产安全无法保障。
利用免费WiFi实施诈骗的情况屡见不鲜:央视报道南京市民张先生使用公共WiFi,导致网银账户密码被盗,两天内卡内6万余元被盗,大部分钱用于购买预付卡、游戏卡等虚拟物品。
对于这种陷阱,百度手机卫士专家指出,这需要用户提高安全意识。外出时不建议开启移动设备自动连接功能。看到免费WiFi不要主动连接。最好向提供WiFi的商家核实一下,以免落入陷阱,给黑客可乘之机。如果上网,可以使用百度手机卫士的功能检查WiFi环境,保证上网环境的安全。据了解,为了进一步保障用户WiFi的安全,百度手机卫士还接入了全国数十个机场、38个城市的6800家咖啡馆,为用户提供带WiFi使用* * *的支付安全提示,进一步提醒用户注意WiFi的安全。
移动支付的安全陷阱越来越多,百度手机卫士专家进一步建议用户学会保护个人信息安全,不要轻易填写和泄露个人敏感隐私信息。如果用户仍然对移动支付的安全性感到不安,还可以启动百度手机卫士的“安全支付亿元保障和赔偿计划”。一旦遭遇经济损失,可获得百度手机卫士最高3000元的单笔赔付,全年最高65438+万元,让手机消费过程更有保障。