360互联网安全中心发布国内首个移动支付安全报告《中国移动支付安全报告》。报告显示,2013年,中国手机支付用户规模达到1.25亿,同比增长了126.0%。
相比于各大银行,支付宝在移动支付领域占有绝对优势地位。令人担忧的是,移动支付却面临着巨大的安全隐患。购物及支付类木马往往会使用一些最新的攻击技术和攻击方法,防范难度较大。这些木马还会伪装成各种不同的应用,诱骗用户下载安装。与此同时,诈骗短信、手机丢失成为移动支付安全的严重威胁之一,二维码木马钓鱼诈骗和电子密码器升级诈骗等则是目前针对移动支付流行的典型网络骗术。2014年成中国移动支付元年。
支付宝占移动支付绝对优势 建行手机银行下载最多
报告显示,在国内,与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。其中,支付宝钱包占比高达58%,是所有手机网银客户端软件下载总量(占比27%)的两倍多。此外,与支付宝相关的其他各种应用的下载量也占比8%。支付宝在移动支付领域占有绝对优势的地位。在校园、企业和公交系统中广泛使用的中国电信翼支付的下载量占比为3%,各种金融证券类应用的下载量占2%,安全支付控件的下载量占比1%。(以上数据根据360手机助手的下载量统计及相关第三方数据换算)
目前,国内外各大银行推出的网银手机客户端应用产品多达170余款。在网银手机客户端的累计下载量统计中,建行手机银行(23%)、工行手机银行(19%)、交通银行(9%)、招行银行(8%)和农行掌上银行(8%)的下载量位居前五名。
手机安全漏洞普遍存在 购物及支付类木马难防范
报告数据显示,使用Google原生安卓系统Nexus系列的手机漏洞是最少的。国产手机漏洞数量通常介于10到20个之间,少数国际知名品牌的某些手机型号中,检测出存在30-40个安全漏洞。根据360互联网安全中心对上述预置应用的调查结果来看,因厂商定制产生的手机安全漏洞,约占被测试手机已知漏洞总数的70%。
而在360《中国移动支付安全报告》列举的后台消息、签名漏洞、短信欺诈、后台电话、清除数据、静默安装等六类漏洞中,签名漏洞对移动支付安全性的威胁最为严重。因为黑客可以利用这个漏洞,对正常的支付工具或网银客户端进行篡改,而篡改之后,程序的数字签名不会发生改变,因此也很难被发现。
在购物及支付类木马方面,从绝对数量上看,专门针对手机网银、支付工具和网上购物设计的木马程序并不是很多。但此类木马往往会使用最新的攻击技术和方法,使得此类木马的发现和查杀难度大大增加。
数据显示,2013年360互联网安全中心共截获支付及购物类恶意程序2962个。这些恶意程序可以盗取支付帐号和密码,拦截并转发银行发来的短信,或者是直接洗劫支付账户中的资金余额。
这些恶意程序通常会以两种形式出现:一种是篡改特定官方客户端程序并植入恶意插件的篡改类木马;一种是纯粹假冒其他应用程序的假冒类木马。统计显示,在所有的支付及网购木马中, 篡改类木马占比约为26%,假冒类木马占比约为74%。
从恶意程序篡改或假冒的对象来看:淘宝及相关应用最多,占比约为25%;其次是安卓系统或安卓系统组件,占比约为14%;接下来是微信相关应用和网银客户端,占比分别为12%和9%。还有假冒图片和相册,假冒支付宝及相关应用,假冒金融证券软件,安全组件和京东等各种应用的木马程序也不在少数。
短信诈骗、手机丢失成移动支付安全严重威胁之一
垃圾短信中重要的一类就是诈骗短信,某些诈骗短信会诱骗用户登录钓鱼网站或下载木马程序,从而对网上购物和网上支付构成威胁。特别是2013年下半年开始流行至今的伪基站技术,使诈骗短信的危害成倍增加。
由于伪基站使用的发信号码多为银行或电信运营商的官方号码,这些号码不仅对于用户来说很具有迷惑性,而且这些号码通常也会被手机安全软件列入白名单,因此,目前市面上的绝大多数手机安全软件和号码管理软件也不能识别和拦截伪基站短信。目前,针对日益泛滥的伪基站攻击,360手机卫士已率先推出拦截功能,并可标记这些短信为“伪基站推送短信”。
据360互联网安全中心统计,2013年全年共收到用户举报垃圾短信总量约为4.46亿条,360手机卫士全年共为用户拦截各类手机垃圾短信971亿条,其中诈骗短信占据垃圾短信总量的5%,约为49亿条。
传统银行柜台办理业务时,需要“人证合一”双重查验,而手机支付仅通过姓名、卡号、身份证、手机号就可以完成。一旦手机与钱包、身份证等资料一起丢失,用户的手机支付安全就将面临巨大安全隐患。
手机支付十大安全防范建议
一、不要轻信陌生人发来的二维码信息,如果扫描二维码后打开的网站要求安装新应用程序,则需不要轻易安装。
二、遇到交易对方有明显古怪行为的,就应当提高警惕,不要轻信对方的说辞。
三、保持设置手机开机密码的习惯。在手机中安装360手机卫士等可以加密的软件,对移动支付软件增加一层密码,这样,即使有人破解了开机密码,支付软件仍可以有密码保护。登录密码和支付密码也要设置为不同。如果邮箱、社交网站(如微博、人人网、开心网等)等登录名和支付账户名一致,要保证密码不同。不要把密码保存在手机里,或者设置成生日、车牌等容易被猜到的个人信息。
四、使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。
五、“电子密码器失效”、“U盾升级”等属于不法分子常用的诈骗术语,如果收到类似短信,又无法判断真伪,应直接拨打银行的官方客服电话联系银行工作人员进行咨询,或者是到银行网点柜台办理,绝对不能通过短信中的网址登入网银。
六、出门不要将银行卡、身份证及手机放在同一个地方。如果一同丢失,他人可使用支付软件的密码找回功能更改密码,危险程度极高。
七、一旦手机突然没有信号,在排除了信号问题和手机故障后,要查询SIM卡是否被他人补办,并将支付平台内的余额转出。
八、使用360手机卫士等手机安全软件,具有盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证等多项支付安全功能,可以有效拦截最新的木马,拦截木马读取短信等行为。
九、如果手机丢失,第一时间使用360手机卫士等安全软件的防盗功能,远程删除手机里的支付数据,同时打电话给银行和第三方支付供应商冻结相关业务,找手机运营商挂失手机号码并补办。可以在电脑上登录支付宝等账号,关闭无线支付业务。微信用户可登录110.qq.com和微信官网weixin.qq.com,冻结微信账号。如果身份证、银行卡连同手机一并丢失,向公安机关和银行挂失。万一发生被盗用账户资金的情况,立刻拨打110报警。
十、由于伪基站诈骗在2013年下半年非常流行,骗子通过伪基站技术可以将发信号码伪装成银行官方客服号码。因此,即使是银行官方客服号码发来的类似短信,也不要轻信。如果收到此类短信后自己却有担忧,也一定不要直接拨打短信中留下的联系电话,而是要通过银行官方客服进行咨询。