突破移動(dòng)支付安全瓶頸

21ic通信網(wǎng)訊，在自動(dòng)售貨機(jī)上刷一下手機(jī)，與手機(jī)綁定的銀行卡即自動(dòng)完成了付款，售貨機(jī)馬上吐出了購(gòu)買的商品，這樣的購(gòu)物方式已經(jīng)越來(lái)越常見。據(jù)央行近日公布的數(shù)據(jù)顯示，今年第二季度，移動(dòng)支付數(shù)量達(dá)到3.71億筆，金額 2.07萬(wàn)億元，同比分別增長(zhǎng)274.70%和363.92%。在移動(dòng)支付快速增長(zhǎng)的同時(shí)，安全問(wèn)題卻日益嚴(yán)峻。

木馬潛伏

前不久，經(jīng)營(yíng)服裝網(wǎng)店的何小姐遇到一名“買家”，向她咨詢一款自己選定的女裝。何小姐加了該“買家”的微信后，對(duì)方發(fā)過(guò)來(lái)一個(gè)“衣服樣品”的網(wǎng)址鏈接。何小姐點(diǎn)擊該鏈接后，彈出一個(gè)下載安裝的授權(quán)提示，她沒(méi)有細(xì)看就進(jìn)行了安裝。結(jié)果，何小姐支付寶里的資金被盜用一空。原來(lái)，該“買家”給何小姐發(fā)送的是一個(gè)竊取密碼的手機(jī)木馬病毒。

無(wú)獨(dú)有偶，廣州市花都區(qū)的淘寶賣家李先生與何小姐遭遇的騙局如出一轍。李先生用手機(jī)和客戶談生意，對(duì)方突然發(fā)過(guò)來(lái)一個(gè)文件，李先生試圖打開文件，但提示需要下載一個(gè)叫“SMS”的軟件。不料，下載安裝完成后，李先生發(fā)現(xiàn)自己的手機(jī)無(wú)法接收短信。隨后，李先生又發(fā)現(xiàn)自己支付寶里面的3050元被人用于信用卡還款。李先生猜測(cè)，對(duì)方通過(guò)應(yīng)用程序的漏洞，使得本該發(fā)到自己手機(jī)的短信轉(zhuǎn)發(fā)到了對(duì)方手機(jī)，從而使對(duì)方知曉并更改了自己支付寶的密碼。

據(jù)騰訊移動(dòng)安全實(shí)驗(yàn)室《2013上半年手機(jī)安全報(bào)告》顯示，今年上半年以來(lái)，針對(duì)手機(jī)網(wǎng)銀的惡意軟件或木馬呈現(xiàn)出間歇性突然爆發(fā)的特征與趨勢(shì)，病毒呈現(xiàn)出云端指令攻擊強(qiáng)化、流程復(fù)雜化、偽裝性進(jìn)一步加強(qiáng)等特征。如手機(jī)用戶安裝“偽淘寶”木馬客戶端之后，在“偽淘寶”的木馬客戶端登錄頁(yè)面，當(dāng)用戶輸入了用戶名和密碼，點(diǎn)擊登錄，就會(huì)執(zhí)行發(fā)送短信的代碼，將用戶的賬戶名和密碼發(fā)送到指定的手機(jī)號(hào)碼。而用戶在此過(guò)程中，淘寶賬號(hào)、密碼等隱私已全部泄漏卻毫不知情。

考驗(yàn)安全

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心今年1月發(fā)布的數(shù)據(jù)顯示，有30.4%的非網(wǎng)上支付用戶表示“因?yàn)楦杏X(jué)不安全、擔(dān)心資金被盜而不使用”，還有11.8%的非網(wǎng)上支付用戶擔(dān)心賬戶信息泄露。

中國(guó)電子商務(wù)研究中心分析師莫岱青告訴記者，目前移動(dòng)支付主要有兩種常見的方式，一是在手機(jī)上安裝網(wǎng)銀或者第三方支付平臺(tái)的App應(yīng)用軟件，使用者就如同在電腦上使用網(wǎng)銀或者第三方支付平臺(tái)一樣；一是基于新發(fā)展起來(lái)的近場(chǎng)通信技術(shù)（NFC）的支付方式，在手機(jī)上安裝NFC芯片，讓手機(jī)的SIM卡綁定銀行卡，然后手機(jī)可以在近距離，如10厘米內(nèi)，以非接觸的方式與具備相同功能的設(shè)備進(jìn)行通訊，完成交易。所謂的“刷手機(jī)付款”其實(shí)就是基于這種技術(shù)的實(shí)際應(yīng)用。“從目前移動(dòng)支付常見的安全隱患來(lái)看，軟件隱患多于硬件隱患。”艾瑞咨詢的分析師謝春告訴記者，“通過(guò)網(wǎng)銀和App軟件進(jìn)行遠(yuǎn)程支付，這種移動(dòng)支付方式和普通電腦上使用的網(wǎng)銀和第三方支付平臺(tái)一樣，容易被病毒和木馬攻擊，從而泄露消費(fèi)者的個(gè)人信息，導(dǎo)致財(cái)產(chǎn)損失。由于類似的攻擊方法在普通電腦上已經(jīng)發(fā)展得很成熟，因此針對(duì)移動(dòng)支付的類似病毒、木馬種類和數(shù)量也很多。”

那么新興的NFC支付方式是否更安全呢？謝春告訴記者，NFC這種支付方式相對(duì)而言要安全很多，其通訊信號(hào)的加密級(jí)別必須符合金融交易的密級(jí)要求，輻射范圍又小，不容易被人竊取泄密。“但這并不意味著NFC移動(dòng)支付的絕對(duì)安全，畢竟銀行卡被盜用的案例也發(fā)生過(guò)，而NFC方式的移動(dòng)支付其實(shí)和銀行卡并無(wú)區(qū)別。”謝春說(shuō)，“比如曾有犯罪分子設(shè)置假ATM機(jī)或者在ATM機(jī)上做手腳，記錄銀行卡信息。如果犯罪分子用類似的手法，在有NFC交易功能的購(gòu)物機(jī)上做手腳，那么也有可能盜取具有NFC功能的手機(jī)上的賬戶信息。”

記者了解到，最近二維碼支付方式剛剛興起，如微信新出的微支付功能，可以用手機(jī)掃描所售商品的二維碼完成支付，從而使不具備NFC功能的手機(jī)也能完成移動(dòng)支付。莫岱青、謝春等專家對(duì)此表示出一定擔(dān)憂，認(rèn)為不法分子可能通過(guò)提供帶有自動(dòng)下載木馬鏈接的二維碼，當(dāng)手機(jī)掃描時(shí)就自動(dòng)下載了木馬，留下安全隱患。

統(tǒng)一標(biāo)準(zhǔn)

隨著互聯(lián)網(wǎng)發(fā)展迅速，第三方支付不僅面臨移動(dòng)支付安全所帶來(lái)的挑戰(zhàn)，也面臨移動(dòng)支付發(fā)展的新機(jī)遇。據(jù)了解，消費(fèi)者不僅從互聯(lián)網(wǎng)上獲取各種外界信息，還通過(guò)網(wǎng)絡(luò)渠道進(jìn)行社交化支付生活，特別是隨著智能終端的發(fā)展，他們僅需一臺(tái)智能手機(jī)便可完成網(wǎng)絡(luò)支付。“目前移動(dòng)支付還是一種新興事物，快速發(fā)展的互聯(lián)網(wǎng)金融市場(chǎng)與監(jiān)管之間有一定時(shí)間差，難免出現(xiàn)脫節(jié)。所以管好移動(dòng)支付安全，需要更多地讓企業(yè)想辦法，政府部門重點(diǎn)要做好安全標(biāo)準(zhǔn)的制定工作。”謝春指出，目前整個(gè)行業(yè)缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和體系，給安全制度的推廣造成了困難。政府部門應(yīng)該制定統(tǒng)一標(biāo)準(zhǔn)，比如統(tǒng)一與數(shù)字證書應(yīng)用相關(guān)的硬件兼容標(biāo)準(zhǔn)，以有利于安全認(rèn)證工具的推廣。

謝春認(rèn)為，對(duì)企業(yè)來(lái)說(shuō)，需要不斷完善技術(shù)，提高產(chǎn)品安全性，或者推出一些能讓消費(fèi)者放心使用的移動(dòng)支付方式。此外，消費(fèi)者使用的與移動(dòng)支付相關(guān)的應(yīng)用程序都需要經(jīng)過(guò)第三方認(rèn)證機(jī)構(gòu)認(rèn)證，第三方認(rèn)證機(jī)構(gòu)的責(zé)任重大，需要肩負(fù)起自己的責(zé)任，把好關(guān)口，減少有安全隱患的應(yīng)用程序進(jìn)入市場(chǎng)的可能。

莫岱青則建議，消費(fèi)者要樹立安全和自我保護(hù)意識(shí)，比如手機(jī)必須設(shè)置鎖屏密碼，以防手機(jī)丟失或者被竊時(shí)他人可以隨意進(jìn)入手機(jī)上綁定的個(gè)人賬戶；盡量從官方站點(diǎn)和安全電子市場(chǎng)下載正版應(yīng)用；安裝專業(yè)手機(jī)安全軟件，以有效地查殺木馬病毒；與手機(jī)綁定的個(gè)人賬戶上不要存大量的錢，盡量減少被竊時(shí)的損失；利用手機(jī)與他人聊天、收發(fā)郵件時(shí)不要隨意點(diǎn)擊對(duì)方發(fā)過(guò)來(lái)的鏈接、下載附件。