近年來用戶網上信息洩密及賬戶被盜刷事件頻發,暴露出各種軟件及背後的互聯網企業重用戶信息獲取而輕保護的問題。
10月10日,支付寶通過官方微博發佈消息稱,近期支付寶檢測到部分蘋果用戶的ID出現被盜,由此帶來相關ID綁定的支付工具遭到資金損失。支付寶表示,已經多次聯繫蘋果公司並推動其儘快定位被盜原因,提升安全防範水平,並徹底解決用戶權益損失的問題。
今年7月,有網友在國外安全社區公佈了微信支付官方SDK存在的嚴重漏洞,此漏洞可侵入商家服務器,一旦攻擊者獲得商家的關鍵安全密鑰,就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。
據CNNIC發佈的第39次《中國互聯網絡發展狀況報告》顯示,截至2016年12月,我國網民規模達7.31億,其中手機網民規模達6.95億,增速連續3年超過10%。此外,《通付盾移動安全態勢監測報告》顯示,截至2017年2月,全國300多個應用市場中APP的數量達到3,701,977款,其中手機銀行APP數量達412款。
在移動互聯時代,移動支付的理念已經普及到各個年齡段。移動支付豐富了支付場景,成為繼銀行卡、現金之外最常使用的支付方式。手機作為移動支付的主要載體,完成了大部分移動支付功能。然而,在複雜的互聯網安全態勢下,越來越多的不法分子把罪惡之手伸向了移動支付,使得移動安全態勢越來越嚴峻。
目前市場上存在的惡意、盜版、漏洞應用數量一直居高不下,對企業和個人用戶造成了極大威脅,除此之外,無線網絡不安全、移動支付應用軟件自身漏洞、支付認證缺陷等方面的風險也暗藏在手機用戶進行支付的每一個環節中,任何一個環節出現問題,都有可能直接影響到用戶的支付安全。
移動支付隱藏的安全風險
1、手機聯網容易接入不安全網絡
如今很多公共場所(如商場、機場等)都部署了免費無線網絡方便用戶使用,然而這些網絡安全性並不高,很容易被不法分子劫持並監控,更有甚者,會設置一個與某公共WiFi熱點同名的免費WiFi網絡,吸引用戶通過移動設備接入該網絡,然後通過分析軟件竊取用戶的WiFi登錄密碼,獲取用戶個人資料、銀行賬戶、網絡支付賬戶密碼,實施資金的盜刷。有報告稱,信息安全組織在“北上廣”三地的公共場所對6萬多個WiFi熱點進行了調查,結果顯示這其中有8.5%的WiFi熱點是釣魚WiFi。
2、用戶容易被惡意軟件矇蔽,安裝盜版軟件
由於安卓平臺的開放性,允許第三方應用加入,應用軟件很容易被盜版。而這些盜版軟件中暗含信息竊取、流量消耗等惡意行為,其外觀(如名稱、圖標、運行界面等)與正版十分類似,給用戶造成混淆。如果第三方應用中心不嚴格把控,讓惡意軟件上架,手機用戶下載並安裝了這些惡意軟件,很可能造成個人隱私洩露、資金損失等。
3、軟件自身存在安全漏洞,易被攻擊
移動支付產品愈便捷,其存在的安全隱患也愈嚴重。移動應用在設計、開發、運行等過程中,由於開發人員技術水平參差不齊,很容易產生一些不可避免的漏洞,這些安全漏洞一旦被不法分子利用,就會導致手機軟件崩潰或者盜取用戶信息、賬號密碼,甚至造成資金損失等安全事件。
4、用戶登錄支付認證方式存在缺陷
目前,大部分金融支付機構相關業務場景(如轉賬匯款)中均採取單一因素進行身份認證,無論是PIN碼認證、短信驗證碼認證、指紋認證、人臉識別等認證方式,都因為認證因素過於單一,而在安全性上得不到強有力的保障。
如短信驗證碼,這種認證方式貌似簡單便捷,但不法分子可通過木馬病毒、補卡攻擊、克隆攻擊、無線電監聽等諸多方式截取到用戶短信驗證碼內容,進而盜取用戶錢財、盜刷用戶銀行卡;而人臉識別作為人工智能領域一項先進的技術創新,卻也在315晚會上被爆安全性漏洞,觸目驚心。
從社會安全角度出發,政府相關部門目前在移動支付安全上也下了很多功夫,如定期公佈各類移動支付安全隱患事件,給出相應防範操作建議,要求移動支付平臺不斷強化內部安全監管舉措等。除此之外,
能否在立法、執法、技術等各個層面加強政企協同,建立更廣泛的內外一體安全防火牆及匹配機制?這些恐怕都需要有關部門會同移動支付行業、企業共同來探討,從而為保障億萬用戶權益,及中國移動支付行業的長遠發展提供助力。 閱讀更多 支付圈那些小事 的文章
