移動支付漏洞近九成損失無法追回?這4點一定要注意

­　　據CNNIC發布的第39次《中國互聯網絡發展狀況報告》顯示，截至2016年12月，我國網民規模達7.31億，其中手機網民規模達6.95億，增速連續3年超過10%。此外，《通付盾移動安全態勢監測報告》顯示，截至2017年2月，全國300多個應用市場中APP的數量達到3,701,977款，其中手機銀行APP數量達412款。

­　　在移動互聯時代，移動支付的理念已經普及到各個年齡段。移動支付豐富了支付場景，成為繼銀行卡、現金之外最常使用的支付方式。手機作為移動支付的主要載體，完成了大部分移動支付功能。然而，在復雜的互聯網安全態勢下，越來越多的不法分子把罪惡之手伸向了移動支付，使得移動安全態勢越來越嚴峻。

­　　目前市場上存在的惡意、盜版、漏洞應用數量一直居高不下，對企業和個人用戶造成了極大威脅，除此之外，無線網絡不安全、移動支付應用軟件自身漏洞、支付認證缺陷等方面的風險也暗藏在手機用戶進行支付的每一個環節中，任何一個環節出現問題，都有可能直接影響到用戶的支付安全。

­　　移動支付隱藏的安全風險

­　　1、手機聯網容易接入不安全網絡

­　　如今很多公共場所(如商場、機場等)都部署了免費無線網絡方便用戶使用，然而這些網絡安全性并不高，很容易被不法分子劫持并監控，更有甚者，會設置一個與某公共WiFi熱點同名的免費WiFi網絡，吸引用戶通過移動設備接入該網絡，然后通過分析軟件竊取用戶的WiFi登錄密碼，獲取用戶個人資料、銀行賬戶、網絡支付賬戶密碼，實施資金的盜刷。有報告稱，信息安全組織在“北上廣”三地的公共場所對6萬多個WiFi熱點進行了調查，結果顯示這其中有8.5%的WiFi熱點是釣魚WiFi。

­　　2、用戶容易被惡意軟件蒙蔽，安裝盜版軟件

­　　由于安卓平臺的開放性，允許第三方應用加入，應用軟件很容易被盜版。而這些盜版軟件中暗含信息竊取、流量消耗等惡意行為，其外觀(如名稱、圖標、運行界面等)與正版十分類似，給用戶造成混淆。如果第三方應用中心不嚴格把控，讓惡意軟件上架，手機用戶下載并安裝了這些惡意軟件，很可能造成個人隱私泄露、資金損失等。

­　　3、軟件自身存在安全漏洞，易被攻擊

­　　移動支付產品愈便捷，其存在的安全隱患也愈嚴重。移動應用在設計、開發、運行等過程中，由于開發人員技術水平參差不齊，很容易產生一些不可避免的漏洞，這些安全漏洞一旦被不法分子利用，就會導致手機軟件崩潰或者盜取用戶信息、賬號密碼，甚至造成資金損失等安全事件。

­　　4、用戶登錄支付認證方式存在缺陷

­　　目前，大部分金融支付機構相關業務場景(如轉賬匯款)中均采取單一因素進行身份認證，無論是PIN碼認證、短信驗證碼認證、指紋認證、人臉識別等認證方式，都因為認證因素過于單一，而在安全性上得不到強有力的保障。

­　　如短信驗證碼，這種認證方式貌似簡單便捷，但不法分子可通過木馬病毒、補卡攻擊、克隆攻擊、無線電監聽等諸多方式截取到用戶短信驗證碼內容，進而盜取用戶錢財、盜刷用戶銀行卡；而人臉識別作為人工智能領域一項先進的技術創新，卻也在315晚會上被爆安全性漏洞，觸目驚心。

­　　如何全方位保障移動支付安全

­　　1、各金融支付機構對自身軟件的安全保護

­　　“移動APP本身的安全應當從源頭上做好防護，上線前一定要經過安全檢測，進行必要的安全加固，防止‘帶病上線’”通付盾總裁王梅對目前的移動應用市場環境深表憂慮，并表示在APP發布運營后還應當實時監測，及時獲知應用威脅并做好應對措施。此外，

­　　支付機構應與第三方應用商店協同，定期對移動APP進行檢查，確認是否為最新版本。

­　　支付機構可與安全服務廠商合作，定期進行漏洞掃描，發現問題及時修復并加固。

­　　移動APP在啟動運行時，應對用戶進行提示，“盡量不要連接不熟悉的公共無線網絡”。

­　　2、各金融支付機構應改進用戶登錄支付方式

­　　目前市場上存在的身份認證方式非常多，比如賬號密碼、短信驗證、人臉識別、指紋識別等。眾所周知，其中短信驗證碼身份認證仍然是很多銀行和支付平臺常用的移動身份認證方式。誠然，短信驗證碼具有用戶體驗好，便捷性好的優勢，但是在賬號盜用情況日益猖獗、黑產技術水平不斷升級的未來，單一因素的身份認證方式也變得較為脆弱，應當加以改進。

­　　“一個最簡單的8位密碼加驗證碼，只能阻擋黑客半小時。而人臉識別、活體檢測等認證手段只能作為輔助的身份認證措施?！痹谕ǜ抖芏麻L汪德嘉看來，身份認證安全必須通過多因子、多緯度來保證。在實際應用中，更要注意區分身份識別的使用場景，在涉及隱私、支付等高級別安全場景使用時，將生物特征與多種因子相融合，多個方面同時發力，從而提高安全門檻，保障用戶安全。

­　　通付盾HUE多因子身份認證解決方案通過綜合判斷時間、空間、設備、行為等多重因子識別用戶身份，幫助企業客戶安全、便捷地解決平臺用戶賬號登錄、管理授權、轉賬匯款、支付交易、資金提現等關鍵業務場景的二次身份確認問題，保障用戶的信息和財產安全。

­　　參考文獻：

­　　《手機支付環境風險探討》馮峰、林顯忠