錢Lady第十一期:行動支付安全 且行且珍惜
文/徐國允
如果馬斯洛還活到現在,他一定想不到,他的人類五層次需求說中,又外加了一個第六需求——WiFi。
有了WiFi,我們身體器官延伸到了更為親密的手機、ipad等行動裝置,這樣,我們就能夠輕鬆完成一件事——支付,比如交水電煤氣、交學費、交通罰款、甚至一切能交易的事情,我們都可以通過行動支付。
然而,你一定想不到的是,馬洛神偉大之處就在於他把「安全」放在了基於生理需求這個最底層需求之後的第二需求上,行動支付亦如此,即時有了WiFi,沒有安全,您還敢支付麼?
1.行動支付一年增3倍,手機病毒三年增30倍。
昨天,央行發布2014年第一季度支付體系運行總體情況,喜人的結果是,電子支付在業務筆數和支付金額上,同比分別增長25.92%和34.60%。
其中,行動支付的增長最為迅猛,在2014年第一季度,行動支付業務6.59億筆,金額3.89萬億元,同比分別增長232.20%和255.37%。
行動支付來勢兇猛,這個行業增長正處火山口的噴發,然而,「道高一尺魔高一丈」,據騰訊方面發布的相關數據,手機病毒數從2011年的2.5萬增長到2013年的79.3萬,增速3年達到32倍。
同時,百度手機衛士與易觀智庫聯合發布《中國手機安全市場現狀研究報告》顯示,2014年一季度跟移動金融相關的手機病毒樣本量就達到了12萬,給用戶造成經濟損失高達7500萬元。
手機病毒的快速增長顯然與各種應用下載量的激增直接相關,根據360手機助手的下載量統計及相關第三方數據估算,在國內,與支付、網銀、金融證券相關的各類移動應用的累計下載量已經超過4億次。
2.支付類APP成重災區
據騰訊移動安全實驗室統計,在銀行、支付、電商、航空、理財等六大類手機支付購物類軟體中,共有 320 款軟體被植入惡意病毒代碼。
從比例來看,其中,電商類 APP 感染病毒的軟體款數佔 39.69%,位居第一。其次是理財類 APP和第三方支付類 APP,感染病毒的軟體款數比例分別佔27.19%、13.44%,分別位居第二和第三。
另外三類,比如團購類、銀行類、航空類 APP染毒佔比分別為11.25%、7.19%、1.25%。
在六大類大類手機支付購物類 APP 中,每類別對應被病毒包感染最多的手機支付購物類APP分別為:掌上一號店、wind資訊、支付寶、美團網、交通銀行等,感染病毒包數分別為:29 個、13個、10 個、9個、5個、2個。而掌上一號店同時也是感染病毒包數最多的手機支付購物類 APP。
3.手機病毒入侵後都會幹哪些壞事?
據騰訊的相關統計報告,2014 年第一季度Android病毒類型佔比情況為:資費消耗佔35.53%、隱私獲取類佔比22.87%、惡意扣費佔比17.25%、誘騙欺詐佔比13.75%、流氓行為佔比6.3%。進程控制、惡意傳播、系統破壞佔比分別為3.1%、1.03%、0.17%。
這些支付類病毒最大特徵是表現為靜默聯網、刪除簡訊、發送簡訊、讀簡訊、開機自啟動。
其中,靜默聯網比例高達61.09%、位居第一,靜默刪除簡訊、靜默發送簡訊、開機自啟動、讀簡訊的病毒行為分別佔比 37.3%不36.51%、30.1%、19.74%。分別位居第二和第三、第四、第五。
4.驗證碼,真的就你一個人知道?
而在整個手機支付過程中,各位君可能最信任的是「驗證碼」,然而,要讓諸君失望的是,
在騰訊移動安全實驗室的抽樣統計,19.74%的支付類病毒可以讀取用戶簡訊。這裡的「用戶簡訊」包括用戶支付交易的手機驗證碼,而黑客可通迆驗證碼破解用戶的支付帳號。
即如果黑客能竊取到手機驗證碼,那麼再結合竊取到的用戶手機號碼等隱私信息,可以取消數字證書等設置。
那麼這些病毒又是如何「竊取」到驗證碼的呢?比如2013年12月發現的名為a.remote.eneity(「簡訊盜賊」)的手機病毒,該病毒可轉發手機用戶簡訊(包擇驗證碼簡訊)到指定號碼,並攔截用戶簡訊。
另外一個病毒叫「盜信殭屍」(a.expense.regtaobao.a),它可將中毒手機變成「肉雞」,私自發送簡訊註冊淘寶帳號,同時可攔截屏蔽自勱回復系列支付確認簡訊,盜取手機支付確認驗證碼和手機資費。
5.二維碼,藍色妖姬的美麗誘惑
那麼,曾一時流行,號稱支付界巨大創新的二維碼,一度時期成為打通線上線上所謂O2O的關鍵環節是否安全呢?事實上,在實踐中,二維碼也同樣成了支付類病毒極為容易流通的應用場景,那麼,詐騙分子或者製毒者如何利用二維碼詐騙呢?
一般的過程是,詐騙者通過即時通訊找到目標用戶,通過捏造身份,比如淘寶賣家等,通過利益誘惑騙取用戶信任,關鍵環節是騙用戶掃描二維碼進行購物支付,用戶手機掃描之後即感染病毒。
之後黑客可直接套取目標用戶信息,簡潔利用手機病毒戒釣魚網站等誘騙用戶填寫個人信息後傳遞給詐騙者。如「姓名、身份證號、手機號」等信息,進而手機病毒會監聽轉發目標用戶手機簡訊給詐騙者,特別是各類支付平臺「動態校正碼」簡訊。
另外一個途徑是,詐騙者利用目標用戶身份驗證,開通新的第三方支付平臺帳號,綁定目標用戶的銀行卡帳戶到苦熬接支付中,從而通過支付轉帳等操作,所有的用戶隱私信息具備之後,就可以盜取用戶銀行卡內的餘額資費。
所以,這個如藍色妖姬般的美麗誘惑,在今年3月被央行叫停,原因之一則是安全性方面存疑。
6.「同居被查」,且付且珍惜
根據前述研究報告,據統計,在2013年到2014年第一季度詐騙簡訊中的關鍵詞彙中,目前出現頻率最高危害最大的,與網銀支付相關的十大詐騙簡訊關鍵詞為:航班改籤、密鑰升級、中行到期、密碼器過期、房東出差、U盾失效、同居被查、網銀升級、驗證碼、安全帳號。
所以,網銀支付要安全,且付且珍惜。
此外,則是網銀詐騙,大家經常收到的釣魚詐騙的典型案例為:「尊敬的工行用戶您好:您申請的電子密碼器將於次日過期,請儘快登入我行網址 wap.95588id.com升級更新。給您帶來不便敬請諒解。工商銀行。」
詐騙簡訊的釣魚網址的域名往往會針對工商銀行的真實域名網址www.icbc.com.cn進行模仿,在icbc後面添加後綴戒前綴,或者類似www.95588id.com,在網址中模仿工行的客戶電話幵加前綴戒後綴,對於不知情的手機用戶而言,極具迷惑性。
用戶若點擊該類釣魚網址即會跳轉到一個模仿複製的「工商銀行手機銀行(WAP)」的網站。頁面提示用戶進行所謂的「電子密碼器申請延期」操作,如果手機用戶根據網頁要求輸入銀行帳號、密碼和驗證碼後,頁面可能顯示「由亍更新客戶過多,請耐心等候」的循環字樣,之後用戶就會發現網銀已被盜刷。
用戶輸入的帳號和密碼以及詐騙網站提示手機用戶輸入的驗證碼,都可以被詐騙分子在後臺監控到,詐騙分子可根據該驗證碼將手機用戶帳戶中的資金轉出。
在網銀支付類詐騙簡訊中,詐騙分子還可以利用偽基站可冒充各大銀行的客服號碼進行詐騙。在各大銀行釣魚網址中,工商銀行釣魚網址佔比達到 95.32%、位居第一。中國銀行為4.25%、郵儲銀行佔比 0.29%、農業銀行佔比0.14%。
7.安全三巨頭,誰最靠譜?
而行動支付安全這塊蛋糕,事實上,早已是巨頭切入。
目前,布局行動支付安全領域的三大移動安全應用主要是百度手機衛士、騰訊手機管家和360衛士。
從目前三家最新的版本來看,在行動支付防護的範圍上,三家均支付病毒掃描、驗證簡訊防護、帳號和密碼保護等,在應用領域,百度手機衛士和騰訊手機管家支持電商應用和第三方支付,360手機衛士暫不支持。
同時,三家為爭搶市場,也都打出賠付計劃,比如百度手機衛士賠付範圍包括電商、第三方支付和銀行,騰訊手機管家僅限微信支付和財付通,360手機衛士僅限網購。
此外,在賠付金額上,百度手機衛士去年最高賠付金額為100000元,騰訊手機管家為公布,360手機衛士去年最高賠付金額36000元。
8.產業鏈協同,買單者是誰?
在三巨頭競爭愈發激烈之時,一個有意思的細節是,騰訊在行動支付領域計劃投5個億資金,同時,聯合警方、銀行、商家、安全企業共同參與產業鏈計劃。
比如浦發銀行、聯想、大眾點評、知道創宇、烏雲等均參與此行動支付安全計劃。
不過,「產業生態」歷來都是個好概念,從騰訊投資的5個億資金來看,更多是加強騰訊行動支付安全領域的布局,至於其他各家,參與此計劃,除了象徵性地站隊,對於廣大用戶,更期待的可能還是各家拿出自己的安全解決方案,在此其中,對於用戶而言,可能更多殷切的目光是要投向銀行了:「您要不安全了,誰還敢付呀」。