2015年手机支付产业布局:技术手段保障安全性
作者:admin 发表时间:2020-12-30 浏览:78 海淘动态
2015年手机支付产业布局:技术手段保障安全性政策问题中国政策限制和手机支付本身所具有的安全风险有关。在手机支付业务中,费用的收取一般有两种途径:一是费用通过手机账单收取,即从用户的手机话费中直接扣除,或者在用户支付其手机账单的同时收取;二是从用户的银行账户(即借记账户)或信用卡账户中扣除,在这种方式中,手机只是一个简单的信息通道。而国内最初发展的手机支付,是用手机话费来消费或缴费的。这种方式由于方便、简单,也容易为用户所接受。但是,在这种代收费方式中,电信运营商有涉足金融业务之嫌。2003年8月,中国移动停止了部分代收费业务,由此可见其承受的政策。安全问题手机支付无论对用户还是银行,首先需要考虑的就是通过各种技术手段保障其安全性,没有这一基本前提,手机支付的前景便不容乐观。国内各商业银行先后在一些地区开通了自己的手机银行,但关振胜认为客观地讲,有搞形象工程的味道,很多手机银行的总体安全状况并不能令人满意。随着移动支付的快速发展,移动支付的安全问题已越来越凸显,用户对于移动支付安全管理的也需求越来越迫切。基于此,EnfoDesk易观智库对目前移动支付安全领域进行了专题研究并发布了2014移动支付安全研究报告:在报告中,就用户移动支付安全的使用情况和主要问题进行了调研:易观智库安全报告 调研结果显示:手机安全软件已成为移动支付用户防范手机支付风险最主流的方式,91.1%的用户选择使用如腾讯手机管家等第三方手机安全软件,表明了安全软件是门槛较低、最受欢迎的防护措施。在被调查者当中,只有7.7%的人选择不采取任何防护措施,选择其他方式的只有1.2%。移动支付安全功能中,发展最成熟、用户认知度最高的是盗号木马病毒查杀功能,74%的用户表示正在使用,而支付保险的概念还比较新颖,仅有37%的用户表示正在使用。其他如手机防盗保护、监测并拦截钓鱼网站、安全扫码、WIFI网络检查、盗版软件查杀等正在使用的和期望继续使用的用户占比都处于50%左右,比例也比较接近 。用户对于手机支付安全使用的频率和需求大大增加,在手机安全软件中,常用到的功能的优先级排序中,手机加速和手机支付安全的排名第一的占比最高,分别高达41.65%和39.41%。可以看出用户对手机支付安全的需求和认知大大增强。在2014年第2季度,腾讯手机管家在品牌认知度及安全功能的使用率上均领先于其他厂商,成为用户移动支付安全应用的首选品牌。随着智能手机和移动互联网越来越多地渗入到人们生活的方方面面,手机支付从2013年开始也获得了爆发式地增长。一系列被冠以XX宝的手机支付产品引发热潮不断。阿里巴巴加大了支付宝钱包的推广力度,余额宝上线4个月用户规模突破3000万;微信支付通过嘀嘀打车和微信红包短短几个月用户就达到了千万量级。人们通过手机购物、转账、还信用卡、订车票、话费充值,变得日益普遍。统计显示,2013年中国第三方手机支付市场规模已经超过12000亿元。未来十年是移动支付行业的黄金十年,已基本成为行业共识。手机支付带来更多便捷的同时,也面临着越来越多的安全风险。金山毒霸安全中心分析发现,从2013年初至2014年2月份,手机支付相关的病毒、木马等风险因素急剧增长了312%,成为威胁网民资产非常重要的原因。中国手机支付市场规模手机网民的高速增长,以及移动电子商务相关产业链的日趋成熟,使得网上支付和手机支付的用户数量快速扩大。统计显示,截至2013年12月,我国使用网上支付的用户规模达到2.6亿,使用率达到42.1%。2013年手机在线支付增长更为迅速,用户规模达到1.25亿,使用率超过25%,较2012年底提升了11.9个百分点。从支付金额来看,统计数据显示,2013年中国第三方互联网支付市场交易规模超过53000亿元,同比增长46.8%,整体市场持续高速增长。2013年中国第三方手机支付市场交易规模也超过12000亿元,同比增速超过700%。在国内的移动支付市场中,支付宝钱包、各大银行网银客户端、拉卡拉、微信支付形成了第一军团,占据了超过90%的市场份额。其中,支付宝钱包仍然遥遥领先,占据约60%的市场。腾讯的微信支付则蓄势待发,增长最为迅猛,成为冲击支付宝钱包地位的最有力竞争者。最近一段时间以来,腾讯与阿里巴巴在手机支付方面贴身厮杀,通过互联网理财产品、春节红包、手机打车软件等几场战役,竞争异常激烈。从整个手机支付市场来看,也正是这几场战役让网民对手机支付的认知度大大提高,对市场教育与行业格局都有积极意义。手机支付安全风险分析自2013年下半年以来,随着互联网金融概念的火热,越来越多的网民使用手机支付和手机理财,与之相随的是针对移动支付工具的恶意攻击表现极为突出,受害者损失普遍超过以往。金山毒霸安全中心分析发现恶意攻击多呈现以下几种形式:1、手机验证码大盗该病毒的特点是:非常简单的低成本病毒,开发门槛很低,掌握一些社会工程学技巧,极易得手。病毒的主要功能是拦截短信,有的拦截所有短信,稍用心的只拦截与验证码有关的短信,然后,病毒将拦截下来的短信通过电子邮件或短信转发传递给小偷。小偷用偷来的验证码,以及利用社会工程学欺骗从受害者处得到的身份证号、密保信息、银行卡号等个人信息,即可重置支付宝密码。得到登录和支付权限之后,小偷可以立刻转出余额、消费(一般是买游戏点卡和手机充值卡)、通过快捷支付消费关联银行卡的活期存款、申请淘宝贷款,受害者损失可达数十万元。2、网购退款钓鱼。正常交易之后,骗子假冒网购卖家,谎称交易失败,联系买家退款。聊天过程中,发送钓鱼网站骗取受害者银行卡、身份证及验证码信息。得手后通过互联网支付工具迅速转移受害者网银资金。类似案例大量出现,受害者除通过网络购买一般商品会上当外,一些预订机票的客户在起飞前被骗子拨通电话,骗子借口航班取消或改签,欺骗受害者退款,聊天过程中,让受害者通过网银或ATM转帐的。3、假冒身份证补办手机SIM卡。通过非法购买个人信息,伪造他人身份证,在一些管理不严的电信运营商营业厅补办手机卡。受害人的手机SIM卡失效,而另一张SIM卡却直接落入犯罪分子手中,其后的结果和验证码大盗中毒完全一样,小偷可轻易通过重置密码来获得受害者资金的支配权。4、办理信用卡骗取个人详细信息以办理大额信用卡为幌子,欺骗受害者提供详细个人信息,办理银行卡开户,将新储蓄卡关联小偷手机号,小偷迅速通过互联网支付工具,采用和前面类似的方法,使用移动支付工具将受害者新办储蓄卡里的所有资金转走。手机支付相关病毒数量统计在移动支付平台未普及之前,金山毒霸安全中心观测发现针对支付的攻击主要是网购木马和钓鱼网站。攻击者在网民使用电脑网购时,将网购木马伪装成与商品有关的图片文件发给受害者双击,一旦中毒,网购木马可以在支付的一瞬间将网银资金抢走。网购木马被业界公认为有一定技术含量的木马,有较高的开发门槛。在移动支付工具得到普及之后,特别是2013年下半年使用移动支付的网民人数迅速增长,许多人开始使用手机理财,手机里蕴藏的财富吸引了众多攻击者的注意。同时由于安卓的开放性,安卓病毒增长极为迅速。在安卓可疑文件中,病毒检出率高达7%。一部分攻击者很快发现,只需要简单的拦截安卓手机短信就可以获得大量财富。2013年7月,金山毒霸安全中心截获了首例验证码大盗病毒,各地媒体不断报道网银资金莫名其妙被盗的案例。许多人无法理解银行卡、U盾、密码都在自己手里,银行卡里的钱却不翼而飞。金山毒霸安全中心对验证码大盗类手机病毒的感染情况做过专门统计,截止目前,共拦截验证码大盗病毒样本2959个,每天被验证码大盗病毒感染的不同型号安卓手机达2800余部,受害者损失难以估计。除手机病毒之外,用户还会被各种诈骗短信欺骗、骚扰。犯罪分子利用短信群发器发送大量含诈骗内容的短信,直接欺骗网民登录假银行钓鱼网站骗取网银资金,通过短信、电话欺骗网民通过ATM机或网上银行转帐。钓鱼网站对手机网民同样影响很大,金山毒霸安全中心统计到假网购钓鱼网站占到钓鱼网站总量的47%。手机上网的用户由于受手机界面的限制,比电脑上网更难区分网站真假。一旦上当,将个人信息提交到钓鱼网站,很难避免经济损失。随着各种宝类理财工具的火热,与之相关的各种假投资理财网站增长迅猛,其主要类型为:1.小额贷款办理,2.信用卡办理,3.投资理财诈骗。其中投资理财类钓鱼为单笔诈骗金额最高的钓鱼类型,单笔诈骗金额达到1500元以上。专家建议及解决方案与手机支付安全相关的案件发生有两个基本条件:第一,各种原因导致的个人信息泄露;第二,各种原因导致移动支付依赖的手机验证码信息到达犯罪分子手中。阻止这两个基本条件同时满足,即可阻止网络犯罪发生。具体建议如下:1、 网民需要认识到密码管理的重要性。重要的、关键的网络服务(比如常用邮箱、B2C网站帐号、QQ、微博等),必须确保不重复使用密码。重复使用密码就如同一把钥匙开所有的门,只要任意一个网站被黑客入侵,就会危及所有关键网络服务的安全。网民可以选择在自己的电脑上使用密码管理软件,生成复杂密码,再将生成的密码加密存储在本地计算机,注意定期更换重要服务密码。2、 相关企业、单位协作做好公民个人信息保护掌管用户个人信息的企业、单位、国家机关,加强信息系统安全管理,防止黑客入侵; 司法机关加强对非法倒卖个人信息犯罪的查处,依法打击黑客非法入侵;安全厂商、媒体、银行等机构对网民进行持续性的安全常识教育,让网民逐步养成自觉保护个人信息的习惯。3、使用安全软件拦截手机应用软件普遍存在的权限滥用问题,阻止手机软件非法收集个人信息。标准问题从国内移动支付业务的开展情况看,仍然缺乏统一的被广泛认可的支付安全标准。首先应加强用于移动支付安全保障的信息安全基础和通用标准的研制,为移动支付的安全保障提供基础性技术支撑;同时,加强支撑移动支付业务应用的RFID标准的研制,突破RFID空中接口安全保障技术,加快具有自主知识产权的RFID空中接口协议的制定;国内移动支付产业链中各部门应加强合作,制定通用的移动支付安全保障流程、协议、安全管理等标准,保障移动支付业务系统的互联互通,促进移动支付产业的安全、快速、健康发展。只有一个相对完善的行内标准才能给用户提供一个诚信的支付环境。技术问题移动支付发展缓慢的问题不仅发生在中国,即便是在许多西方发达国家,其进展也不快。就而言,手机支付方式存在两个明显的弊端:一是大多数手机受到SIM卡容量的限制,所发送的信息全部为明码,致使手机支付的安全性较低;二是通过短信支付方式的即时性较差,难免会造成资金流和物流的停滞。若要使手机支付达到理想的快捷、安全的层面,至少还要从技术角度解决两个方面的问题。首先是SIM卡与STK卡的融合问题。STK卡是一种小型编程语言的软件,可以固化在SIM卡中,它能接收和发送GSM的短信数据,起到SIM卡与短信之间的接口作用,同时它还允许SIM卡运行自己的应用软件。其次是要通过技术手段保障信息传输的及时性。利用手机支付,一般要求通信的实时性较强,采用短信手段在遇到某些情况时,由于存储等原因,往往使其不能及时转发而有一定的时延。此外有些物品的购买,不能用短消息,而需用语音实现,这样会产生通话费用,导致交易成本增加。如何利用语音回拨等方式,以及对S M S、WAP、GPRS等传输手段的综合比较及采用尚待研究。存在设陷主动泄密是指用户在没有意识到账户安全风险的情况下,主动将个人银行卡、支付宝账号、密码等个人敏感信息透露给不法分子。主动泄露往往伴随着不法分子精心设计的各式钓鱼陷阱。近日百度手机卫士就识破了一个以钓鱼手段骗取用户信息的移动支付连环陷阱。不法分子为了获得用户的手机号、银行账号、银行卡密码,设计了一个话费中奖类的诈骗短信,诱骗用户点击短信中的钓鱼网站兑取奖金。该短信采用了伪基站的手段,将发送号码伪装成中国移动的官方服务号码10086,提高了诈骗短信的迷惑度。用户一旦进入钓鱼网站,就会被要求填写的个人手机号、银行账号、银行密码等信息并且下载一个中国移动客户端,而这个看似正规的软件,实则是一种新型手机病毒,可以拦截银行验证短信。自此,不法分子便可在神不知鬼不觉地情况下窃取用户网银里的资产了。除此之外,还有不法分子制作了各种山寨的网银、支付类应用诱骗用户下载使用来获取用户信息,这些手段都让用户在不经意间主动泄露的自己的个人信息,给银行账户财产安全造成了极大地威胁。悄无声息 偷窃隐私于无形之中除了诈骗短信和新型病毒外,手机系统漏洞、免费WiFi也会导致用户信息泄露,威胁用户的支付安全。你就是在咖啡厅、酒吧连接了个免费WiFi,刷刷世界杯的新闻,打开的都是正常的网站,启动的都是正规的APP,你都有可能中招,手机被控制,清华大学副研究员手机安全专家诸葛建伟表示。据央视报道,事实上不法分子可以利用手机操作系统本身存在的安全漏洞,插入恶意攻击程序,进而无声无息的读取手机里存储的所有用户隐私信息。这种恶意程序通常在用户连接不法分子设置的山寨WiFi或是用户将手机插入电脑等操作时悄然植入手机之中,并利用安卓系统 ROOT提权安全漏洞取得手机的最高权限。这就意味着攻击者由此获得了手机的完全控制权。一旦手机被完全接管,支付账号密码自然也就落入黑客手中,财产安全就无法得到保障。利用免费WiFi实施诈骗的案例并不少见:央视报道中指出南京市民张先生就曾因使用公共WiFi,导致网银账号密码被盗,卡中的6万余元在两天内被人盗刷一空,而这些钱多被用来购买充值卡和游戏点卡等虚拟物品。对于这类陷阱,百度手机卫士专家指出这需要用户提升安全意识,出门在外不建议打开移动设备的WiFi自动连接功能,不要看见免费WiFi就主动连接,最好与提供WiFi的商家核实清楚,以免误入陷阱,给黑客以可乘之机。如果上网可以使用百度手机卫士支付保险箱功能对 WiFi环境进行检测,确保上网环境的安全。据了解,为了进一步保障用户WiFi安全,百度手机卫士还接入了全国数十个机场和38个城市的6800家咖啡厅,为用户使用共同WiFi提供支付安全提示,进一步提醒用户注意WiFi的安全。手机支付的安全陷阱越来越多,百度手机卫士专家也进一步建议用户学会保障个人信息安全,不轻易填写和透露个人敏感的隐私信息。如果用户对手机支付安全还不放心,还可以开启百度手机卫士安全支付亿元保赔计划,一旦遭遇了经济损失,可以获得百度手机卫士单笔最高 3000元,全年最高10万元的赔付,从而让手机消费过程更安心更放心。更多相关手机支付产业布局分析请查阅由中国报告大厅发布的手机支付行业市场调查分析报告。
部分图片内容来自于网友投稿
0/300
微博发布