據(jù)CNNIC發(fā)布的第39次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r報(bào)告》顯示����,截至2016年12月,我國網(wǎng)民規(guī)模達(dá)7.31億����,其中手機(jī)網(wǎng)民規(guī)模達(dá)6.95億,增速連續(xù)3年超過10%����。此外,《通付盾移動(dòng)安全態(tài)勢監(jiān)測報(bào)告》顯示����,截至2017年2月����,全國300多個(gè)應(yīng)用市場中APP的數(shù)量達(dá)到3,701,977款����,其中手機(jī)銀行APP數(shù)量達(dá)412款。
在移動(dòng)互聯(lián)時(shí)代����,移動(dòng)支付的理念已經(jīng)普及到各個(gè)年齡段。移動(dòng)支付豐富了支付場景�����,成為繼銀行卡�、現(xiàn)金之外最常使用的支付方式。手機(jī)作為移動(dòng)支付的主要載體�����,完成了大部分移動(dòng)支付功能�����。然而����,在復(fù)雜的互聯(lián)網(wǎng)安全態(tài)勢下����,越來越多的不法分子把罪惡之手伸向了移動(dòng)支付�,使得移動(dòng)安全態(tài)勢越來越嚴(yán)峻。
目前市場上存在的惡意�、盜版、漏洞應(yīng)用數(shù)量一直居高不下�����,對企業(yè)和個(gè)人用戶造成了極大威脅�����,除此之外�,無線網(wǎng)絡(luò)不安全�����、移動(dòng)支付應(yīng)用軟件自身漏洞�、支付認(rèn)證缺陷等方面的風(fēng)險(xiǎn)也暗藏在手機(jī)用戶進(jìn)行支付的每一個(gè)環(huán)節(jié)中,任何一個(gè)環(huán)節(jié)出現(xiàn)問題�����,都有可能直接影響到用戶的支付安全。
移動(dòng)支付隱藏的安全風(fēng)險(xiǎn)
1����、手機(jī)聯(lián)網(wǎng)容易接入不安全網(wǎng)絡(luò)
如今很多公共場所(如商場、機(jī)場等)都部署了免費(fèi)無線網(wǎng)絡(luò)方便用戶使用����,然而這些網(wǎng)絡(luò)安全性并不高,很容易被不法分子劫持并監(jiān)控�,更有甚者,會(huì)設(shè)置一個(gè)與某公共WiFi熱點(diǎn)同名的免費(fèi)WiFi網(wǎng)絡(luò)�����,吸引用戶通過移動(dòng)設(shè)備接入該網(wǎng)絡(luò)�,然后通過分析軟件竊取用戶的WiFi登錄密碼,獲取用戶個(gè)人資料����、銀行賬戶、網(wǎng)絡(luò)支付賬戶密碼����,實(shí)施資金的盜刷�����。有報(bào)告稱�����,信息安全組織在“北上廣”三地的公共場所對6萬多個(gè)WiFi熱點(diǎn)進(jìn)行了調(diào)查����,結(jié)果顯示這其中有8.5%的WiFi熱點(diǎn)是釣魚WiFi�����。
2����、用戶容易被惡意軟件蒙蔽�,安裝盜版軟件
由于安卓平臺(tái)的開放性,允許第三方應(yīng)用加入�,應(yīng)用軟件很容易被盜版。而這些盜版軟件中暗含信息竊取�����、流量消耗等惡意行為,其外觀(如名稱�、圖標(biāo)、運(yùn)行界面等)與正版十分類似�����,給用戶造成混淆����。如果第三方應(yīng)用中心不嚴(yán)格把控,讓惡意軟件上架����,手機(jī)用戶下載并安裝了這些惡意軟件,很可能造成個(gè)人隱私泄露�、資金損失等。
3�����、軟件自身存在安全漏洞����,易被攻擊
移動(dòng)支付產(chǎn)品愈便捷�����,其存在的安全隱患也愈嚴(yán)重����。移動(dòng)應(yīng)用在設(shè)計(jì)����、開發(fā)、運(yùn)行等過程中�,由于開發(fā)人員技術(shù)水平參差不齊,很容易產(chǎn)生一些不可避免的漏洞�,這些安全漏洞一旦被不法分子利用,就會(huì)導(dǎo)致手機(jī)軟件崩潰或者盜取用戶信息�、賬號(hào)密碼,甚至造成資金損失等安全事件����。
4�、用戶登錄支付認(rèn)證方式存在缺陷
目前,大部分金融支付機(jī)構(gòu)相關(guān)業(yè)務(wù)場景(如轉(zhuǎn)賬匯款)中均采取單一因素進(jìn)行身份認(rèn)證�����,無論是PIN碼認(rèn)證、短信驗(yàn)證碼認(rèn)證�、指紋認(rèn)證、人臉識(shí)別等認(rèn)證方式����,都因?yàn)檎J(rèn)證因素過于單一,而在安全性上得不到強(qiáng)有力的保障�。
如短信驗(yàn)證碼,這種認(rèn)證方式貌似簡單便捷�����,但不法分子可通過木馬病毒�、補(bǔ)卡攻擊、克隆攻擊�、無線電監(jiān)聽等諸多方式截取到用戶短信驗(yàn)證碼內(nèi)容,進(jìn)而盜取用戶錢財(cái)����、盜刷用戶銀行卡;而人臉識(shí)別作為人工智能領(lǐng)域一項(xiàng)先進(jìn)的技術(shù)創(chuàng)新����,卻也在315晚會(huì)上被爆安全性漏洞,觸目驚心����。
如何全方位保障移動(dòng)支付安全
1�、各金融支付機(jī)構(gòu)對自身軟件的安全保護(hù)
“移動(dòng)APP本身的安全應(yīng)當(dāng)從源頭上做好防護(hù)�,上線前一定要經(jīng)過安全檢測,進(jìn)行必要的安全加固�����,防止‘帶病上線’”通付盾總裁王梅對目前的移動(dòng)應(yīng)用市場環(huán)境深表憂慮�,并表示在APP發(fā)布運(yùn)營后還應(yīng)當(dāng)實(shí)時(shí)監(jiān)測,及時(shí)獲知應(yīng)用威脅并做好應(yīng)對措施�。此外,
支付機(jī)構(gòu)應(yīng)與第三方應(yīng)用商店協(xié)同����,定期對移動(dòng)APP進(jìn)行檢查,確認(rèn)是否為最新版本�����。
支付機(jī)構(gòu)可與安全服務(wù)廠商合作����,定期進(jìn)行漏洞掃描����,發(fā)現(xiàn)問題及時(shí)修復(fù)并加固�����。
移動(dòng)APP在啟動(dòng)運(yùn)行時(shí)�,應(yīng)對用戶進(jìn)行提示����,“盡量不要連接不熟悉的公共無線網(wǎng)絡(luò)”。
2�����、各金融支付機(jī)構(gòu)應(yīng)改進(jìn)用戶登錄支付方式
目前市場上存在的身份認(rèn)證方式非常多�,比如賬號(hào)密碼、短信驗(yàn)證�、人臉識(shí)別、指紋識(shí)別等�。眾所周知,其中短信驗(yàn)證碼身份認(rèn)證仍然是很多銀行和支付平臺(tái)常用的移動(dòng)身份認(rèn)證方式�。誠然,短信驗(yàn)證碼具有用戶體驗(yàn)好�����,便捷性好的優(yōu)勢,但是在賬號(hào)盜用情況日益猖獗�、黑產(chǎn)技術(shù)水平不斷升級(jí)的未來,單一因素的身份認(rèn)證方式也變得較為脆弱����,應(yīng)當(dāng)加以改進(jìn)。
“一個(gè)最簡單的8位密碼加驗(yàn)證碼����,只能阻擋黑客半小時(shí)。而人臉識(shí)別�、活體檢測等認(rèn)證手段只能作為輔助的身份認(rèn)證措施?!痹谕ǜ抖芏麻L汪德嘉看來,身份認(rèn)證安全必須通過多因子�����、多緯度來保證����。在實(shí)際應(yīng)用中,更要注意區(qū)分身份識(shí)別的使用場景����,在涉及隱私����、支付等高級(jí)別安全場景使用時(shí)����,將生物特征與多種因子相融合�,多個(gè)方面同時(shí)發(fā)力,從而提高安全門檻�,保障用戶安全。
通付盾HUE多因子身份認(rèn)證解決方案通過綜合判斷時(shí)間�、空間、設(shè)備�����、行為等多重因子識(shí)別用戶身份����,幫助企業(yè)客戶安全、便捷地解決平臺(tái)用戶賬號(hào)登錄�����、管理授權(quán)�、轉(zhuǎn)賬匯款�����、支付交易�、資金提現(xiàn)等關(guān)鍵業(yè)務(wù)場景的二次身份確認(rèn)問題�,保障用戶的信息和財(cái)產(chǎn)安全。
參考文獻(xiàn):
《手機(jī)支付環(huán)境風(fēng)險(xiǎn)探討》馮峰�����、林顯忠
