3月11日,360互联网安全中心发布国内首个移动支付安全报告《中国移动支付安全报告》。报告显示,2013年,中国手机支付用户规模达到1.25亿,诈骗短信、手机丢失成为移动支付安全的严重威胁。 扬子晚报记者 徐晓风
支付宝移动支付有优势 建行手机银行下载最多
报告显示,在国内,与支付、网银、金融证券相关的各类移动应用的累计下载量已超过4亿次。其中,支付宝钱包占比高达58%。此外,与支付宝相关的其他各种应用的下载量也占比8%。(根据360手机助手的下载量统计及相关第三方数据换算)
目前,国内外各大银行推出的网银手机客户端应用产品多达170余款。在网银手机客户端的累计下载量统计中,建行手机银行、工行手机银行、交通银行、招商银行和农行掌上银行的下载量位居前五。
有些知名品牌手机安全漏洞达三四十个
报告数据显示,使用Google原生安卓系统Nexus系列的手机漏洞是最少的。国产手机漏洞数量通常介于10到20个之间,少数国际知名品牌的某些手机型号中,检测出存在30-40个安全漏洞。
而在《中国移动支付安全报告》列举的后台消息、签名漏洞、短信欺诈、后台电话、清除数据、静默安装等六类漏洞中,签名漏洞对移动支付安全性的威胁最为严重。因为黑客可以利用这个漏洞,对正常的支付工具或网银客户端进行篡改,而篡改之后,程序的数字签名不会发生改变,因此也很难被发现。数据显示,2013年360互联网安全中心共截获支付及购物类恶意程序2962个。这些恶意程序可以盗取支付账号和密码,拦截并转发银行发来的短信,或是直接洗劫支付账户中的资金余额。
短信诈骗、手机丢失 严重威胁移动支付安全
垃圾短信中重要的一类就是诈骗短信,某些诈骗短信会诱骗用户登录钓鱼网站或下载木马程序,从而对网上购物和网上支付构成威胁。特别是2013年下半年开始流行至今的伪基站技术,使用的发信号码多为银行或电信运营商的官方号码,很具有迷惑性。
另外,传统银行柜台办理业务时,需要“人证合一”双重查验,而手机支付仅通过姓名、卡号、身份证、手机号就可以完成。一旦手机与钱包、身份证等资料一起丢失,用户的手机支付安全就面临巨大安全隐患。
手机支付十大安全防范建议
●不要轻信陌生人发来的二维码信息。
●交易对方有明显古怪行为的应提高警惕。
●保持设置手机开机密码的习惯。在手机中安装可以加密的软件,对移动支付软件增加一层密码。登录密码和支付密码也要设置为不同。如果邮箱、社交网站(如微博、人人网、开心网等)等登录名和支付账户名一致,要保证密码不同。不要把密码保存在手机里,或者设置成生日、车牌等容易被猜到的个人信息。
●使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。
●“电子密码器失效”、“U盾升级”等属于常用的诈骗术语,收到类似短信莫轻信,绝对不能通过短信中的网址登入网银。
●出门不要将银行卡、身份证及手机放在同一个地方。如果一同丢失,他人可使用支付软件的密码找回功能更改密码,危险程度极高。
●一旦手机突然没有信号,在排除了信号问题和手机故障后,要查询SIM卡是否被他人补办,并将支付平台内的余额转出。
●使用手机安全软件,可以有效拦截最新的木马,拦截木马读取短信等行为。
●如果手机丢失,第一时间使用安全软件防盗功能远程删除手机里的支付数据,同时打电话给银行和第三方支付供应商冻结相关业务,找手机运营商挂失并补办。可在电脑上登录支付宝等账号,关闭无线支付业务。
●骗子通过伪基站技术可将发信号码伪装成银行官方客服号码。因此,即使是银行官方客服号短信也不要轻信。要通过银行官方客服进行咨询。

