突破移动支付安全瓶颈

时间：2013-08-21 09:19:07

关键字：移动 NFC 互联网电脑

手机看文章

扫描二维码
随时随地手机看文章

[导读]21ic通信网讯，在自动售货机上刷一下手机，与手机绑定的银行卡即自动完成了付款，售货机马上吐出了购买的商品，这样的购物方式已经越来越常见。据央行近日公布的数据显示，今年第二季度，移动支付数量达到3.71亿笔，

21ic通信网讯，在自动售货机上刷一下手机，与手机绑定的银行卡即自动完成了付款，售货机马上吐出了购买的商品，这样的购物方式已经越来越常见。据央行近日公布的数据显示，今年第二季度，移动支付数量达到3.71亿笔，金额 2.07万亿元，同比分别增长274.70%和363.92%。在移动支付快速增长的同时，安全问题却日益严峻。

木马潜伏

前不久，经营服装网店的何小姐遇到一名“买家”，向她咨询一款自己选定的女装。何小姐加了该“买家”的微信后，对方发过来一个“衣服样品”的网址链接。何小姐点击该链接后，弹出一个下载安装的授权提示，她没有细看就进行了安装。结果，何小姐支付宝里的资金被盗用一空。原来，该“买家”给何小姐发送的是一个窃取密码的手机木马病毒。

无独有偶，广州市花都区的淘宝卖家李先生与何小姐遭遇的骗局如出一辙。李先生用手机和客户谈生意，对方突然发过来一个文件，李先生试图打开文件，但提示需要下载一个叫“SMS”的软件。不料，下载安装完成后，李先生发现自己的手机无法接收短信。随后，李先生又发现自己支付宝里面的3050元被人用于信用卡还款。李先生猜测，对方通过应用程序的漏洞，使得本该发到自己手机的短信转发到了对方手机，从而使对方知晓并更改了自己支付宝的密码。

据腾讯移动安全实验室《2013上半年手机安全报告》显示，今年上半年以来，针对手机网银的恶意软件或木马呈现出间歇性突然爆发的特征与趋势，病毒呈现出云端指令攻击强化、流程复杂化、伪装性进一步加强等特征。如手机用户安装“伪淘宝”木马客户端之后，在“伪淘宝”的木马客户端登录页面，当用户输入了用户名和密码，点击登录，就会执行发送短信的代码，将用户的账户名和密码发送到指定的手机号码。而用户在此过程中，淘宝账号、密码等隐私已全部泄漏却毫不知情。

考验安全

中国互联网络信息中心今年1月发布的数据显示，有30.4%的非网上支付用户表示“因为感觉不安全、担心资金被盗而不使用”，还有11.8%的非网上支付用户担心账户信息泄露。

中国电子商务研究中心分析师莫岱青告诉记者，目前移动支付主要有两种常见的方式，一是在手机上安装网银或者第三方支付平台的App应用软件，使用者就如同在电脑上使用网银或者第三方支付平台一样；一是基于新发展起来的近场通信技术（NFC）的支付方式，在手机上安装NFC芯片，让手机的SIM卡绑定银行卡，然后手机可以在近距离，如10厘米内，以非接触的方式与具备相同功能的设备进行通讯，完成交易。所谓的“刷手机付款”其实就是基于这种技术的实际应用。“从目前移动支付常见的安全隐患来看，软件隐患多于硬件隐患。”艾瑞咨询的分析师谢春告诉记者，“通过网银和App软件进行远程支付，这种移动支付方式和普通电脑上使用的网银和第三方支付平台一样，容易被病毒和木马攻击，从而泄露消费者的个人信息，导致财产损失。由于类似的攻击方法在普通电脑上已经发展得很成熟，因此针对移动支付的类似病毒、木马种类和数量也很多。”

那么新兴的NFC支付方式是否更安全呢？谢春告诉记者，NFC这种支付方式相对而言要安全很多，其通讯信号的加密级别必须符合金融交易的密级要求，辐射范围又小，不容易被人窃取泄密。“但这并不意味着NFC移动支付的绝对安全，毕竟银行卡被盗用的案例也发生过，而NFC方式的移动支付其实和银行卡并无区别。”谢春说，“比如曾有犯罪分子设置假ATM机或者在ATM机上做手脚，记录银行卡信息。如果犯罪分子用类似的手法，在有NFC交易功能的购物机上做手脚，那么也有可能盗取具有NFC功能的手机上的账户信息。”

记者了解到，最近二维码支付方式刚刚兴起，如微信新出的微支付功能，可以用手机扫描所售商品的二维码完成支付，从而使不具备NFC功能的手机也能完成移动支付。莫岱青、谢春等专家对此表示出一定担忧，认为不法分子可能通过提供带有自动下载木马链接的二维码，当手机扫描时就自动下载了木马，留下安全隐患。

统一标准

随着互联网发展迅速，第三方支付不仅面临移动支付安全所带来的挑战，也面临移动支付发展的新机遇。据了解，消费者不仅从互联网上获取各种外界信息，还通过网络渠道进行社交化支付生活，特别是随着智能终端的发展，他们仅需一台智能手机便可完成网络支付。“目前移动支付还是一种新兴事物，快速发展的互联网金融市场与监管之间有一定时间差，难免出现脱节。所以管好移动支付安全，需要更多地让企业想办法，政府部门重点要做好安全标准的制定工作。”谢春指出，目前整个行业缺乏统一的安全标准和体系，给安全制度的推广造成了困难。政府部门应该制定统一标准，比如统一与数字证书应用相关的硬件兼容标准，以有利于安全认证工具的推广。

谢春认为，对企业来说，需要不断完善技术，提高产品安全性，或者推出一些能让消费者放心使用的移动支付方式。此外，消费者使用的与移动支付相关的应用程序都需要经过第三方认证机构认证，第三方认证机构的责任重大，需要肩负起自己的责任，把好关口，减少有安全隐患的应用程序进入市场的可能。

莫岱青则建议，消费者要树立安全和自我保护意识，比如手机必须设置锁屏密码，以防手机丢失或者被窃时他人可以随意进入手机上绑定的个人账户；尽量从官方站点和安全电子市场下载正版应用；安装专业手机安全软件，以有效地查杀木马病毒；与手机绑定的个人账户上不要存大量的钱，尽量减少被窃时的损失；利用手机与他人聊天、收发邮件时不要随意点击对方发过来的链接、下载附件。