手机真的会变成“手雷”;刚刚爆发的勒索软件WannaCry攻击近百个国家,也给未来数十亿手机的安全问题敲响了警钟;层出不穷的网络骗局最终将摧毁移动支付所赖以维系的基础——网络信用体系。
人们出门可以不带钱包,用微信或支付宝的“扫一扫”基本上能解决大部分消费需求,这是一个乞丐要饭都收二维码的时代,也是抢劫犯到便利店抢不到的钱的时代。
在日本、美国等“卡文化”盛行的发达地区,没有微信、支付宝这样的“国民级应用”,人们仍然习惯于刷卡和现金交易。根据中国支付清算协会的数据,2016年移动支付总额达209万亿人民币,超过美国全年GDP,表明我国已进入到移动支付占主流的非现金社会。
当媒体热衷议论微信和支付宝在钱包份额的“赛跑”时,却没有给予其共同的敌人——网络诈骗以足够的重视。这些藏身幕后的“劫匪”有无数的奇技淫巧掏空你的积蓄,“徐玉玉事件”、清华教授被骗1760万的悲剧发出警醒:手机真的会变成“手雷”;刚刚爆发的勒索软件WannaCry攻击近百个国家,也给未来数十亿手机的安全问题敲响了警钟;层出不穷的网络骗局最终将摧毁移动支付所赖以维系的基础——网络信用体系。
网络诈骗正危及公民财产安全!
以前我们在电脑上用网银转账时,需要在网页时输入手机验证码、银行卡密码、U盾的密码、收款人的电话等才能划拨、支付一笔款子,如果是对公账户的话还得核对开户行信息等等。而现在微信支付或者支付宝绑定了相当于“实名”的银行卡之后只需要“扫一扫”,配上指纹识别或手动密码就可以轻松支付了。
相对比PC为了确保安全所设置的“麻烦”手续,手机支付图的是“爽”,移动端集手机通讯、实名认证、支付闭环一体打通的特性,也为诈骗分子提供了某种“便利”,并使得手机更易受病毒感染。以猎网平台收到全国用户提交的网络诈骗举报涉案金额1.95亿划算,人均损失为9471元,由于移动端手机账户还与手机银行、炒股、基金等账户绑定,因而远远高于PC端的人均损失。
开源性的安卓系统成为黑客和犯罪分子攻击的首要目标,据360在5月11日发布的《2017年手机安全风险报告》显示,99.9%的Android设备存在系统安全漏洞,与手机型号无关。安全漏洞代表着被攻击的可能性,考虑到国人大多数使用的是深度定制安卓系统的国产手机,的确有些细思恐极。当然,苹果iOS系统也绝非固若金汤,但至少能够保证用户只在AppStore中下载官方应用,降低被病毒程序和山寨应用的感染率,但没有手机杀毒软件的保护,一样无力阻挡垃圾短信、骚扰电话、钓鱼网址所带来的财产风险。
(超9成安卓机在“裸奔”)
据烽火实验室负责人介绍陈宏伟,360互联网安全中心共截获安卓平台新增恶意程序样本222.8万个,平均每天截获新增手机恶意程序样本近2.5万个,恶意程序已进入高发态势,并具备“偷、抢、骗、躲、刷”等危害。
“恶意代码”不仅假充真偷走手机中的隐私信息,还可以隐藏图标、激活设备管理器、伪装卸载页面,通过电子邮件上传通讯录和短信,向联系人群发带恶意程序的下载链接。还有一些恶意程序是锁住用户手机胁迫支付解锁的“勒索软件”,有的即使支付也无法解锁,360安全中心仅2016年截获的安卓勒索软件就达17万个,最近PC端也爆发勒索病毒肆掠全球,国内高校大量沦陷的消息。另外,一些色情网站或播放器也转战手机端,往往需要支付才能观看完整版,这些色情播放器会篡改系统在后台静默偷跑流量;很多顽固木马程序入侵系统时首要目标是“干掉”手机安全软件。
二维码成为网络支付的重灾区,一些犯罪分子在共享单车上覆盖虚假的打款二维码;有的甚至违停车辆开印有虚假转账二维码的罚单;一些犯罪分子还利用窃取的信息办理个人贷款,即使手机没有钱也可以骗,让用户背上巨额债务倾家荡产。
网络诈骗让手机安全防卫的挑战空前加剧:
手机诈骗更精准地掌握个人信息实施诈骗,并利用个人社交关系链进行扩散;
诈骗分子对于手机功能、社会心理的钻研程度远胜过一般用户,防骗与智商高低无关,用户手机即使被入侵,感知度相对较弱;
网络诈骗形成地下产业链,在木马开发制作、批发零售、诈骗实施、分赃销赃等环节实行团队化分工协作,侦察难度加剧。
移动端支付安全设施有哪些?
网络诈骗随着移动支付的高速发展而水涨船高,而网络诈骗与手机安全工具则是此消彼长、相生相克的关系;很多安全工具只能做事后的拦截、反馈,在与网络病毒、恶意程序的斗争中提升免疫和防御性能。可以说,手机安全相对于移动支付的流行普及、诈骗分子的疯狂蔓延来说相对滞后,在“支付”、“诈骗”以及“安全”的三方赛跑中,“安全”技术和能力亟需迎头赶上。
支付安全的第一道防线是支付宝与微信支付产品自身的安全防护技术,二者都具备了银行级的金融安全技术才能支撑起庞大的现金周转和平台运维。不过支付宝目前在免密码支付、蚂蚁花呗、刷脸支付等方面创新越来越多,伴随支付宝接入共享单车、内容资讯走向开放化,客观上使得安全保护难度越来越大。
微信自身是最大的开放流量平台,商家的面对面支付、群红包、通过二维码给周围人发红包等开放化支付场景带来复杂的转账风险,温州某会计进入一个非常逼真的“公司内部群”,一个小时转账75万,“群控”、“色流”等灰色产业链在微信野蛮生长,也为安全埋下隐患。
第三方手机安全管理软件目前“支付安全保护战”的中坚,对于手机支付财产安全的敏感程度已超过防骚扰电话、拦截垃圾短信和钓鱼网址、查杀恶意程序、防止社交隐私泄露等需求,而支付安全又是与这些基础防护密不可分,守住“钱袋子”逐渐成为手机安全管理软件最核心的综合化功能。
目前市面上第三方手机安全软件占据最大是360手机卫士(66.7%),其次是腾讯手机卫士(35.4%)、百度手机卫士(12.0%)。其中在支付安全方面,腾讯手机卫士主打微信防护。360手机卫士的主要在于依托数量庞大骚扰电话、短信及病毒样本以及旗下以安全为主打产品矩阵如360WiFi、360应用助手等建立立体支付防护体系。
但是当前手机支付安全防卫仍然存在如下问题:
各自为政的情况比较突出,在安全防卫缺乏合力;
支付方式一再简化,诈骗新招层出不穷,支付平台的安全漏洞大多是“事后补救”,缺乏预防机制;
移动支付诈骗所带来的财产损失由个人承担,平台缺乏相应的理赔和反馈机制;
公民手机信息安全的宣传力度相对匮乏。
全民手机安全保护战打响…..
移动支付的对立面是网络诈骗、诈骗短信电话、公民信息泄露、网络恶意程序开发者及地下产业链,并在安全技术的打压下不断提升免疫力并不断变异。当前,网络安全阵营是国内少数安全互联网公司、银行及金融机构、国家公安系统等,要出色完成守护支付“安全”重任的出路在于:“把敌人搞得少少的,把朋友搞得多多的!”
公安系统与安全互联网公司之间“政企合作”是打击诈骗分子嚣张气焰的当务之急,政府是保护公民财产的法治力量,而安全互联网公司则提供技术援助。
诈骗分子要想得手一般都需要截获短信码,木马传播大多也提供群发短信,有的还通过云服务捆绑陌生副号,这些需要运营商提升安全过滤技术;因此与运营商、金融机构、合作安全合作才能有效切断网络诈骗的套路。任何一方想要在手机安全上独善其身都很困难。
结语:
支付、诈骗、安全是永无休止的竞赛,要想“魔高一尺、道高一丈”,从长远来看,取决于移动端安全技术彻底甚至压制诈骗分子的伎俩,通过政府、安全厂商、银行及支付平台等长期、紧密合作,才能大幅提升全社会手机支付安全系数和健康的法制环境,让悬挂在“移动支付”头顶的达摩克利斯之剑消失,中国手机支付才能既在便捷体验全球领先,又在安全防卫能力上同等先进。