360發(fā)布中國移動支付安全報告 2014成移動支付元年

1、360發(fā)布中國移動支付安全報告2014成移動支付元年科學中國-中國網(wǎng)3月11日消息，360互聯(lián)網(wǎng)安全中心發(fā)布國內(nèi)首個移動支付安全報告中國移動支付安全報告。報告顯示，2013年，中國手機支付用戶規(guī)模達到1.25億，同比增長了126.0%。相比于各大銀行，支付寶在移動支付領域占有絕對優(yōu)勢地位。令人擔憂的是，移動支付卻面臨著巨大的安全隱患。購物及支付類木馬往往會使用一些最新的攻擊技術(shù)和攻擊方法，防范難度較大。這些木馬還會偽裝成各種不同的應用，誘騙用戶下載安裝。與此同時，詐騙短信、手機丟失成為移動支付安全的嚴重威脅之一，二維碼木馬釣魚詐騙和電子密碼器升級詐騙等則是目前針對移動支付流行的典型網(wǎng)絡騙術(shù)。2

2、014年成中國移動支付元年。支付寶占移動支付絕對優(yōu)勢建行手機銀行下載最多報告顯示，在國內(nèi)，與支付、網(wǎng)銀、金融證券相關(guān)的各類移動應用的累計下載量已經(jīng)超過4億次。其中，支付寶錢包占比高達58%，是所有手機網(wǎng)銀客戶端軟件下載總量（占比27%）的兩倍多。此外，與支付寶相關(guān)的其他各種應用的下載量也占比8%。支付寶在移動支付領域占有絕對優(yōu)勢的地位。在校園、企業(yè)和公交系統(tǒng)中廣泛使用的中國電信翼支付的下載量占比為3%，各種金融證券類應用的下載量占2%，安全支付控件的下載量占比1%。（以上數(shù)據(jù)根據(jù)360手機助手的下載量統(tǒng)計及相關(guān)第三方數(shù)據(jù)換算）支忖及金融類手機魚用下戰(zhàn)情況中國咆值證鼻類童金克忖控件耳他】支恃寶鉉

3、包SB%m曰口MN*RA.DUr3.CJi圖一：支付及金融類手機應用下載量的詳細比例分布目前，國內(nèi)外各大銀行推出的網(wǎng)銀手機客戶端應用產(chǎn)品多達170余款。在網(wǎng)銀手機客戶端的累計下載量統(tǒng)計中，建行手機銀行（23%）、工行手機銀行（19%）、交通銀行（9%）、招行銀行（8%）和農(nóng)行掌上銀行（8%）的下載量位居前五名。圖二：手機銀行下載情況分析74%。手機安全漏洞普遍存在購物及支付類木馬難防范報告數(shù)據(jù)顯示，使用Google原生安卓系統(tǒng)Nexus系列的手機漏洞是最少的。國產(chǎn)手機漏洞數(shù)量通常介于10到20個之間，少數(shù)國際知名品牌的某些手機型號中，檢測出存在30-40個安全漏洞。根據(jù)360互聯(lián)網(wǎng)安全中心對上

4、述預置應用的調(diào)查結(jié)果來看，因廠商定制產(chǎn)生的手機安全漏洞，約占被測試手機已知漏洞總數(shù)的70%。而在360中國移動支付安全報告列舉的后臺消息、簽名漏洞、短信欺詐、后臺電話、清除數(shù)據(jù)、靜默安裝等六類漏洞中，簽名漏洞對移動支付安全性的威脅最為嚴重。因為黑客可以利用這個漏洞，對正常的支付工具或網(wǎng)銀客戶端進行篡改，而篡改之后，程序的數(shù)字簽名不會發(fā)生改變，因此也很難被發(fā)現(xiàn)。在購物及支付類木馬方面，從絕對數(shù)量上看，專門針對手機網(wǎng)銀、支付工具和網(wǎng)上購物設計的木馬程序并不是很多。但此類木馬往往會使用最新的攻擊技術(shù)和方法，使得此類木馬的發(fā)現(xiàn)和查殺難度大大增加。數(shù)據(jù)顯示2013年360互聯(lián)網(wǎng)安全中心共截獲支付及購物類

5、惡意程序2962個。這些惡意程序可以盜取支付帳號和密碼，攔截并轉(zhuǎn)發(fā)銀行發(fā)來的短信，或者是直接洗劫支付賬戶中的資金余額。這些惡意程序通常會以兩種形式出現(xiàn):一種是篡改特定官方客戶端程序并植入惡意插件的篡改類木馬；一種是純粹假冒其他應用程序的假冒類木馬。統(tǒng)計顯示，在所有的支付及網(wǎng)購木馬中，篡改類木馬占比約為26%，假冒類木馬占比約為手機購物及支忖類惡意程厚篇改或假冒對象圖三：手機購物及支付類惡意程序篡改或假對象從惡意程序篡改或假冒的對象來看：淘寶及相關(guān)應用最多，占比約為25%;其次是安卓系統(tǒng)或安卓系統(tǒng)組件，占比約為14%；接下來是微信相關(guān)應用和網(wǎng)銀客戶端，占比分別為12%和9%。還有假冒圖片和相冊，

6、假冒支付寶及相關(guān)應用，假冒金融證券軟件，安全組件和京東等各種應用的木馬程序也不在少數(shù)。短信詐騙、手機丟失成移動支付安全嚴重威脅之一垃圾短信中重要的一類就是詐騙短信，某些詐騙短信會誘騙用戶登錄釣魚網(wǎng)站或下載木馬程序，從而對網(wǎng)上購物和網(wǎng)上支付構(gòu)成威脅。特別是2013年下半年開始流行至今的偽基站技術(shù)，使詐騙短信的危害成倍增加。由于偽基站使用的發(fā)信號碼多為銀行或電信運營商的官方號碼，這些號碼不僅對于用戶來說很具有迷惑性,而且這些號碼通常也會被手機安全軟件列入白名單，因此，目前市面上的絕大多數(shù)手機安全軟件和號碼管理軟件也不能識別和攔截偽基站短信。目前，針對日益泛濫的偽基站攻擊，360手機衛(wèi)士已率先推出攔

7、截功能，并可標記這些短信為“偽基站推送短信”。據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計，2013年全年共收到用戶舉報垃圾短信總量約為4.46億條，360手機衛(wèi)士全年共為用戶攔截各類手機垃圾短信971億條，其中詐騙短信占據(jù)垃圾短信總量的5%，約為49億條。:用戶舉報垃圾短信類型分布傳統(tǒng)銀行柜臺辦理業(yè)務時，需要“人證合一”雙重查驗，而手機支付僅通過姓名、卡號、身份證、手機號就可以完成。一旦手機與錢包、身份證等資料一起丟失，用戶的手機支付安全就將面臨巨大安全隱患。手機支付十大安全防范建議一、不要輕信陌生人發(fā)來的二維碼信息，如果掃描二維碼后打開的網(wǎng)站要求安裝新應用程序，則需不要輕易安裝。二遇到交易對方有明顯古怪行為

8、的，就應當提高警惕，不要輕信對方的說辭。三、保持設置手機開機密碼的習慣。在手機中安裝360手機衛(wèi)士等可以加密的軟件，對移動支付軟件增加一層密碼，這樣，即使有人破解了開機密碼，支付軟件仍可以有密碼保護。登錄密碼和支付密碼也要設置為不同。如果郵箱、社交網(wǎng)站（如微博、人人網(wǎng)、開心網(wǎng)等）等登錄名和支付賬戶名一致，要保證密碼不同。不要把密碼保存在手機里，或者設置成生日、車牌等容易被猜到的個人信息。四、使用數(shù)字證書、寶令、支付盾、手機動態(tài)口令等安全必備產(chǎn)品。五、“電子密碼器失效”、“U盾升級”等屬于不法分子常用的詐騙術(shù)語，如果收到類似短信，又無法判斷真?zhèn)?，應直接撥打銀行的官方客服電話聯(lián)系銀行工作人員進行咨

9、詢，或者是到銀行網(wǎng)點柜臺辦理，絕對不能通過短信中的網(wǎng)址登入網(wǎng)銀。六、出門不要將銀行卡、身份證及手機放在同一個地方。如果一同丟失，他人可使用支付軟件的密碼找回功能更改密碼，危險程度極高。七、一旦手機突然沒有信號，在排除了信號問題和手機故障后，要查詢SIM卡是否被他人補辦，并將支付平臺內(nèi)的余額轉(zhuǎn)出。八、使用360手機衛(wèi)士等手機安全軟件，具有盜版網(wǎng)銀識別、木馬病毒查殺、網(wǎng)絡環(huán)境監(jiān)控、支付環(huán)境監(jiān)控、網(wǎng)址安全掃描、二維碼掃描監(jiān)控和短信加密認證等多項支付安全功能，可以有效攔截最新的木馬，攔截木馬讀取短信等行為。九如果手機丟失，第一時間使用360手機衛(wèi)士等安全軟件的防盜功能，遠程刪除手機里的支付數(shù)據(jù)，同時打電話給銀行和第三方支付供應商凍結(jié)相關(guān)業(yè)務，找手機運營商掛失手機號碼并補辦?？梢栽陔娔X上登錄支付寶等賬號，關(guān)閉無線支付業(yè)務。微信用戶可登錄http:/110.和微信官網(wǎng)，東結(jié)微信賬號。如果身份證、銀行卡連同手機一并丟失，向公安機關(guān)和銀行掛失。萬一發(fā)生被盜用賬