2014-03-13来源:金山安全中心
3月13日消息,金山毒霸安全中心今日发布的《2013—2014年中国手机支付安全报告》显示,2013年手机在线支付增长迅猛,用户数达到1.25亿,交易规模突破1.2万亿元,预计今年还将获得更快发展。但与此同时,手机支付面临的风险因素也快速增长了312%,成为威胁网民资产非常重要的原因。
目前在国内的移动支付市场中,支付宝钱包、各大银行网银客户端、拉卡拉、微信支付形成了第一军团,占据了超过90%的市场份额。其中,支付宝钱包仍然遥遥领先,占据约60%的市场。微信支付则通过嘀嘀打车、理财通和微信红包,增长最为迅猛,成为冲击支付宝钱包地位的最有力竞争者。
激烈的竞争也快速教育了用户,市场规模急剧膨胀。统计显示,2013年中国第三方手机支付市场规模已经超过1.2万亿元,同比增长了超过700%。未来十年是移动支付行业的黄金十年,已基本成为行业共识。
“验证码大盗”手机病毒大肆传播
但手机支付流通的资金越多,也就面临着越来越多的安全风险。金山毒霸安全中心分析发现,从2013年初至2014年2月份,针对移动支付工具的恶意攻击表现极为突出,增长了312%,受害者损失普遍超过以往。
手机支付在办理业务时,不再依赖本人身份和物理银行卡,只通过个人姓名、银行卡号、身份证、关联手机就可以完成。攻击者的主要方式就是千方百计获取网民上述敏感信息,手段包括手机病毒、网购钓鱼、用假冒身份证补办手机SIM卡、假借办理信用卡骗取信息等。
在安卓手机平台上,手机支付安全形势尤为严峻。2013年,金山毒霸安全中心鉴定出的安卓手机病毒达到85万个,检出率为7%,被病毒感染的安卓手机数量超过270万部,相比往年大幅增加。有些手机病毒的破坏力甚至超过了此前泛滥的网购木马,开始直接威胁网民的资金账户。
另外,安卓手机软件滥用系统权限的情况依然普遍,超过一半滥用定位和获取用户手机号码。这都为网民个人信息安全留下了很大隐患。
在上述攻击手段中,名为“验证码大盗”的手机病毒成为移动支付最大的安全威胁。据安全专家分析,攻击者不需要拥有网民手机,通过网购钓鱼或社会工程学诈骗获取网民的银行卡号、身份证号等敏感信息后,再利用“验证码大盗”截取网民的验证码短信,即可重置网购支付密码,进而盗取网民财产。
从2013年7月金山毒霸安全中心截获首例“验证码大盗”,截至目前,共拦截该病毒样本2959个,每天被感染的不同型号安卓手机达2800余部,受害者损失难以估计。
诈骗短信及钓鱼网站仍严重威胁手机支付
除手机病毒之外,用户还会被各种诈骗短信欺骗、骚扰。犯罪分子利用短信群发器发送大量含诈骗内容的短信,直接欺骗网民登录假冒银行的钓鱼网站骗取网银资金,通过短信、电话欺骗网民通过ATM机或网上银行转帐。
钓鱼网站对手机网民同样影响很大,金山毒霸安全中心统计到假网购钓鱼网站占到钓鱼网站总量的47%。手机上网的用户由于受手机界面的限制,比电脑上网更难区分网站真假。一旦上当,将个人信息提交到钓鱼网站,很难避免经济损失。
安全专家六大建议
金山毒霸安全专家认为,与手机支付安全相关的案件发生有两个基本条件:第一,各种原因导致的个人信息泄露;第二,各种原因导致移动支付依赖的手机验证码信息到达犯罪分子手中。阻止这两个基本条件同时满足,即可阻止网络犯罪发生。专家具体建议如下:
1、网民需要认识到密码管理的重要性。重要的、关键的网络服务(比如常用邮箱、B2C网站帐号、QQ、微博等),必须确保不重复使用密码。
2、做好个人信息保护。网民应逐步养成自觉保护个人信息的习惯,尽量不要在陌生情况下透露自己的身份证号、银行卡号、关联手机号等敏感信息。司法机关须加强对非法倒卖个人信息犯罪的查处,依法打击黑客非法入侵。
3、使用安全软件拦截手机应用软件普遍存在的权限滥用问题,阻止手机软件非法收集个人信息,如手机号码、通讯录、定位信息等。
4、使用金山手机毒霸等安全软件防止“验证码大盗”等手机病毒作案。手机毒霸将含有验证码、银行、支付等关键字的机密短信内容加密,阻止任何第三方可疑程序读取,从而阻止网银被盗案件发生。
5、尽量访问网购官方网站,注意防范假冒钓鱼网站,安装安全软件更为省心。
6、金山毒霸还提供网购敢赔服务,在攻击者突破金山毒霸防御时,可为用户提供每年最高8000元的敢赔服务。敢赔服务可以有效地帮助捕捉最新的病毒攻击和钓鱼网站攻击。