您当前的位置 : 前沿 > 时政 > 法与理

移动支付漏洞近九成损失无法追回?这4点一定要注意

  • 2017年03月27日 10:35 来源:中国网
机巴正面入洞图

 

 

  据CNNIC发布的第39次《中国互联网络发展状况报告》显示,截至2016年12月,我国网民规模达7.31亿,其中手机网民规模达6.95亿,增速连续3年超过10%。此外,《通付盾移动安全态势监测报告》显示,截至2017年2月,全国300多个应用市场中APP的数量达到3,701,977款,其中手机银行APP数量达412款。

  在移动互联时代,移动支付的理念已经普及到各个年龄段。移动支付丰富了支付场景,成为继银行卡、现金之外最常使用的支付方式。手机作为移动支付的主要载体,完成了大部分移动支付功能。然而,在复杂的互联网安全态势下,越来越多的不法分子把罪恶之手伸向了移动支付,使得移动安全态势越来越严峻。

  目前市场上存在的恶意、盗版、漏洞应用数量一直居高不下,对企业和个人用户造成了极大威胁,除此之外,无线网络不安全、移动支付应用软件自身漏洞、支付认证缺陷等方面的风险也暗藏在手机用户进行支付的每一个环节中,任何一个环节出现问题,都有可能直接影响到用户的支付安全。

  移动支付隐藏的安全风险

  1、手机联网容易接入不安全网络

  如今很多公共场所(如商场、机场等)都部署了免费无线网络方便用户使用,然而这些网络安全性并不高,很容易被不法分子劫持并监控,更有甚者,会设置一个与某公共WiFi热点同名的免费WiFi网络,吸引用户通过移动设备接入该网络,然后通过分析软件窃取用户的WiFi登录密码,获取用户个人资料、银行账户、网络支付账户密码,实施资金的盗刷。有报告称,信息安全组织在“北上广”三地的公共场所对6万多个WiFi热点进行了调查,结果显示这其中有8.5%的WiFi热点是钓鱼WiFi。

  2、用户容易被恶意软件蒙蔽,安装盗版软件

  由于安卓平台的开放性,允许第三方应用加入,应用软件很容易被盗版。而这些盗版软件中暗含信息窃取、流量消耗等恶意行为,其外观(如名称、图标、运行界面等)与正版十分类似,给用户造成混淆。如果第三方应用中心不严格把控,让恶意软件上架,手机用户下载并安装了这些恶意软件,很可能造成个人隐私泄露、资金损失等。

  3、软件自身存在安全漏洞,易被攻击

  移动支付产品愈便捷,其存在的安全隐患也愈严重。移动应用在设计、开发、运行等过程中,由于开发人员技术水平参差不齐,很容易产生一些不可避免的漏洞,这些安全漏洞一旦被不法分子利用,就会导致手机软件崩溃或者盗取用户信息、账号密码,甚至造成资金损失等安全事件。

  4、用户登录支付认证方式存在缺陷

  目前,大部分金融支付机构相关业务场景(如转账汇款)中均采取单一因素进行身份认证,无论是PIN码认证、短信验证码认证、指纹认证、人脸识别等认证方式,都因为认证因素过于单一,而在安全性上得不到强有力的保障。

  如短信验证码,这种认证方式貌似简单便捷,但不法分子可通过木马病毒、补卡攻击、克隆攻击、无线电监听等诸多方式截取到用户短信验证码内容,进而盗取用户钱财、盗刷用户银行卡;而人脸识别作为人工智能领域一项先进的技术创新,却也在315晚会上被爆安全性漏洞,触目惊心。

  如何全方位保障移动支付安全

  1、各金融支付机构对自身软件的安全保护

  “移动APP本身的安全应当从源头上做好防护,上线前一定要经过安全检测,进行必要的安全加固,防止‘带病上线’”通付盾总裁王梅对目前的移动应用市场环境深表忧虑,并表示在APP发布运营后还应当实时监测,及时获知应用威胁并做好应对措施。此外,

  支付机构应与第三方应用商店协同,定期对移动APP进行检查,确认是否为最新版本。

  支付机构可与安全服务厂商合作,定期进行漏洞扫描,发现问题及时修复并加固。

  移动APP在启动运行时,应对用户进行提示,“尽量不要连接不熟悉的公共无线网络”。

  2、各金融支付机构应改进用户登录支付方式

  目前市场上存在的身份认证方式非常多,比如账号密码、短信验证、人脸识别、指纹识别等。众所周知,其中短信验证码身份认证仍然是很多银行和支付平台常用的移动身份认证方式。诚然,短信验证码具有用户体验好,便捷性好的优势,但是在账号盗用情况日益猖獗、黑产技术水平不断升级的未来,单一因素的身份认证方式也变得较为脆弱,应当加以改进。

  “一个最简单的8位密码加验证码,只能阻挡黑客半小时。而人脸识别、活体检测等认证手段只能作为辅助的身份认证措施。”在通付盾董事长汪德嘉看来,身份认证安全必须通过多因子、多纬度来保证。在实际应用中,更要注意区分身份识别的使用场景,在涉及隐私、支付等高级别安全场景使用时,将生物特征与多种因子相融合,多个方面同时发力,从而提高安全门槛,保障用户安全。

  通付盾HUE多因子身份认证解决方案通过综合判断时间、空间、设备、行为等多重因子识别用户身份,帮助企业客户安全、便捷地解决平台用户账号登录、管理授权、转账汇款、支付交易、资金提现等关键业务场景的二次身份确认问题,保障用户的信息和财产安全。

  参考文献:

  《手机支付环境风险探讨》冯峰、林显忠

上篇:解析美国无人版“鱼鹰”:可执行多样化任务

下篇:外媒称利比亚蛇头草菅人命:肆意拷打强奸难民 动辄处决

 
分享到:

热点新闻

  • 美大学网站分析称朝鲜疑似持续准备第6次核试验

  • 英媒揭秘中国红旗-64导弹 称采用世界首创技术

  • 依法用兵,伴随亚丁湾护航征途

  • 海军代表谈远海训练:训练值班战备三合一

  • 两会时间到了,三军将士都关注啥

  • 越南空军要买苏-35?武器更新坚持小步快走

  • 土耳其和荷兰打起外交“口水战”土总统措辞激烈

  • 韩国回应中方呼吁停止韩美军演:军演仍将继续

  • “天舟一号”任务动力系统全面进入发射场准备阶段

  • 俄方:“萨德”入韩是对俄挑战 将考虑军事计划

  • 台湾接收两艘美国二手护卫舰 已在美军服役30年(图)

  • 盘点那些年,我们在军校用过的“神器”

  • 外交部回应韩美联合军演

  • 你要相信我化作了山脉 老山巡礼

  • 俄外交部说美在韩部署"萨德"加剧朝鲜半岛紧张

  • 10天7课目!空降兵某部在鄂北山区组织对抗考核

  • 境外媒体关注歼-20正式服役:欲缩小中美军事差距

  • 中国空间站期望台湾同胞参与 未来望培养来自台湾航天员

  • 美UFO爱好者声称美军秘密基地曾有奇特立方体从天而降

  • 俄称中国打造21世纪武器追赶美国 重点提及3款装备

  • 蔡英文被曝筹谋美军驻台 欲租借太平岛给美军

  • 萨德危害在哪,为何必须反制

  • 美军为何向叙大举增兵?俄媒:枪多地多战后话语权就大

  • 中蒙边境新疆兵团民兵雪中进行全封闭式训练

  • 美欲扩大核武确立对俄优势 军备竞赛或重启

  • 菲总统:允许中国船进入菲海域 它们没有入侵

  • 这名海军女兵像“潮男” 已随舰艇与13个国家Say Hi

  • 美军为何向叙大举增兵?俄媒:枪多地多战后话语权就大

  • 台当局否认太平岛将租给美军 称谣言但拒绝承诺

  • 朴槿惠被弹劾下台 美政府:不会影响萨德部署计划

  • 马里"维和天使"一家三代的节日遥念

  • 在军校读书是怎样一种体验?来看看她们的回答

  • 美国将举办打击IS联盟会谈 参会国不含俄罗斯

  • 海军少将:逢舰必跟、来机必拦

  • 长征七号遥二火箭运抵文昌航天发射场 将于4月下旬发射

  • 军网女记者亲历海军远海训练:站立处 即吾乡

  • 伊朗展示新坦克 这不是俄制T-90吗?

  • 俄媒称图-154飞机空难匪夷所思:疑飞行员错把海面当天空

  • 南海舰队远海训练舰艇编队返回三亚军港

  • 美空军计划年内测试激光武器 推进微型化

  • 美欲扩大核武确立对俄优势 军备竞赛或重启

  • 美国海军陆战队裸照丑闻发酵 两名受害女兵发声

  • 韩媒:“萨德”反导系统装备将分阶段陆续抵韩

  • 部队有个这样的菜园子极大丰富了官兵的菜盘子

  • 越军用法国望远镜侦察边境?号称能发现50里外敌坦克

  • 日女防相回应老公原是右翼幼儿园律师:这是私事

  • 美韩重兵演练对朝斩首 模拟用萨德击落导弹

  • "萨德"部署地民众举行抗议集会

  • 雪域边关哨兵寒夜5分钟速擒越境犯

  • 崛起需克服受害者心态和非理性民族主义干扰

  • 阅读推荐

    ICP备案/许可证编号:津ICP备15008203