3月11日消息，360互聯(lián)網(wǎng)安全中心發(fā)布國內(nèi)首個移動支付安全報告《中國移動支付安全報告》。報告顯示，2013年，中國手機(jī)支付用戶規(guī)模達(dá)到1.25億，同比增長了126.0%。

相比于各大銀行，支付寶在移動支付領(lǐng)域占有絕對優(yōu)勢地位。令人擔(dān)憂的是，移動支付卻面臨著巨大的安全隱患。購物及支付類木馬往往會使用一些最新的攻擊技術(shù)和攻擊方法，防范難度較大。這些木馬還會偽裝成各種不同的應(yīng)用，誘騙用戶下載安裝。與此同時，詐騙短信、手機(jī)丟失成為移動支付安全的嚴(yán)重威脅之一，二維碼木馬釣魚詐騙和電子密碼器升級詐騙等則是目前針對移動支付流行的典型網(wǎng)絡(luò)騙術(shù)。2014年成中國移動支付元年。

支付寶占移動支付絕對優(yōu)勢 建行手機(jī)銀行下載最多

報告顯示，在國內(nèi)，與支付、網(wǎng)銀、金融證券相關(guān)的各類移動應(yīng)用的累計下載量已經(jīng)超過4億次。其中，支付寶錢包占比高達(dá)58%，是所有手機(jī)網(wǎng)銀客戶端軟件下載總量（占比27%）的兩倍多。此外，與支付寶相關(guān)的其他各種應(yīng)用的下載量也占比8%。支付寶在移動支付領(lǐng)域占有絕對優(yōu)勢的地位。在校園、企業(yè)和公交系統(tǒng)中廣泛使用的中國電信翼支付的下載量占比為3%，各種金融證券類應(yīng)用的下載量占2%，安全支付控件的下載量占比1%。（以上數(shù)據(jù)根據(jù)360手機(jī)助手的下載量統(tǒng)計及相關(guān)第三方數(shù)據(jù)換算）

圖一：支付及金融類手機(jī)應(yīng)用下載量的詳細(xì)比例分布

目前，國內(nèi)外各大銀行推出的網(wǎng)銀手機(jī)客戶端應(yīng)用產(chǎn)品多達(dá)170余款。在網(wǎng)銀手機(jī)客戶端的累計下載量統(tǒng)計中，建行手機(jī)銀行（23%）、工行手機(jī)銀行（19%）、交通銀行（9%）、招行銀行（8%）和農(nóng)行掌上銀行（8%）的下載量位居前五名。

圖二：手機(jī)銀行下載情況分析

手機(jī)安全漏洞普遍存在 購物及支付類木馬難防范

報告數(shù)據(jù)顯示，使用Google原生安卓系統(tǒng)Nexus系列的手機(jī)漏洞是最少的。國產(chǎn)手機(jī)漏洞數(shù)量通常介于10到20個之間，少數(shù)國際知名品牌的某些手機(jī)型號中，檢測出存在30-40個安全漏洞。根據(jù)360互聯(lián)網(wǎng)安全中心對上述預(yù)置應(yīng)用的調(diào)查結(jié)果來看，因廠商定制產(chǎn)生的手機(jī)安全漏洞，約占被測試手機(jī)已知漏洞總數(shù)的70%。

而在360《中國移動支付安全報告》列舉的后臺消息、簽名漏洞、短信欺詐、后臺電話、清除數(shù)據(jù)、靜默安裝等六類漏洞中，簽名漏洞對移動支付安全性的威脅最為嚴(yán)重。因?yàn)楹诳涂梢岳眠@個漏洞，對正常的支付工具或網(wǎng)銀客戶端進(jìn)行篡改，而篡改之后，程序的數(shù)字簽名不會發(fā)生改變，因此也很難被發(fā)現(xiàn)。

在購物及支付類木馬方面，從絕對數(shù)量上看，專門針對手機(jī)網(wǎng)銀、支付工具和網(wǎng)上購物設(shè)計的木馬程序并不是很多。但此類木馬往往會使用最新的攻擊技術(shù)和方法，使得此類木馬的發(fā)現(xiàn)和查殺難度大大增加。

數(shù)據(jù)顯示，2013年360互聯(lián)網(wǎng)安全中心共截獲支付及購物類惡意程序2962個。這些惡意程序可以盜取支付帳號和密碼，攔截并轉(zhuǎn)發(fā)銀行發(fā)來的短信，或者是直接洗劫支付賬戶中的資金余額。

這些惡意程序通常會以兩種形式出現(xiàn)：一種是篡改特定官方客戶端程序并植入惡意插件的篡改類木馬；一種是純粹假冒其他應(yīng)用程序的假冒類木馬。統(tǒng)計顯示，在所有的支付及網(wǎng)購木馬中， 篡改類木馬占比約為26%，假冒類木馬占比約為74%。

圖三：手機(jī)購物及支付類惡意程序篡改或假冒對象

從惡意程序篡改或假冒的對象來看：淘寶及相關(guān)應(yīng)用最多，占比約為25%；其次是安卓系統(tǒng)或安卓系統(tǒng)組件，占比約為14%；接下來是微信相關(guān)應(yīng)用和網(wǎng)銀客戶端，占比分別為12%和9%。還有假冒圖片和相冊，假冒支付寶及相關(guān)應(yīng)用，假冒金融證券軟件，安全組件和京東等各種應(yīng)用的木馬程序也不在少數(shù)。

短信詐騙、手機(jī)丟失成移動支付安全嚴(yán)重威脅之一

垃圾短信中重要的一類就是詐騙短信，某些詐騙短信會誘騙用戶登錄釣魚網(wǎng)站或下載木馬程序，從而對網(wǎng)上購物和網(wǎng)上支付構(gòu)成威脅。特別是2013年下半年開始流行至今的偽基站技術(shù)，使詐騙短信的危害成倍增加。

由于偽基站使用的發(fā)信號碼多為銀行或電信運(yùn)營商的官方號碼，這些號碼不僅對于用戶來說很具有迷惑性，而且這些號碼通常也會被手機(jī)安全軟件列入白名單，因此，目前市面上的絕大多數(shù)手機(jī)安全軟件和號碼管理軟件也不能識別和攔截偽基站短信。目前，針對日益泛濫的偽基站攻擊，360手機(jī)衛(wèi)士已率先推出攔截功能，并可標(biāo)記這些短信為偽基站推送短信。

據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計，2013年全年共收到用戶舉報垃圾短信總量約為4.46億條，360手機(jī)衛(wèi)士全年共為用戶攔截各類手機(jī)垃圾短信971億條，其中詐騙短信占據(jù)垃圾短信總量的5%，約為49億條。

圖四：用戶舉報垃圾短信類型分布

傳統(tǒng)銀行柜臺辦理業(yè)務(wù)時，需要人證合一雙重查驗(yàn)，而手機(jī)支付僅通過姓名、卡號、身份證、手機(jī)號就可以完成。一旦手機(jī)與錢包、身份證等資料一起丟失，用戶的手機(jī)支付安全就將面臨巨大安全隱患。

手機(jī)支付十大安全防范建議

一、不要輕信陌生人發(fā)來的二維碼信息，如果掃描二維碼后打開的網(wǎng)站要求安裝新應(yīng)用程序，則需不要輕易安裝。

二、遇到交易對方有明顯古怪行為的，就應(yīng)當(dāng)提高警惕，不要輕信對方的說辭。

三、保持設(shè)置手機(jī)開機(jī)密碼的習(xí)慣。在手機(jī)中安裝360手機(jī)衛(wèi)士等可以加密的軟件，對移動支付軟件增加一層密碼，這樣，即使有人破解了開機(jī)密碼，支付軟件仍可以有密碼保護(hù)。登錄密碼和支付密碼也要設(shè)置為不同。如果郵箱、社交網(wǎng)站（如微博、人人網(wǎng)、開心網(wǎng)等）等登錄名和支付賬戶名一致，要保證密碼不同。不要把密碼保存在手機(jī)里，或者設(shè)置成生日、車牌等容易被猜到的個人信息。

四、使用數(shù)字證書、寶令、支付盾、手機(jī)動態(tài)口令等安全必備產(chǎn)品。

五、電子密碼器失效、U盾升級等屬于不法分子常用的詐騙術(shù)語，如果收到類似短信，又無法判斷真?zhèn)危瑧?yīng)直接撥打銀行的官方客服電話聯(lián)系銀行工作人員進(jìn)行咨詢，或者是到銀行網(wǎng)點(diǎn)柜臺辦理，絕對不能通過短信中的網(wǎng)址登入網(wǎng)銀。

六、出門不要將銀行卡、身份證及手機(jī)放在同一個地方。如果一同丟失，他人可使用支付軟件的密碼找回功能更改密碼，危險程度極高。

七、一旦手機(jī)突然沒有信號，在排除了信號問題和手機(jī)故障后，要查詢SIM卡是否被他人補(bǔ)辦，并將支付平臺內(nèi)的余額轉(zhuǎn)出。

八、使用360手機(jī)衛(wèi)士等手機(jī)安全軟件，具有盜版網(wǎng)銀識別、木馬病毒查殺、網(wǎng)絡(luò)環(huán)境監(jiān)控、支付環(huán)境監(jiān)控、網(wǎng)址安全掃描、二維碼掃描監(jiān)控和短信加密認(rèn)證等多項(xiàng)支付安全功能，可以有效攔截最新的木馬，攔截木馬讀取短信等行為。

九、如果手機(jī)丟失，第一時間使用360手機(jī)衛(wèi)士等安全軟件的防盜功能，遠(yuǎn)程刪除手機(jī)里的支付數(shù)據(jù)，同時打電話給銀行和第三方支付供應(yīng)商凍結(jié)相關(guān)業(yè)務(wù)，找手機(jī)運(yùn)營商掛失手機(jī)號碼并補(bǔ)辦。可以在電腦上登錄支付寶等賬號，關(guān)閉無線支付業(yè)務(wù)。微信用戶可登錄http://110.qq.com和微信官網(wǎng)http://weixin.qq.com，凍結(jié)微信賬號。如果身份證、銀行卡連同手機(jī)一并丟失，向公安機(jī)關(guān)和銀行掛失。萬一發(fā)生被盜用賬戶資金的情況，立刻撥打110報警。

十、由于偽基站詐騙在2013年下半年非常流行，騙子通過偽基站技術(shù)可以將發(fā)信號碼偽裝成銀行官方客服號碼。因此，即使是銀行官方客服號碼發(fā)來的類似短信，也不要輕信。如果收到此類短信后自己卻有擔(dān)憂，也一定不要直接撥打短信中留下的聯(lián)系電話，而是要通過銀行官方客服進(jìn)行咨詢。