移动支付时代打响手机钱包安全保卫战

13.07.2015  19:57

  近日,家住南昌的熊女士接到这样一条短信:“我是你老公女朋友,我爱上你老公了,我要和他结婚!这里有我和他的相片,你还是自己去看吧。”盛怒之下的熊女士点击开相册链接,结果导致银行卡被盗刷,造成2200元的损失。而这个链接就是骗子的花招,木马病毒会随着你点开的链接迅速侵占手机,获取个人资料,盗刷银行卡。

  

  八成网民网上支付存隐患

  现如今,手机支付已经渗透进日常生活的方方面面,即使不带钱包出门,手机支付也几乎能覆盖所有的消费项目:打车、吃饭、购物、看电影、买机票、订酒店等等。据日前发布的《我国公众网络安全意识调查报告(2015)》指出,我国约83%网民的网上支付行为存在安全隐患。数据显示,我国网民多账户使用同一密码的情况高达75.93%;约43%的被调查者使用公共计算机进行网络支付后,没消除上网痕迹;随意链接公共免费WiFi的比例高达80.21%;支付时不仔细辨认支付页面网址在被调查者中占比接近35%……

  熊女士的遭遇只是其中一个案例。百度钱包风控专家表示,由于国内互联网产业发展太快,安全培育工作还不到位。很多用户对自身网络账号和银行卡信息缺乏必要的保密意识,这也是导致互联网欺诈事件频发的主要原因之一。

  病毒如何“盯上”你的手机钱包

  据专家介绍,目前大多数手机支付都是通过“密码+短信验证码”的方式进行安全验证,比较典型的手机病毒基本都具备屏蔽转发短信的功能,辅以钓鱼链接或伪冒网站诱导用户填写的个人账户或银行卡信息,欺诈分子能得到比较完整的用户鉴权信息,并通过快捷支付方式完成盗用。比较典型的手机病毒案例如下:

  第一步,用户收到伪基站发送的伪装成银行或运营商号码的短信,内容一般是积分兑换礼包或现金等内容并备注有钓鱼链接,包括上文中的“小三宣战短信”等。

  第二步,现在智能手机一般按来信号码将多条短信汇总在一起,客户看到的钓鱼短信很可能就在银行或运营商发来的正常短信下面,从而误信并点击短信内链接,这些链接跳转的页面大多和正规网站非常相像,用户在此类网站上会被要求输入个人信息和银行卡信息;

  第三步,信息填写完成后,用户会被诱导安装木马软件,这类软件名称一般伪装成正规APP,下载后用户手机收到的短信均会被屏蔽并自动转发至欺诈分子预设的手机号;

  第四步,欺诈分子利用钓鱼得来的客户及银行卡信息,在支付平台签约快捷支付并完成盗用,由于短信验证码也被接管,用户极难察觉盗用交易。人在家中坐,银行卡里的钱不翼而飞了。

  不慎中毒专家来支招

  百度钱包安全专家强调,在收到短信时一定要仔细辨别短信内链接地址是否是官方地址,并且不能轻易通过来信号码判断短信真伪。对于需要输入个人或银行卡信息的页面,也一定要慎重对待,增强对自身信息的保密意识,并注意提醒家中老人,谨防上当受骗。同时,软件的登陆密码和支付密码一定要有区别,以防黑客盗用。

  业内人士认为,目前各类欺诈黑灰产业链的交织,导致整个移动支付产业链面临同样的外部风险,并且各家第三方支付企业的风险管理体系建设进度不同,行业很难统一风险处理意见。然而,移动支付欺诈是所有支付平台共同的敌人,各平台之间应当形成合作机制,共同打击犯罪。以百度钱包为例,百度钱包发布一年多,自身的风控业务发展时间并不长,但是在风险行业共御上却走在了业界前列,先后加入了公民身份验证查询中心第三方支付安全合作联盟、银联互联网安全联盟等具备影响力的行业性协会组织,同时还和部分支付机构(如京东网银在线)进行深层次的风险数据共享和案件交流。

  “即使用户资金万一被盗,用户也不用紧张,可以先拨打我们的客服热线进行咨询,我们也会有专门的客户安抚机制,并会对符合要求的客户进行赔付指引,切实保障用户权益不受侵害。”百度钱包安全专家表示。

编辑:闫志阳