近日,由腾讯安全与中国人民大学联手推出的《2014年度互联网安全报告》(后文简称报告),向全社会揭开了2014年互联网安全现状,其中关于手机支付相关的支付类病毒引起行业高度关注。报告表示,随着手机支付的普及,手机作为“钱包”的属性越来越明显,支付安全将持续受到病毒的侵扰,而保护支付安全将成为未来手机安全的重中之重。
移动支付流行引发支付类病毒“大爆炸”
报告指出,随着移动支付成主流,支付类病毒呈逐月上升趋势,但速率有所下降。从2014年1-11月的增长情况来看,手机支付类病毒包数总量呈逐月上升趋势,但增长的速率在不断下降,2014年9-11的手机支付类病毒包数量较年初翻了近三番,这主要是因为手机移动支付呈快速增长的结果。
其中,在5月份支付类病毒包的增速达到了峰值,这也是2014年第一季度电商、团购、银行、理财以及第三方支付公司集中推广手机支付的结果。2014 年第一季度,支付类软件的下载量占到了全部软件下载量的30%,病毒传播者由此也将手机支付作为重点感染对象,直接对用户的资金安全造成威胁。支付病毒传播渠道多样化
手机支付病毒都从什么途径袭击用户呢?报告显示,手机支付类病毒的传播渠道十分多样,其中电子市场(21.1%)、手机论坛(19.5%)和软件捆绑(15.9%)是支付类病毒传播的三大渠道。
目前的手机系统主体是安卓系统,但由于安卓系统的开放性,很多病毒都是打着应用程序的幌子,让用户防不胜防,综合前三种传播渠道,可以看出,许多应用软件在电子市场和手机论坛遭二次打包篡改,暗含山寨支付代码或广告插件,许多恶意推广、支付类病毒往往会在后台私自下载安装包,消耗用户资费流量,偷盗用户的银行金额,相对于电脑端的病毒来说,可能对于用户来说是更加难以察觉的。
另外许多手机往往在出货前就已经刷机或者内置了各种流氓软件,而这些刷入或内置ROM 的恶意软件包一般很难用常规手段卸载或清除,ROM 内置病毒也成为重要的支付类病毒传播渠道。
随着二维码的流行,目前已成为重要的支付类病毒的染毒渠道(13.2%),风险进一步增大,手机用户不要见码就扫,最好安装具备二维码恶意网址拦截的手机安全软件进行防护,或者安装带有安全识别的二维码工具进行二维码扫描,这种防范意识应该在全社会倡导和传播。
守住用户短信很重要
值得注意的是,2014年度手机支付类Top10病毒都呈现出一个共同的特征,即以用户短信为攻击对象,或者窃取用户短信中的账号密码,或者私自发送短信。
报告指出,目前最为普遍的通过短信验证用户身份的方式是手机支付安全中的一大软肋,很多用户在潜意识中还是将短信功能与手机应用程序截然分开,认为两者分属不同主体,更加安全可靠,犯罪分子正利用用户这种心态,通过获取用户的短信权限,进而轻松盗刷银行卡完成支付。因此,短信应该成为手机安全产品的重点保护对象,同时要从根源上解决这个问题还需要深入应用程序。
支付病毒背靠庞大黑色产业链
互联网安全专家表示,手机支付类病毒背后一个庞大的黑色产业链组织,骗子们组织严密,分工明确,他们利用银行、运营商、即时通讯、第三方支付、电子商务企业之间的信息割裂,从事各种欺诈,形成了一条移动黑色产业链。“黑客和诈骗分子通过移动互联网作案的成本和技术门槛很低,操作起来比PC互联网容易,但对于警方和安全公司来说,抓捕或阻止这种行为极为困难”。
