5月29日,在廣東汕頭舉辦的2014中國計算機網絡安全年會第三天,騰訊移動安全實驗室高級研究員陸兆華在“4G時代下的移動互聯網安全”分論壇上發表了主題為“移動支付安全威脅與防御”的演講。陸兆華詳細介紹了當前手機安全現狀,針對手機病毒在移動支付安全領域的危害進行了深入分析,并提出了阻擊詐騙產業鏈各環節的防御方案。
(騰訊移動安全實驗室高級研究員陸兆華現場發言)
眾所周知,當前支付寶、微信支付、百度錢包等第三方支付,以及傳統金融機構往移動端支付的蓬勃發展,不過,伺機已久的黑客們也抓住這個新興產業的漏洞,將手伸進人們的“移動口袋”。陸兆華表示,當前手機病毒瘋狂增長,2013年截獲的手機病毒包是2011年的31.72倍。
基于這些不安全因素,陸兆華在會上對手機支付病毒的危害進行了深入分析。他表示,當前病毒的發展十分猖獗,一些病毒還會偽裝成支付類APP,如“偽淘寶”病毒,操作界面和淘寶官方客戶端一模一樣,欺騙性很強,當用戶安裝帶有病毒的“偽淘寶”客戶端之后,用戶輸入用戶名和密碼并點擊登錄,就會執行發送短信的代碼,將用戶的帳戶名和密碼發送到指定的手機,很容易造成用戶核心隱私的泄露以及資金的安全隱患。
另外,一些二維碼也被不法分子植入病毒,如“盜信僵尸”、“短信竊賊”病毒等,當用戶掃描二維碼后,會誘導用戶填入個人信息,同時還會監聽轉發目標用戶手機短信給詐騙者,盜取目標用戶支付帳號或快捷支付綁定目標用戶銀行卡盜取目標用戶支付帳號余額或銀行卡余額。
雖然病毒的發展猖獗,但并不是不可控。陸兆華提醒廣大消費者在使用手機支付時,必須培養安全防范意識,在使用二維碼支付時切勿因便捷而盲目掃描。同時,在支付前需確認支付渠道,從電腦上掃碼前要看準網站域名。另外,遇到任何索取手機驗證碼的行為,都應該保持警醒,切勿輕信不明身份的電話或其他信息,銀行及第三方支付的工作人員是不可能向客戶索要交易密碼和手機動態驗證碼的。
針對當前移動支付行業出現的問題,騰訊手機管家已經組建了當前移動互聯網最大的騰訊手機安全聯盟,該聯盟目前有近百家企業加入,涵蓋了運營商、手機廠商、電子市場、安全廠商等產業鏈每個環節,包括,三星、華為、中興、小米、聯想、豌豆莢、應用匯、手機毒霸、刷機精靈等等均為聯盟成員。陸兆華表示,騰訊手機安全聯盟不以盈利為目的,一直進行大投入,并向產業鏈各方開放自己的安全能力、安全技術,從詐騙鏈條的各個環節提供防御方案,共同構建安全的移動支付環境。
此外,騰訊安全在上周也推出了國內首款提供“支付前、支付中、支付后”閉環保護的騰訊手機管家移動支付版,并發布了“移動支付安全聯合守護計劃”。陸兆華強調,移動支付安全并非僅依賴一款安全軟件便可解決,更需要各方聯手,構建移動支付安全生態系統。騰訊通過“一橫一縱”打通了整個移動支付安全產業鏈——橫向打通微信支付、嘀嘀打車、大眾點評、京東商城、上品折扣、王府井等移動網購支付產業鏈;縱向打通銀行、監管機構、安全服務機構,通過縱橫交織構建了一個強大的移動支付安全生態系統,全方位保障用戶移動端的支付安全。
(新聞稿 2014-05-29)