3月11日消息，360互聯(lián)網(wǎng)安全中心發(fā)布國(guó)內(nèi)首個(gè)移動(dòng)支付安全報(bào)告《中國(guó)移動(dòng)支付安全報(bào)告》。報(bào)告顯示，2013年，中國(guó)手機(jī)支付用戶規(guī)模達(dá)到1.25億，同比增長(zhǎng)了126.0%。

相比于各大銀行，支付寶在移動(dòng)支付領(lǐng)域占有絕對(duì)優(yōu)勢(shì)地位。令人擔(dān)憂的是，移動(dòng)支付卻面臨著巨大的安全隱患。購(gòu)物及支付類木馬往往會(huì)使用一些最新的攻擊技術(shù)和攻擊方法，防范難度較大。這些木馬還會(huì)偽裝成各種不同的應(yīng)用，誘騙用戶下載安裝。與此同時(shí)，詐騙短信、手機(jī)丟失成為移動(dòng)支付安全的嚴(yán)重威脅之一，二維碼木馬釣魚(yú)詐騙和電子密碼器升級(jí)詐騙等則是目前針對(duì)移動(dòng)支付流行的典型網(wǎng)絡(luò)騙術(shù)。2014年成中國(guó)移動(dòng)支付元年。

支付寶占移動(dòng)支付絕對(duì)優(yōu)勢(shì) 建行手機(jī)銀行下載最多

報(bào)告顯示，在國(guó)內(nèi)，與支付、網(wǎng)銀、金融證券相關(guān)的各類移動(dòng)應(yīng)用的累計(jì)下載量已經(jīng)超過(guò)4億次。其中，支付寶錢包占比高達(dá)58%，是所有手機(jī)網(wǎng)銀客戶端軟件下載總量（占比27%）的兩倍多。此外，與支付寶相關(guān)的其他各種應(yīng)用的下載量也占比8%。支付寶在移動(dòng)支付領(lǐng)域占有絕對(duì)優(yōu)勢(shì)的地位。在校園、企業(yè)和公交系統(tǒng)中廣泛使用的中國(guó)電信翼支付的下載量占比為3%，各種金融證券類應(yīng)用的下載量占2%，安全支付控件的下載量占比1%。（以上數(shù)據(jù)根據(jù)360手機(jī)助手的下載量統(tǒng)計(jì)及相關(guān)第三方數(shù)據(jù)換算）

圖一：支付及金融類手機(jī)應(yīng)用下載量的詳細(xì)比例分布

目前，國(guó)內(nèi)外各大銀行推出的網(wǎng)銀手機(jī)客戶端應(yīng)用產(chǎn)品多達(dá)170余款。在網(wǎng)銀手機(jī)客戶端的累計(jì)下載量統(tǒng)計(jì)中，建行手機(jī)銀行（23%）、工行手機(jī)銀行（19%）、交通銀行（9%）、招行銀行（8%）和農(nóng)行掌上銀行（8%）的下載量位居前五名。

圖二：手機(jī)銀行下載情況分析

手機(jī)安全漏洞普遍存在 購(gòu)物及支付類木馬難防范

報(bào)告數(shù)據(jù)顯示，使用Google原生安卓系統(tǒng)Nexus系列的手機(jī)漏洞是最少的。國(guó)產(chǎn)手機(jī)漏洞數(shù)量通常介于10到20個(gè)之間，少數(shù)國(guó)際知名品牌的某些手機(jī)型號(hào)中，檢測(cè)出存在30-40個(gè)安全漏洞。根據(jù)360互聯(lián)網(wǎng)安全中心對(duì)上述預(yù)置應(yīng)用的調(diào)查結(jié)果來(lái)看，因廠商定制產(chǎn)生的手機(jī)安全漏洞，約占被測(cè)試手機(jī)已知漏洞總數(shù)的70%。

而在360《中國(guó)移動(dòng)支付安全報(bào)告》列舉的后臺(tái)消息、簽名漏洞、短信欺詐、后臺(tái)電話、清除數(shù)據(jù)、靜默安裝等六類漏洞中，簽名漏洞對(duì)移動(dòng)支付安全性的威脅最為嚴(yán)重。因?yàn)楹诳涂梢岳眠@個(gè)漏洞，對(duì)正常的支付工具或網(wǎng)銀客戶端進(jìn)行篡改，而篡改之后，程序的數(shù)字簽名不會(huì)發(fā)生改變，因此也很難被發(fā)現(xiàn)。

在購(gòu)物及支付類木馬方面，從絕對(duì)數(shù)量上看，專門(mén)針對(duì)手機(jī)網(wǎng)銀、支付工具和網(wǎng)上購(gòu)物設(shè)計(jì)的木馬程序并不是很多。但此類木馬往往會(huì)使用最新的攻擊技術(shù)和方法，使得此類木馬的發(fā)現(xiàn)和查殺難度大大增加。

數(shù)據(jù)顯示，2013年360互聯(lián)網(wǎng)安全中心共截獲支付及購(gòu)物類惡意程序2962個(gè)。這些惡意程序可以盜取支付帳號(hào)和密碼，攔截并轉(zhuǎn)發(fā)銀行發(fā)來(lái)的短信，或者是直接洗劫支付賬戶中的資金余額。

這些惡意程序通常會(huì)以兩種形式出現(xiàn)：一種是篡改特定官方客戶端程序并植入惡意插件的篡改類木馬；一種是純粹假冒其他應(yīng)用程序的假冒類木馬。統(tǒng)計(jì)顯示，在所有的支付及網(wǎng)購(gòu)木馬中， 篡改類木馬占比約為26%，假冒類木馬占比約為74%。

圖三：手機(jī)購(gòu)物及支付類惡意程序篡改或假冒對(duì)象

從惡意程序篡改或假冒的對(duì)象來(lái)看：淘寶及相關(guān)應(yīng)用最多，占比約為25%；其次是安卓系統(tǒng)或安卓系統(tǒng)組件，占比約為14%；接下來(lái)是微信相關(guān)應(yīng)用和網(wǎng)銀客戶端，占比分別為12%和9%。還有假冒圖片和相冊(cè)，假冒支付寶及相關(guān)應(yīng)用，假冒金融證券軟件，安全組件和京東等各種應(yīng)用的木馬程序也不在少數(shù)。

短信詐騙、手機(jī)丟失成移動(dòng)支付安全嚴(yán)重威脅之一

垃圾短信中重要的一類就是詐騙短信，某些詐騙短信會(huì)誘騙用戶登錄釣魚(yú)網(wǎng)站或下載木馬程序，從而對(duì)網(wǎng)上購(gòu)物和網(wǎng)上支付構(gòu)成威脅。特別是2013年下半年開(kāi)始流行至今的偽基站技術(shù)，使詐騙短信的危害成倍增加。

由于偽基站使用的發(fā)信號(hào)碼多為銀行或電信運(yùn)營(yíng)商的官方號(hào)碼，這些號(hào)碼不僅對(duì)于用戶來(lái)說(shuō)很具有迷惑性，而且這些號(hào)碼通常也會(huì)被手機(jī)安全軟件列入白名單，因此，目前市面上的絕大多數(shù)手機(jī)安全軟件和號(hào)碼管理軟件也不能識(shí)別和攔截偽基站短信。目前，針對(duì)日益泛濫的偽基站攻擊，360手機(jī)衛(wèi)士已率先推出攔截功能，并可標(biāo)記這些短信為偽基站推送短信。

據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計(jì)，2013年全年共收到用戶舉報(bào)垃圾短信總量約為4.46億條，360手機(jī)衛(wèi)士全年共為用戶攔截各類手機(jī)垃圾短信971億條，其中詐騙短信占據(jù)垃圾短信總量的5%，約為49億條。

圖四：用戶舉報(bào)垃圾短信類型分布

傳統(tǒng)銀行柜臺(tái)辦理業(yè)務(wù)時(shí)，需要人證合一雙重查驗(yàn)，而手機(jī)支付僅通過(guò)姓名、卡號(hào)、身份證、手機(jī)號(hào)就可以完成。一旦手機(jī)與錢包、身份證等資料一起丟失，用戶的手機(jī)支付安全就將面臨巨大安全隱患。

手機(jī)支付十大安全防范建議

一、不要輕信陌生人發(fā)來(lái)的二維碼信息，如果掃描二維碼后打開(kāi)的網(wǎng)站要求安裝新應(yīng)用程序，則需不要輕易安裝。

二、遇到交易對(duì)方有明顯古怪行為的，就應(yīng)當(dāng)提高警惕，不要輕信對(duì)方的說(shuō)辭。

三、保持設(shè)置手機(jī)開(kāi)機(jī)密碼的習(xí)慣。在手機(jī)中安裝360手機(jī)衛(wèi)士等可以加密的軟件，對(duì)移動(dòng)支付軟件增加一層密碼，這樣，即使有人破解了開(kāi)機(jī)密碼，支付軟件仍可以有密碼保護(hù)。登錄密碼和支付密碼也要設(shè)置為不同。如果郵箱、社交網(wǎng)站（如微博、人人網(wǎng)、開(kāi)心網(wǎng)等）等登錄名和支付賬戶名一致，要保證密碼不同。不要把密碼保存在手機(jī)里，或者設(shè)置成生日、車牌等容易被猜到的個(gè)人信息。

四、使用數(shù)字證書(shū)、寶令、支付盾、手機(jī)動(dòng)態(tài)口令等安全必備產(chǎn)品。

五、電子密碼器失效、U盾升級(jí)等屬于不法分子常用的詐騙術(shù)語(yǔ)，如果收到類似短信，又無(wú)法判斷真?zhèn)危瑧?yīng)直接撥打銀行的官方客服電話聯(lián)系銀行工作人員進(jìn)行咨詢，或者是到銀行網(wǎng)點(diǎn)柜臺(tái)辦理，絕對(duì)不能通過(guò)短信中的網(wǎng)址登入網(wǎng)銀。

六、出門(mén)不要將銀行卡、身份證及手機(jī)放在同一個(gè)地方。如果一同丟失，他人可使用支付軟件的密碼找回功能更改密碼，危險(xiǎn)程度極高。

七、一旦手機(jī)突然沒(méi)有信號(hào)，在排除了信號(hào)問(wèn)題和手機(jī)故障后，要查詢SIM卡是否被他人補(bǔ)辦，并將支付平臺(tái)內(nèi)的余額轉(zhuǎn)出。

八、使用360手機(jī)衛(wèi)士等手機(jī)安全軟件，具有盜版網(wǎng)銀識(shí)別、木馬病毒查殺、網(wǎng)絡(luò)環(huán)境監(jiān)控、支付環(huán)境監(jiān)控、網(wǎng)址安全掃描、二維碼掃描監(jiān)控和短信加密認(rèn)證等多項(xiàng)支付安全功能，可以有效攔截最新的木馬，攔截木馬讀取短信等行為。

九、如果手機(jī)丟失，第一時(shí)間使用360手機(jī)衛(wèi)士等安全軟件的防盜功能，遠(yuǎn)程刪除手機(jī)里的支付數(shù)據(jù)，同時(shí)打電話給銀行和第三方支付供應(yīng)商凍結(jié)相關(guān)業(yè)務(wù)，找手機(jī)運(yùn)營(yíng)商掛失手機(jī)號(hào)碼并補(bǔ)辦?？梢栽陔娔X上登錄支付寶等賬號(hào)，關(guān)閉無(wú)線支付業(yè)務(wù)。微信用戶可登錄http://110.qq.com和微信官網(wǎng)http://weixin.qq.com，凍結(jié)微信賬號(hào)。如果身份證、銀行卡連同手機(jī)一并丟失，向公安機(jī)關(guān)和銀行掛失。萬(wàn)一發(fā)生被盜用賬戶資金的情況，立刻撥打110報(bào)警。

十、由于偽基站詐騙在2013年下半年非常流行，騙子通過(guò)偽基站技術(shù)可以將發(fā)信號(hào)碼偽裝成銀行官方客服號(hào)碼。因此，即使是銀行官方客服號(hào)碼發(fā)來(lái)的類似短信，也不要輕信。如果收到此類短信后自己卻有擔(dān)憂，也一定不要直接撥打短信中留下的聯(lián)系電話，而是要通過(guò)銀行官方客服進(jìn)行咨詢。