随着移动电子商务的日益发展,移动支付正在成为使用频率最高的移动应用之一。但作为移动电商业务的核心环节,移动支付的安全问题却越来越突出。360互联网安全中心监测数据显示,针对智能手机的移动支付诈骗行为呈现出高危态势,除了新型的移动支付诈骗手段层出不穷,各类恶意程序数量和感染量也开始快速增长。
对此,多数业内人士表示,愈演愈烈的移动支付安全问题,除了对消费者构成直接的危害外,对整个电子商务产业而言,也会造成巨大的伤害。因此,业内厂商及机构应尽快建立起产业“大联盟”,共同协作,一起来应对移动支付领域的安全风险。
移动支付新型诈骗迭出
360互联网安全中心最新发布的《2015中国移动支付安全绿皮书》(以下简称“《绿皮书》”)显示,随着移动电商业务的发展,移动支付的应用场景正在变得越来越广泛。除了淘宝、支付宝等专门的移动电商应用具备移动支付功能外,微信、微博等社交应用也开始提供便捷的移动支付功能。但也正是随着移动支付应用场景的增多,使得借助微信等渠道,针对移动支付的新型诈骗层出不穷。
甘肃省酒泉市的邵先生是手机游戏“太极熊猫”的热心玩家。2015年4月,邵先生在微信上搜索“太极熊猫”时,偶然看到一个名为“太极熊猫限量礼包”的公众号。于是邵先生就添加关注了这个微信公众号。
关注该公众号后,邵先生看到一个充值兑换的优惠活动信息,但充值只有通过微信公众账号进行才有效。邵先生并没有过多的怀疑,就点击了活动公告参加优惠活动,并购买了968元的套餐产品。
可是,邵先生刚刚完成付款没多久,就有一个自称是客服的名为kefu568的微信号联系了邵先生,并告诉邵先生其购买的商品出现了问题,资金已被冻结,需要给邵先生退款。kefu568向邵先生提供了两种解决方案,一个是再付一次款,这样前一次的付款就会自动退回。另一种方法是等9-10个工作日后到银行去办理退款手续。
但邵先生认为这两个方法都很难接受,最后kefu568给邵先生发了一个二维码,要求邵先生用支付宝扫描一下这个二维码就可以完成退款。邵先生扫描了这个二维码后,账户中又被转走了968元。对方称这可能还是交易异常,请邵先生再扫一次二维码。结果邵先生扫过二维码后,支付宝又被扣款968元。
kefu568告诉邵先生,72小时后钱会自动退款到邵先生的网银账户。次日,邵先生再次向kefu568询问自己的钱什么时候能退,对方则继续劝邵先生等待。又过了半天,邵先生发现kefu568已经联系不上了,而“太极熊猫限量礼包”的公众账号也找不到了,这时邵先生才知道自己上当了。
360互联网安全中心介绍,上述案例是典型的“虚假微信诈骗”,和“退款诈骗”、“积分兑换诈骗”均属于近期流行且高发的新型诈骗方式。这类诈骗方式,往往通过微信等第三方手机应用,制造一个连环骗局。由于微信、旺旺、微博等社交应用,本身属于聊天工具,在正常的沟通中,对使用者的聊天内容并不做过多限制,因此并没有针对移动支付进行相应的反诈骗机制,所以就给了诈骗者可乘之机。
360互联网安全中心介绍说,二维码的本质其实是一个网址链接,但通过二维码就可以绕过多数社交应用的网址安全监测机制;对用户而言,通过二维码并不能甄辨出二维码关联的网址,就有可能造成经济损失。
恶意应用程序数量飙升
除了各类令人防不胜防的新型诈骗外,针对移动支付应用的各类恶意程序数量也大幅飙升。
《绿皮书》显示,2015年第一季度,360互联网安全中心共截获假冒或篡改各类移动支付及购物程序的恶意程序1147个,较此前监测量明显增长。360方面介绍,从恶意程序的制作方式上看,上述恶意程序主要分为两大类别:一种是篡改特定官方客户端程序并植入恶意插件的篡改类程序;一种是纯粹假冒其它应用程序的假冒类程序。在这1147个篡改恶意程序中,篡改类程序共有795个,假冒类程序共有352个。
这些恶意程序篡改的对象均是用户使用广泛的移动支付或移动电商应用。在795个篡改类恶意程序的篡改对象中,农行掌上银行最多,占比约为28.4%;其次是美团团购,占比约为21.4%;接下来是手机淘宝和1号店,占比分别为16.9%和13.3%。在352个假冒类恶意程序的假冒对象中,大智慧占比最高,达到了20.1%;支付宝钱包和同花顺排在二三位,占比分别为16.8%和14.8%。
《绿皮书》还指出,除了上述恶意程序外,针对淘宝等电商的FakeTaobao木马同样不容掉以轻心。早在2013年5月,360互联网安全中心就监控到了第一个FakeTaobao家族的木马。监测数据显示,自2014年9月份以后,该木马家族的样本数量开始激增,短短半年时间里,样本总量就已经从3万多个激增到接近13万个。
搭建产业联盟刻不容缓
360、阿里、腾讯等多家互联网公司均向《经济参考报》记者表示,目前用户面临的移动支付安全风险是全方位的,应用仿冒篡改、移动应用安全漏洞、手机病毒、钓鱼诈骗、伪基站、假WiFi、安卓系统漏洞等都有可能成为用户手机安全中的短板而被利用。为了应对这些问题,上述互联网厂商均作出了不同形式的努力,并尝试建立行业联盟,促进业内公司以合作的形式,共同应对移动支付安全风险。
2014年,360发起成立中国手机反骚扰反欺诈联盟,并联合业内厂商和公安机关一同预防和打击各类移动支付诈骗行为;阿里旗下支付宝则在2014年联合多方建立安全基金,首批投入4000万元;腾讯也在2013年联合广东省公安厅、深圳市公安局反信息诈骗联盟专线、中国互联网协会、银行协会、三大运营商等政府组织、企业共同发起国内首个反信息诈骗联盟。
不过,也有业内人士表示,目前国内的行业联盟其实还是“小联盟”,即围绕主要互联网厂商形成的行业联盟。但目前针对移动支付的诈骗行为,不但手法多样,数量也不断增长。因此,单靠某一家小联盟很难为用户提供有效的移动支付安全保障。因此,建议各大厂商携手,尽早建立由更多厂商和机构参与的“大联盟”,相信通过各方优势,能够进一步提升移动支付的安全环境,有效防止各类欺诈事件的发生。