偷取短信、攔截驗證碼、上傳轉發(fā)隱私數(shù)據(jù)等成為2015年上半年手機支付類病毒的典型特征。其中，靠讀取并轉發(fā)用戶手機支付類短信驗證碼的病毒行為，再通過第三方網(wǎng)絡支付工具發(fā)起快捷支付，從而實現(xiàn)對綁定銀行卡的盜刷;或黑客把支付款項攔截轉入陌生賬號等問題較為頻發(fā)。

　　出門不帶錢包沒關系，只要帶手機即可。無論是逛街吃飯，還是打車加油，支付寶、微信等多種移動支付方式都能無縫讓我們與商家對接完成交易，就連沙縣小吃、菜場等都能使用，真的不得不說，這種支付方式很便利，再也不用怕現(xiàn)金不夠去銀行排隊取錢，也不用怕找回的零錢中有假幣。

　　正當我們樂呵呵地享受移動支付帶來的便利時，一群研究網(wǎng)絡安全的專家卻在擔憂其中的隱患，因為有不少軟件病毒就是沖著手機移動支付去的。

　　近日，中國科學技術協(xié)會和俄羅斯科學工程學會聯(lián)合會以及浙江省科學技術協(xié)會等聯(lián)合舉辦的“2015中俄工程技術論壇”上，“網(wǎng)絡信息安全與挑戰(zhàn)”的分論壇中，專家們談到了眼下熱門的手機移動支付安全問題。

　　近三成用戶存在移動支付風險

　　浙江大學計算機學院教授張森是研究網(wǎng)絡信息安全的專家，同時也是杭州市信息安全協(xié)會會長。在這次論壇上，他就提到，當前中國網(wǎng)民6.5億，手機網(wǎng)民總數(shù)為5.94億，年增長率19%，使用手機支付的用戶已達2.67億。其中，有近三成的用戶處在移動支付風險環(huán)境中。

　　這是什么意思呢?原來，一切是手機支付病毒在作祟。據(jù)騰訊數(shù)據(jù)顯示，今年上半年，新增手機支付病毒29762個，感染用戶總數(shù)達到1145.4萬。

　　浙江省計算信息系統(tǒng)安全協(xié)會副會長、杭州安恒信息技術有限公司總裁范淵說，支付類病毒多半與竊取隱私相關，偷取短信、攔截驗證碼、上傳轉發(fā)隱私數(shù)據(jù)等行為是2015年上半年手機支付類病毒的典型特征?！斑@些移動支付病毒可以直接威脅到用戶的財產(chǎn)安全。其中，靠讀取并轉發(fā)用戶手機支付類短信驗證碼的病毒行為，再通過第三方網(wǎng)絡支付工具發(fā)起快捷支付，從而實現(xiàn)對綁定銀行卡的盜刷;或黑客把支付款項攔截轉入陌生賬號等問題較為頻發(fā)?！?/p>

　　支付寶風控技術安全方面負責人張道生表示，支付寶作為目前最大的第三方支付平臺，平均每天要攔截上萬次黑客攻擊，屏蔽了全球近一半的電商釣魚網(wǎng)站。

　　或許你會說，不怕，手機里安裝了殺毒軟件。事實上，這些病毒是殺毒軟件發(fā)現(xiàn)不了的。范淵說，支付類病毒最大特征表現(xiàn)為靜默發(fā)送短信，靜默刪除短信、隱藏圖標或靜默刪除并轉發(fā)短信?！白鳛槠胀ㄓ脩魜碚f，是很難察覺到手機被植入木馬病毒或被黑客攻擊的，并且殺毒軟件也無法掃描得知。但還是有些異?？梢园l(fā)現(xiàn)的，如手機出現(xiàn)運行速度突然長時間變慢、突然無故黑屏、某些軟件自動被打開、賬號泄露或其他一些不正常的現(xiàn)象，可能就是中毒了。如果真的感覺手機被木馬侵入，這時，最好求助專業(yè)人員進行檢測?！?/p>

　　愛玩社交和游戲的手機病毒多

　　手機上的病毒哪里來?范淵的公司本來是做大數(shù)據(jù)的安全監(jiān)管，后來發(fā)現(xiàn)手機支付的問題，又成立了團隊做手機安全監(jiān)測。從他們的分析情況來看，導致這些病毒對移動支付產(chǎn)生危險問題發(fā)生的原因有兩方面：一方面是支付平臺自身存在漏洞易導致支付風險;另一方面是手機或手機上的社交軟件感染木馬，威脅到支付軟件的安全，帶來支付風險。

　　他公布了一則最近的數(shù)據(jù)：受政府部門委托，針對某省的互聯(lián)網(wǎng)金融網(wǎng)站抽樣了100個進行了深入檢測，發(fā)現(xiàn)其中有71個網(wǎng)站存在高危漏洞，33%的網(wǎng)站發(fā)現(xiàn)跨站腳本漏洞，6%的網(wǎng)站發(fā)現(xiàn)邏輯漏洞，7%的網(wǎng)站發(fā)現(xiàn)密碼重置漏洞，4%的網(wǎng)站存在弱口令，7%的網(wǎng)站發(fā)現(xiàn)密碼重置漏洞，4%的網(wǎng)站存在弱口令，8%的網(wǎng)站發(fā)現(xiàn)高危敏感信息泄露。

　　這些網(wǎng)絡漏洞，會直接影響平臺移動支付端的安全?！翱缯灸_本漏洞、網(wǎng)站邏輯漏洞、密碼重置漏洞、弱口令、敏感信息泄露等，都可以直接導致黑客攻擊破解用戶賬號密碼，攔截支付或盜取用戶錢財;更嚴重的會使黑客攻擊造成整個網(wǎng)站平臺癱瘓，導致整個網(wǎng)站的資金受到威脅?！狈稖Y解釋說。

　　除此之外，手機社交軟件或游戲軟件，是病毒易感區(qū)，黑客可以利用對手機的攻擊或是對手機社交、游戲軟件的木馬植入，控制支付軟件，靠讀取并轉發(fā)用戶手機支付類短信驗證碼，盜取用戶銀行卡客戶端或支付賬號內(nèi)錢財。

　　螞蟻金服高級安全策略專家馮力國表示，到目前為止，他們碰到的用戶反映支付安全出了問題，基本上是用戶被騙，或是手機設備遭到病毒攻擊被植入木馬所導致。張道生表示，他們有專門的團隊在做安全監(jiān)管。2014年支付寶發(fā)出1.28億條異地登錄安全報警提醒，146萬條欺詐風險提醒都是在交易時發(fā)出的?！霸谟脩暨M行交易的時候，平臺也會像一個房子一樣，根據(jù)用戶的習慣進行監(jiān)控。平臺的風控監(jiān)管，就像一個智能的大腦，如果非本人操作找回密碼，會根據(jù)賬號的登錄習慣、時間、消費習慣、地點、網(wǎng)絡環(huán)境、打字速度等，進行監(jiān)控排查?！?/p>

　　不能用兩個手機就別“手賤”

　　“由于黑客攻擊，每天都有大量的資金損失案件發(fā)生，這些資金大都是發(fā)生在支付過程中，被黑客攔截轉入陌生賬號的。如果數(shù)額不是很大，一般情況下很難追回。”張森教授透露，哪怕追究責任，一般也會按責任來承擔。比如說，支付平臺自身存在漏洞，由平臺方承擔責任，而用戶手機在安裝社交軟件或游戲軟件中感染木馬威脅到支付軟件安全，損失則由用戶方負責。

　　在范淵看來，手機用戶想降低移動支付風險性，最便捷的方法就是平時使用兩個手機。一個手機安裝移動支付軟件，另一個手機安裝游戲和社交軟件?！斑@樣的方法比較極端，但是卻可以避免木馬軟件利用社交軟件漏洞，攻擊移動支付軟件?！?/p>

　　不過，論壇上也有安全專家建議，用戶最好給支付賬戶設置單獨的、高安全級別的密碼、給手機支付設置手勢密碼;不越獄、不給手機亂裝軟件;支付應用實名認證;謹慎保管個人的身份證、銀行卡、手機驗證碼等隱私信息;不點擊不明鏈接，不安裝不明軟件;丟失手機后應進行掛失服務……

　　這些“秘訣”全是老生常談的內(nèi)容，可是卻常常因為“手賤”而被遺忘。當然，你可以花點錢購買一些專門針對手機支付病毒的軟件。據(jù)了解，這個市場被國內(nèi)外多個網(wǎng)絡安全信息技術公司看中。據(jù)悉，目前已經(jīng)有公司研制出一款對于木馬病毒的植入防護軟件產(chǎn)品，通過對手機內(nèi)部軟件進行打包計算，適時觀測手機異常情況。但是不是有用，還有待市場驗證。

　　不過，有個腦洞大開的設想，倒是可以作為一針安慰劑。馮國力透露，目前行業(yè)的趨勢是逐步把精力放在后臺安全，通過生物識別和大數(shù)據(jù)的方式來設置一把“鎖”，它知道開鎖的是不是主人?！斑@是包括螞蟻金服在內(nèi)的不少互聯(lián)網(wǎng)公司努力的方向?！?/p>