支付风险 社交隐患 资费陷阱
使用智能手机要加装“安全锁”
日前,中国人大网公布《网络安全法(草案)》,面向全社会征集意见。随着移动互联网快速发展,手机安全问题日益突出。猎豹移动安全实验室《2015年上半年移动安全报告》显示,2015年上半年全球受病毒感染的手机达6.1亿台次,恶意应用数量已达451万,一年内新增手机病毒达过去数年的总和。
另据北京网络安全反诈骗联盟透露,2015年1—3月接到手机用户报案1147例,报案总金额为831.8万元,人均损失7252元。
专家分析,支付风险、社交隐患、资费陷阱等威胁,已成为手机安全“重灾区”,亟待加强风险防范、提升安全应对。
威胁一
制造病毒、伪装终端,手机支付藏风险
央行发布的《2014年支付体系运行总体情况》报告显示,2014年全国共发生电子支付业务333.33亿笔。其中,移动支付业务45.24亿笔,金额22.59万亿元。
移动支付用户快速增长的同时, 支付安全也成为手机安全重灾区。《2015年上半年移动安全报告》显示,在所有种类的病毒中,移动支付类病毒比例高达68%。从全球来看,中国是受移动支付类病毒影响最严重的几个国家之一,如果将“感染量”作为衡量标准,中国、俄罗斯、印度、马来西亚和美国排在前五位。
猎豹数据显示,2015年上半年,共截获156万个钓鱼网站,其中62%骗取手机支付信息。与传统钓鱼网站骗取网络账号、QQ号等不同,现在的恶意网站直接骗取与手机绑定的银行卡账号密码,危害更大。
此外,移动交易终端成为犯罪分子重点攻击目标。一些黑客利用伪基站、恶意WiFi网络端等渠道获取用户银行卡等信息,借机发起恶意攻击。
6月1日,《我国公众网络安全意识调查报告(2015)》正式发布。报告显示,我国约83%网民的网上支付行为存在安全隐患。
几个数据可以印证:我国网民多账户使用同一密码的情况高达75.93%;随意链接公共免费WiFi的比例高达80.21%;支付时不仔细辨认支付页面网址真伪,在被调查者中占比接近35%。
可以确定的是,这些行为都可能导致支付密码泄露、支付账号被盗用等现象,从而造成用户经济损失。
威胁二
泄露隐私、窃取资金,手机社交有隐患
除了移动支付安全风险外,手机社交中的隐患同样不得不防。随着智能手机流行,移动社交呈现爆发式增长态势,安全风险也相应增加。
先看看国外。2015年1月,俄罗斯约会交友网站Topface约2000万账户名及电邮地址遭泄露,并被黑客放到在线论坛上拍卖,一时引发巨大恐慌。
再说国内。截至2015年5月,国内移动社交应用覆盖设备规模已达10.41亿部终端。北京网络安全反诈骗联盟发布《2015年网络诈骗犯罪数据研究报告》显示,仅2011年至2014年底,公开并被证实已经泄露的中国公民个人信息多达11.27亿条,内容包括账号密码、电子邮件、电话号码、通讯录、家庭住址,甚至身份证号码等信息。去年七夕,在全国范围内爆发超级手机病毒“XX神奇”,超过500万用户收到该木马程序群发出的诈骗短信,正是依托移动社交传播的。
专家指出,无论手机社交网站,还是各种“朋友圈”,如有人不慎“中招”,病毒将成几何式传播。当下,基于社交网络进行传播的信息、产品层出不穷。很多人的通讯录里都有数百个号码,组成了庞大的社交网。一个人的手机“中招”,往外发送病毒信息时便会以N次方速度扩散。
另外,微信、微博等互动社交应用也多与智能手机有绑定业务,手机号在成为各种服务的快捷登录、支付账号后,一旦出现安全漏洞,就有可能给用户带来极大损失。
威胁三
植入程序、恶意攻击,资费陷阱花样多
360公司日前发布《2014年中国手机安全状况报告》显示,2014年恶意程序样本较上年增长近4倍,达到326万个,全年感染恶意程序的安卓用户达到3.2亿人次,其中超七成为资费消耗类恶意程序,这其实已远远超过“隐私窃取”。
2014年大部分恶意程序瞄准了手机中的流量资费,并已形成一条“灰色产业链”。在360公司公布的“2014年第三季度感染量最高的十大恶意程序”中,一款名为“Bubble X Slice”的程序,感染量达398142人次,其主要危害就是在软件打开后,隐瞒用户自动发送短信,造成用户手机资费消耗。
更令人担忧的是,恶意软件往往含有两种或两种以上恶意行为,扣费之外还附加隐私窃取等行为,多重危害让手机安全面临更大威胁。
比如, “2014年第三季度感染量最高的十大恶意程序”中,提到一个名为“植物大战僵尸王2(仿冒版)”的恶意程序,常常悄然植入用户手机,感染量为223769人次。该程序打开后,会在用户不知情的情况下自动发送短信,导致资费损失、隐私泄露。
应对
用户、厂商、监管三方携手,织密安全保护网
专家认为,智能手机已进入千家万户,弃之不用不太现实。当务之急是提升安全防范,需用户自身、手机软硬件提供商和监管部门携手,一起采取有效行动。
令人欣慰的是,网民的安全风险意识正在提高。比如,7月8日,支付宝9.0新版本全面更新上线后,关闭手势密码引发了网友对其安全性的质疑:系统只要检测到用户是在常用的设备登陆,就可以直接修改支付密码,无需提供证明。虽然支付宝方面表示,将会根据用户的使用习惯记录下大数据,确保账户的安全,但仍未打消网友疑虑。
如何从技术上、源头上防止手机安全风险?这需要手机软硬件提供商“先下手为强”,包括安全软件厂商、电信运营商、手机厂商、芯片厂商、操作系统厂商等,积极主动在手机软硬件源头上下功夫,不断升级手机安全保护网,将恶意软件、木马程序等有效阻断在入侵前的“最先一公里”、得手前的“最后一公里”。
另外,政府监管也要“发力”。从现实来看,目前的监管有点“力不从心”。以手机支付产业为例,我国移动支付产业监管立法仍处于相对滞后状态。
虽然我国已有关于移动支付的法规,包括《电子支付指引(第一号)》《非金融机构支付服务管理办法》《电子银行业务管理办法》等,但应看到,现有规定大多以部门规章为主,如何执法、怎么监管、双方权益如何划定都很模糊。市场发展快,立法要跟得上,监管才能更有力。
专家指出,用户提高风险意识,运营商、手机软硬件提供商构建 “技术墙”,政府部门提速监管,我们才能织密手机安全“保护网”,防范风险、确保安全。
▶▶链 接
案例一:“iCloud钓鱼攻击”,猎豹移动安全实验室的安全报告将其评为2015年上半年重大安全事件之一。
使用苹果手机的人都知道,苹果手机Find My iPhone中的“丢失模式”(Lost Mode)是一个实用的功能,它允许失主在iCloud上直接发一段文字到手机——例如:“你好,我的iPhone丢了,请联系185********,感谢万分!”
这本来是为了帮助失主找回手机,但可怕的是,目前该功能却被黑客利用。黑客会发送一条包含网址的短信,点击进入该网址后是个伪造的iCloud页面,黑客借此来骗取用户的苹果账户名和密码,对被偷的手机进行解锁,将其据为己有。据了解,2015年上半年,国内外均出现利用该功能钓鱼的案例,在这个过程中不断有用户受害、黑客得利。
案例二:近日,网友“公交姬”发微博称,因为手机被恶意开启短信保管箱业务导致银行卡资金被“洗劫”。
“短信保管箱”是电信运营商提供的一种增值服务,其功能是在运营商的服务器上保存用户的手机短信。
“公交姬”先是收到短信,被告知开通短信保管箱业务。发现问题后,其联络10086客服关闭了此业务,并修改了网上营业厅的登录密码。但是,盗窃者仍然重置了登录密码,最终通过第三方支付关联其银行卡,从而盗窃得手。
业内安全专家推测,“公交姬”修改密码后很快又被不法分子重置,并且盗窃者手里还掌握了其银行卡信息,可见其个人信息泄露比较严重。
