【同期 】 網(wǎng)絡(luò)安全工程師 張浩然
我現(xiàn)在把你這個(gè)手機(jī)號(hào)給定義為12300了���,我現(xiàn)在手里的這個(gè)手機(jī)定義的是95588,然后現(xiàn)在我給你撥一個(gè)電話我們看一下是什么顯示�,看 其實(shí)是我給你打電話,但你那顯示的是95588�����。一般的如果要是你比較熟悉這個(gè)官方的號(hào)碼你會(huì)比較信任����,如果你要沒有看出來這個(gè)內(nèi)容有一些蹊蹺或者你沒跟它客服確認(rèn)的話�,就很容易中招�����。
【演播室】
無論是通過惡意的二維碼掃描�����,還是通過偽基站發(fā)送假冒銀行客服短信��,不法分子的目的都是誘騙用戶安裝木馬程序���,從而控制你的手機(jī)、獲取你的信息�����,進(jìn)而盜取你網(wǎng)絡(luò)支付賬戶當(dāng)中的錢財(cái)?���,F(xiàn)在啊,智能手機(jī)也在不斷普及�����,移動(dòng)支付憑借快捷和便利的優(yōu)點(diǎn),受到越來越多用戶的青睞����,但是在調(diào)查中記者卻發(fā)現(xiàn),這種新興的移動(dòng)支付也同樣面臨著安全隱患��。
【正文】
無論從余小姐離奇的經(jīng)歷���,還是記者調(diào)查中發(fā)現(xiàn)的惡意二維碼和偽基站誘騙用戶上當(dāng)?shù)倪^程��,我們都不難發(fā)現(xiàn)����,不法分子費(fèi)盡心機(jī)��,最終的目的就是為了誘使用戶在手機(jī)上安裝木馬程序�,從而截獲得用戶手機(jī)所接收的和支付相關(guān)的驗(yàn)證短信。現(xiàn)實(shí)支付過程中�,驗(yàn)證短信就相當(dāng)于一把開啟移動(dòng)支付的“安全鑰匙”,有了它��,綁定銀行卡��、修改密碼、確認(rèn)支付等等繁瑣的流程都可以通過一個(gè)帶有驗(yàn)證碼的短信輕松得以實(shí)現(xiàn)����,但是,這把“安全鑰匙”的防范功能真的有那么強(qiáng)大嗎���?在調(diào)查中,記者和專家發(fā)現(xiàn)��,一些平時(shí)常用的應(yīng)用軟件就存在著將驗(yàn)證短信這把“安全鑰匙”泄露的風(fēng)險(xiǎn)����。
【同期】移動(dòng)支付安全專家 李曉東
這個(gè)程序可能是你實(shí)際安裝的一個(gè)游戲,或者是任何一個(gè)應(yīng)用軟件����,這些應(yīng)用軟件呢,它可能提取你的短信信息��,你的聯(lián)系人信息�,等等這些信息,但是呢這些信息的隱私呢��,你并不知道它提取到什么程度����,意味著什么 比方說我們往另一部手機(jī)發(fā)一個(gè)支付確認(rèn)密碼����,好�����,發(fā)出去了�����,這部手機(jī)呢收到新的短信了�,收到這個(gè)支付短信了,好��,我的支付密碼是123456���,那這是在我手機(jī)里面收到的這個(gè)短信信息���,那我回到我的應(yīng)用,這個(gè)演示的應(yīng)用程序里邊�,那這個(gè)短信呢我激活,那么顯示的我的這個(gè)支付密碼是123456����,也就是說我的這個(gè)應(yīng)用是可以抓到你所有的這個(gè)支付短信����,我是知道你的支付密碼的���。
【正文】
專家告訴記者����,只要手機(jī)安全軟件提示有讀取用戶隱私行為的各種應(yīng)用軟件���,理論上都能看到手機(jī)上的短信、聯(lián)系人等重要的隱私信息��,只不過看這些軟件的開發(fā)商用不用于非法用途罷了����。專業(yè)人員指出,這種提示在大多數(shù)的應(yīng)用軟件安裝時(shí)����,手機(jī)安全防護(hù)軟件都會(huì)有提醒,只不過幾乎沒有用戶會(huì)在意�����。而從目前的手機(jī)支付軟件本身來說也存在一定的安全漏洞。
【同期】移動(dòng)支付安全專家 李曉東
目前呢我認(rèn)為主要的這個(gè)安全隱患有兩個(gè)方面��,第一方面 是手機(jī)本身是不安全的���,很多用戶對(duì)手機(jī)的不安全是未知的��,很多這個(gè)風(fēng)險(xiǎn)是他不知道的�,第二個(gè)方面��,是本身在支付流程上不完善��,我們現(xiàn)有的流程僅靠短信碼完成跟自己的卡綁定�����,來完成金融產(chǎn)品的購買��,那這個(gè)我認(rèn)為是一個(gè)比較大的漏洞
【正文】
雖然目前看來����,要完成一次在移動(dòng)支付端的賬戶盜刷,僅僅依靠手機(jī)驗(yàn)證碼還不夠���,其他如身份信息���、手機(jī)信息等需要同時(shí)被掌握才能成功實(shí)施��,但這些重要信息的獲得也并非難事���,因此,手機(jī)短信驗(yàn)證碼盡管有其安全認(rèn)證的作用���,并且簡單�����、方便����、快捷�����,但它容易被竊取的漏洞也不容忽視�。
事實(shí)上��,移動(dòng)支付能得以實(shí)現(xiàn),主要是在用戶�����、第三方支付平臺(tái)和銀行之間形成了一個(gè)的通路����,在這個(gè)通路的三個(gè)主要方面中,銀行和第三方支付平臺(tái)之間由于是通過銀行特許的專線接口來進(jìn)行連接的�����,外界基本上是沒有辦法侵入��,但在第三方支付平臺(tái)和用戶之間的認(rèn)證���,則一般通過身份認(rèn)證��、密碼認(rèn)證和短信認(rèn)證以及預(yù)設(shè)問題認(rèn)證等方式進(jìn)行付款的安全認(rèn)證���,一旦這些認(rèn)證被層層突破,用戶的資金安全將受到極大威脅���。而在目前��,如果要將PC機(jī)用來保證網(wǎng)銀支付安全的數(shù)字證書這項(xiàng)成熟技術(shù)移植到手機(jī)端��,同時(shí)還要繼續(xù)保留移動(dòng)支付簡單�����、方便的特性�,在技術(shù)層面上還沒有新突破。因此����,相關(guān)專業(yè)人士呼吁,作為第三方支付平臺(tái)��,需要加強(qiáng)對(duì)異常支付行為的監(jiān)控�。
【同期】手機(jī)安全專家 萬仁國
這個(gè)可能就需要企業(yè)自身去分析這些數(shù)據(jù),到底那些是異常哪些不是異常的����,就是既不影響用戶的使用��,又能保證這個(gè)用戶的安全�,用戶的信息除了說這個(gè)網(wǎng)站加強(qiáng)安全性以外呢,其實(shí)我們目前國家也在法律層面在加強(qiáng)���,就是說禁止販賣個(gè)人的信息��,那么在公司呢�����,或者說某些這個(gè)機(jī)構(gòu)里面�,也要加強(qiáng)用戶資料的這么一個(gè)保管,防止說內(nèi)部人員利用手中的職權(quán)�,將這個(gè)信息給販賣出去。
【正文】
與此同時(shí)���,專家還呼吁廣大用戶�����,在享受移動(dòng)支付帶來便利的同時(shí)����,不要忽略其本身存在安全漏洞����,一方面,需要嚴(yán)防重要的身份信息被盜竊或者是泄露,另一方面����,也盡量只在將移動(dòng)支付應(yīng)用于小額支付,避免大額資金被盜取���。
【同期】移動(dòng)支付安全專家 李曉東
如果進(jìn)行大額的這個(gè)轉(zhuǎn)帳���,支付,最好還是在PC端來完成�����,而且在利用這個(gè)PC端�����,盡量利用跟銀行類似�,或者這些專業(yè)機(jī)構(gòu)類似的這個(gè)支付的解決方案,來完成這個(gè)轉(zhuǎn)賬和支付����。 在目前的情況,目前盡量只維持在小額支付�,而且呢最好是少捆綁自己的這個(gè)銀行卡���。
【演播室】
現(xiàn)在有不少黑客專門針對(duì)網(wǎng)絡(luò)支付和移動(dòng)支付的特點(diǎn)��,不斷推出新的盜取用戶信息和錢財(cái)?shù)木W(wǎng)絡(luò)工具�����。面對(duì)這樣的現(xiàn)狀���,專家一方面提醒消費(fèi)者��,在使用網(wǎng)絡(luò)支付和移動(dòng)支付工具的時(shí)候應(yīng)該更加謹(jǐn)慎��,加強(qiáng)防范才能降低風(fēng)險(xiǎn)����,而另一方面網(wǎng)絡(luò)支付平臺(tái)和移動(dòng)支付工具�,也應(yīng)該把防范不法分子的攻擊,保護(hù)好用戶的資金安全放在更為重要的位置來考慮����,提升自身的安全等級(jí),給消費(fèi)者營造一個(gè)更為安全的網(wǎng)絡(luò)交易空間�。好�,感謝收看《每周質(zhì)量報(bào)告》��,下周同一時(shí)間再見����。
