移动端支付的安全隐患与应对措施.ppt

移动端支付的安全危机 2016 与对策分析 1 2 3 4 背景介绍 支付优势 安全隐患 应对策略 目录 CONCENTS 01 背景介绍 移动互联网发展 移动支付的概念 移动支付也称为手机支付 就是允许用户使用其移动终端 通常是手机 对所消费的商品或服务进行账务支付的一种服务方式 单位或个人通过移动设备 互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为 从而实现移动支付功能 移动支付将终端设备 互联网 应用提供商以及金融机构相融合 为用户提供货币支付 缴费等金融业务 移动支付主要分为近场支付和远程支付两种 所谓近场支付 就是用手机刷卡的方式坐车 买东西等 很便利 远程支付是指 通过发送支付指令 如网银 电话银行 手机支付等 或借助支付工具 如通过邮寄 汇款 进行的支付方式 如掌中付推出的掌中电商 掌中充值 掌中视频等属于远程支付 目前支付标准不统一给相关的推广工作造成了很多困惑 移动支付标准的制定工作已经持续了三年多 主要是银联和中国移动两大阵营在比赛 数据研究公司IDC的报告显示 2017年全球移动支付的金额将突破1万亿美元 强大的数据意味着 今后几年全球移动支付业务将呈现持续走强趋势 常用移动支付软件 01 02 03 04 支付宝 微信支付 京东钱包 百度钱包 电子支付业务333 33亿笔 金额22 59万亿元 同比增长134 30 同比增长170 25 发展现状与趋势 2014年 02 支付优势 支付优势 定制化基于先进的移动通信技术和简易的手机操作界面 用户可定制自己的消费方式和个性化服务 账户交易更加简单方便 及时性不受时间地点的限制 信息获取更为及时 用户可随时对账户进行查询 转账或进行购物消费 移动性随身携带的移动性 消除了距离和地域的限制 结合了先进的移动通信技术的移动性 随时随地获取所需要的服务 应用 信息和娱乐 集成性以手机为载体 通过与终端读写器近距离识别进行的信息交互 运营商可以将移动通信卡 公交卡 地铁卡 银行卡等各类信息整合到以手机为平台的载体中进行集成管理 定制化 及时性 移动性 集成性 03 安全隐患 安全隐患 病毒感染 手机漏洞 诈骗电话及短信 个人信息泄露 病毒感染 银行鬼手 a expense tgpush 短信盗贼 a remote eneity 鬼面银贼 a rogue bankrobber 盗信僵尸 a expense regtaobao a 伪淘宝 a privacy leekey b 病毒感染 1 截止到2014年第一季度 第三方支付类 电商类 团购类 理财类 银行类这五大手机购物支付类APP下载量增长迅猛 2 2014年第一季度支付类软件共364款 其下载量占全部软件下载量的30 38 3 2014年第一季度截获手机病毒包数143945个 感染手机病毒用户数达到4318 81万 4 电商类APP下载量和该类别感染的病毒包数均排名第一 病毒感染 2015年第三季度 Android手机安全形势持续严峻 基于腾讯手机管家安全服务的腾讯移动安全实验室数据显示 2015年第三季度Android手机病毒包新增713 6万 相比2014年的三季度 同比增长217 2 3 2015年第三季度 Android病毒感染人次达到8032 8万人次 相比2014年第三季度 同比增长56 2 3 2015年第三季度 手机中毒最多的五大省份或直辖市依次分别是广东省 北京市 湖北 河南 江苏 感染用户占全国的比例分别为14 38 7 45 6 3 6 2 5 8 2 3 2015年第三季度 腾讯手机管家针对Android病毒查杀次数达到1 26亿次 相比2014年第三季度 同比增长51 2 3 2105年第三季度 垃圾短信新增用户举报1 69亿条 用户举报骚扰电话次数达到2 2亿 2 3 手机漏洞 Android挂马漏洞 MasterKey漏洞 风险WiFi威胁 手机漏洞 手机漏洞 MasterKey漏洞 正常情况下 每个Android应用程序都会有一个数字签名 来保证应用程序在发行过程中不被篡改 但黑客可以在不破坏正常APP程序和签名证书的情况下 向正常APP中植入恶意程序 并利用正常APP的签名证书逃避Android系统签名验证 而利用该签名漏洞的扣费木马可寄生于正常APP中 进而针对捆绑手机用户进行恶意扣费 并向用户联系人发送恶意软件下载推荐短信 在Android系统中 MasterKey漏洞是最为常见的一个 黑客们可以通过这个漏洞绕过系统认证安装手机病毒或恶意软件 进一步操控用户的Android系统及他们的设备 风险WiFi威胁 风险WiFi主要类别分为ARP中间人攻击 虚假钓鱼 DNS劫持 其中 ARP中间人攻击是主流 占风险WiFi类型比例达到61 35 另外 虚假钓鱼WiFi占比15 02 DNS劫持占比23 63 手机漏洞 Android挂马漏洞 2013年9月 在乌云漏洞平台 被曝出多款Android应用出现严重手机挂马漏洞现象 黑客通过受漏洞影响的应用或短信 聊天消息发送一个网址 只要用户点击网友发过来的挂马链接 都有可能中招 接着手机就会自动执行黑客指令 出现被安装恶意扣费软件 向好友发送欺诈短信 通讯录和短信被窃取等严重后果 国内几大知名的手机浏览器APP等都受此漏洞影响 包括手机QQ浏览器 猎豹浏览器等最新版本浏览器已经修复该漏洞 诈骗电话及短信 诈骗电话及短信 个人信息泄露 密码是16位英文数字混合的一段话 而且除了事主没有别人知道 使用的电脑手机也没有中毒 可是支付宝 微博 账号中的32万元却不翼而飞 罪魁祸首是撞库 撞库是黑客最常用的窃取个人信息的手法 近年来 大规模的个人身份泄漏已经发生多起 个人信息安全问题已经刻不容缓 04 应对策略 应对策略 政府 制定完善相关法律 严厉打击黑客及诈骗行为相关企业 提高手机和支付端的安全系数 减少漏洞 个人 提高个人安全意识 养成良好的支付习惯学习提高手机支付安全性的方法 外部环境 内部个人 国家政府 1 完善移动支付的法律法规在现有的 非金融机构支付服务管理办法 电子支付指引 第一号 电子签名法 电子银行业务管理办法 等部门规章的基础的 制定统一的 移动支付法 并完善配套的法律规章和司法解释 立法过程中 加强移动支付的安全性立法 加强相关的责任承担 明确当事人的权利和义务 明确举证责任等 2 明确监管主体 加强监管对于移动支付的支付清算 市场准入 资金安全 金融安全等负责监管 3 加强司法监督 防范洗钱风险 运营商 移动支付产业链各参与方应通过相互协作形成合力确保支付安全移动支付产业链涉及通信运营商 应用提供商 设备提供商 支付服务商 系统集成商等多个参与方 没有一家机构能主导整个产业链的格局 在运营模式 安全标准 技术方案等方面 相关各方应加强沟通协作 采取合作的态度共同致力提升移动支付的安全 在支付环节 银行 电信公司及第三方支付公司等主体应在统一的安全架构下设计安全支付流程 提升支付终端设备 加密认证 应用程序等软硬件方面的兼容性 整合安全管理体系 完善应对移动支付安全事件的协同处理机制 建立完善的举报机制 及时停用被标记为诈骗的电话与短信 同时保障业主的信息安全 防止其移动通信信息的泄露 运营商 第三方支付纷纷联手保险提供损失赔偿事实上 针对不断出现的网络盗刷 目前不少第三方支付机构针对快捷支付 手机支付和余额宝等产品一直以来都采用全额赔付 以打消消费者对网络支付和移动支付的疑虑和担忧 去年4月份 支付宝开始以保险的形式为用户提供资金保障 支付宝的资金安全由平安保险全额承保 用户发生被盗 平安保险会全额赔付 支付宝承诺赔付金额无上限 保费全部由支付宝承担 事实上 不少第三方支付企业都表示 目前无论是PC支付还是移动支付 风险最大的地方还是出在木马病毒钓鱼网站中 尤其是手机上 99 的被盗跟此相关 其余是用户被骗 而不是因为丢失手机 个人意识 1设置密码 大家在使用手机时 设置一个难破解的开机密码 为自己的支付宝 余额宝 理财通 手机银行等支付途径设立不同的密码 并进行账户绑定 这是保护手机信息安全最有效的办法 可以有效防止手机丢失和被盗带来的安全隐患 2防盗软件 一定要在手机中具有防盗能力的安全管理软件 安装后记得激活设置防盗功能 可以通过亲友号码 登陆软件账号 个人电脑等途径开启防盗功能 可以跟踪手机位置 锁定手机 响警报音 删除手机数据 当手机换卡时还可以有短信提醒 3不Root系统 Root手机系统后 手机病毒感染的可能性变大 手机支付遭受的危险增加 因此不要盲目Root手机系统 确保手机系统稳定 想更新系统时 一定正规的官方网站下载更新包 由专业人士指导操作 个人意识 4挂失手机卡 当手机丢失后 应该马上到当地营业厅挂失手机卡 并立即补办新卡 避免被其他人用于其他用途 盗刷自己的资金 立即和银行卡 支付宝 理财通等客服联系 接除绑定或冻结有关手机支付业务 防止资金被盗刷 减少自己的损失 5小心二维码 不要随便扫描生活中的二维码 小心危险就隐藏在其中 现在二维码已经成为恶意软件传播的新途径 手机扫描下载时很容易下载到恶意软件 陷入别人设计的陷阱中 危及自己手机支付的安全 6不乱安装软件 安装软件到正规的手机商店下载 下载后及时进行病毒查杀 确保下载的软件安全无毒 不要随意下载安装来源不明的软件 防止部分诈骗软件伪装成其他软件装入手机 对部分来源不明的软件要及时进行举报 以防病毒蔓延 个人意识 7尽量避免手机蓝牙处于开启状态 不少手机病毒可以通过蓝牙传播 还有不法分子可以通过蓝牙间谍软件查看你的电话本 信息 文件等重要信息 8随着WiFi的普及 走到哪里都能上网 但对免费WiFi和没有加密的WiFi一定要多加小心 轻则被黑