移动支付安全及风险防范.docxVIP

移动支付安全及风险防范 移动支付安全及风险防范 有调查显示，目前每5位中国人中即有4人担心手机网络犯罪。手机从事活动主要包括在线阅读、访问社交网站、在线购物以及移动支付。以前大家等公交的时候，更多是在一起聊天，现在几乎90%以上的人都是拿着手机做一些娱乐或是工作，有人炒股票，有人刷微博，还有人可能做移动支付的购买，甚至还有做手机银行转帐等等。目前手机已经成为我们必不可少的工具，大家越来越依赖于手机，就像我们越来越依赖互联网一样。 目前，移动支付作为一种新兴的支付方式，其便利性使得其已成为一种潮流，但是移动支付存在的安全隐患也要引起我们的重视。不久前，在中信网络科技股份有限公司组织的“金融IC卡行业应用与移动支付高峰沙龙会”上银行卡检测中心安全技术部总经理杜磊分享了目前移动支付存在的风险，已经从技术上如何去防范。 移动支付的安全概述 “移动支付作为一种新兴的支付方式，已成为一种潮流，但是移动支付存在的安全隐患也要引起我们的重视，当然，这些安全隐患和风险未必就代表是安全问题。据安管云开放平台2021年2月的统计，出现了越来越多的手机病毒和恶意软件，例如无提示私自发送短信，窃取用户隐私资料，还 有无提示大量流量消耗等问题。” 杜磊指出说，“还有一些内置的软件在用户不知情的情况下大量吞噬着手机流量，这些都我们面临的非常现实的问题。” 各种媒体宣传都在提醒手机用户，手机不是保险箱，通讯录里不要暴露家庭信息，防止一旦手机丢了之后可能会遭到诈骗。实际上不需要手机丢，我们存储在手机上的信息可能早已被恶意软件窃取。一些问卷调查公司来电，能够直呼机主姓名和工作单位，他们是如何获得的？很可能就是手机里面的一些短信信息、文件信息以及通讯录信息被非法窃取了。例如通过短信信息了解一个人的消费习惯、工作状况以及家庭状况，为某些利益链服务。所以说手机本身它没有太多的安全防护，给我们带来很大的安全隐患。 所以，我们在移动支付里，在手机银行里，把手机作为交易工具的时候，应该默认手机是不安全的，再对整个交易流程进行安全设计和优化，才能保证移动支付以及手机银行交易的安全性。分析移动支付的交易环节，首先是通过手机的终端采集交易数据，例如借助个人支付终端做身份认证，，交易信息传输到移动运营商，再到移动支付后台，在交易的每个节点都要考虑到安全风险。做近场交易的时候会用到受理终端，终端安全和收单系统的安全性也同样要考虑，如果每一个节点的安全性都保证了，再保证整个流程和业务流程的安全性，我们说这个过程就是可控的。 杜磊回顾和分析了交易中涉及到的一些工具和对应的安全风险，以及如何防范这些风险？“移动支付关注的要点，主要是防窃取、防篡改、防重放、防伪造。尤其交易的篡改、伪造、重放是经常出现的，移动支付中也经常出现，交易报文中没有更多随机成分的时候就会出现重放以及伪造交易情况的存在。” 目前为了保障金融交易的安全性，金融行业也制定了一些相关标准。《中国金融移动支付技术标准》已经颁布，银行卡检测中心负责牵头撰写了技术保障部分的检测标准，其中结合了多年来对金融行业安全风险和经验的汇总。另外，在人民银行的组织下历时三年才完成的《网上银行信息系统安全通用规范》中也对移动支付、电子支付的安全提出了安全要求。 移动支付模型与风险分析 杜磊梳理了十几年来出现的几种移动支付方式，并分析了其中存在的风险：从2000年到2021年，先后出现SMS短信支付， IVR（语音）的交互， STK支付方式，WAP/WEB，无智能卡的客户端远程支付，后来又出现了基于智能卡的客户端远程支付，还有像“迷你付”这种个人移动支付终端配合交易认证来完成交易和防止银行卡的犯罪，及智能卡的近场支付等等。 短信支付会有转入、转出、卡号、收款人信息、金额、密码等等信息，这就存在安全风险，这种交易不仅仅有可能被窃取，而且容易被篡改、伪造。这种支付安全风险较大，因为没有经过加密，是明文进行数据交互，所有转入转出的卡号、金额等等都暴露在明文上。 这种方式虽然会采用加密算法，但是交易过程中有可能需要转加密，在转加密的环节就有可能存在安全隐患，这是我们关注的要点。而且这种交易因为在手机上完成，没有任何的额外认证介质，那么这个手机本身是能够被远程控制的，它能够被远程控制来完成一笔交易。我们对一些手机银行的移动支付做安全攻击的实验，在手机上种植木马，手机的所有短信能够被获取。同时我们看到网上银行安全防护措施的一种是动态口令发到手机里，这种机制作为网上银行来讲是可以作为比较有效的安全防护措施，但是作为手机银行或者是移动支付、远程支付来讲就大打折扣。因为这种短信是发到手机上，通过木马程序可以直接分析出短信信息，这同使用静态密码没有什么太大