隨著移動電子商務(wù)的日益發(fā)展,移動支付正在成為使用頻率最高的移動應(yīng)用之一。但作為移動電商業(yè)務(wù)的核心環(huán)節(jié),移動支付的安全問題卻越來越突出。360互聯(lián)網(wǎng)安全中心監(jiān)測數(shù)據(jù)顯示,針對智能手機的移動支付詐騙行為呈現(xiàn)出高危態(tài)勢,除了新型的移動支付詐騙手段層出不窮,各類惡意程序數(shù)量和感染量也開始快速增長。
對此,多數(shù)業(yè)內(nèi)人士表示,愈演愈烈的移動支付安全問題,除了對消費者構(gòu)成直接的危害外,對整個電子商務(wù)產(chǎn)業(yè)而言,也會造成巨大的傷害。因此,業(yè)內(nèi)廠商及機構(gòu)應(yīng)盡快建立起產(chǎn)業(yè)“大聯(lián)盟”,共同協(xié)作,一起來應(yīng)對移動支付領(lǐng)域的安全風(fēng)險。
移動支付新型詐騙迭出
360互聯(lián)網(wǎng)安全中心最新發(fā)布的《2015中國移動支付安全綠皮書》(以下簡稱“《綠皮書》”)顯示,隨著移動電商業(yè)務(wù)的發(fā)展,移動支付的應(yīng)用場景正在變得越來越廣泛。除了淘寶、支付寶等專門的移動電商應(yīng)用具備移動支付功能外,微信、微博等社交應(yīng)用也開始提供便捷的移動支付功能。但也正是隨著移動支付應(yīng)用場景的增多,使得借助微信等渠道,針對移動支付的新型詐騙層出不窮。
甘肅省酒泉市的邵先生是手機游戲“太極熊貓”的熱心玩家。2015年4月,邵先生在微信上搜索“太極熊貓”時,偶然看到一個名為“太極熊貓限量禮包”的公眾號。于是邵先生就添加關(guān)注了這個微信公眾號。
關(guān)注該公眾號后,邵先生看到一個充值兌換的優(yōu)惠活動信息,但充值只有通過微信公眾賬號進行才有效。邵先生并沒有過多的懷疑,就點擊了活動公告參加優(yōu)惠活動,并購買了968元的套餐產(chǎn)品。
可是,邵先生剛剛完成付款沒多久,就有一個自稱是客服的名為kefu568的微信號聯(lián)系了邵先生,并告訴邵先生其購買的商品出現(xiàn)了問題,資金已被凍結(jié),需要給邵先生退款。kefu568向邵先生提供了兩種解決方案,一個是再付一次款,這樣前一次的付款就會自動退回。另一種方法是等9-10個工作日后到銀行去辦理退款手續(xù)。
但邵先生認為這兩個方法都很難接受,最后kefu568給邵先生發(fā)了一個二維碼,要求邵先生用支付寶掃描一下這個二維碼就可以完成退款。邵先生掃描了這個二維碼后,賬戶中又被轉(zhuǎn)走了968元。對方稱這可能還是交易異常,請邵先生再掃一次二維碼。結(jié)果邵先生掃過二維碼后,支付寶又被扣款968元。
kefu568告訴邵先生,72小時后錢會自動退款到邵先生的網(wǎng)銀賬戶。次日,邵先生再次向kefu568詢問自己的錢什么時候能退,對方則繼續(xù)勸邵先生等待。又過了半天,邵先生發(fā)現(xiàn)kefu568已經(jīng)聯(lián)系不上了,而“太極熊貓限量禮包”的公眾賬號也找不到了,這時邵先生才知道自己上當了。
360互聯(lián)網(wǎng)安全中心介紹,上述案例是典型的“虛假微信詐騙”,和“退款詐騙”、“積分兌換詐騙”均屬于近期流行且高發(fā)的新型詐騙方式。這類詐騙方式,往往通過微信等第三方手機應(yīng)用,制造一個連環(huán)騙局。由于微信、旺旺、微博等社交應(yīng)用,本身屬于聊天工具,在正常的溝通中,對使用者的聊天內(nèi)容并不做過多限制,因此并沒有針對移動支付進行相應(yīng)的反詐騙機制,所以就給了詐騙者可乘之機。
360互聯(lián)網(wǎng)安全中心介紹說,二維碼的本質(zhì)其實是一個網(wǎng)址鏈接,但通過二維碼就可以繞過多數(shù)社交應(yīng)用的網(wǎng)址安全監(jiān)測機制;對用戶而言,通過二維碼并不能甄辨出二維碼關(guān)聯(lián)的網(wǎng)址,就有可能造成經(jīng)濟損失。
惡意應(yīng)用程序數(shù)量飆升
除了各類令人防不勝防的新型詐騙外,針對移動支付應(yīng)用的各類惡意程序數(shù)量也大幅飆升。
《綠皮書》顯示,2015年第一季度,360互聯(lián)網(wǎng)安全中心共截獲假冒或篡改各類移動支付及購物程序的惡意程序1147個,較此前監(jiān)測量明顯增長。360方面介紹,從惡意程序的制作方式上看,上述惡意程序主要分為兩大類別:一種是篡改特定官方客戶端程序并植入惡意插件的篡改類程序;一種是純粹假冒其它應(yīng)用程序的假冒類程序。在這1147個篡改惡意程序中,篡改類程序共有795個,假冒類程序共有352個。
這些惡意程序篡改的對象均是用戶使用廣泛的移動支付或移動電商應(yīng)用。在795個篡改類惡意程序的篡改對象中,農(nóng)行掌上銀行最多,占比約為28.4%;其次是美團團購,占比約為21.4%;接下來是手機淘寶和1號店,占比分別為16.9%和13.3%。在352個假冒類惡意程序的假冒對象中,大智慧占比最高,達到了20.1%;支付寶錢包和同花順排在二三位,占比分別為16.8%和14.8%。
《綠皮書》還指出,除了上述惡意程序外,針對淘寶等電商的FakeTaobao木馬同樣不容掉以輕心。早在2013年5月,360互聯(lián)網(wǎng)安全中心就監(jiān)控到了第一個FakeTaobao家族的木馬。監(jiān)測數(shù)據(jù)顯示,自2014年9月份以后,該木馬家族的樣本數(shù)量開始激增,短短半年時間里,樣本總量就已經(jīng)從3萬多個激增到接近13萬個。
搭建產(chǎn)業(yè)聯(lián)盟刻不容緩
360、阿里、騰訊等多家互聯(lián)網(wǎng)公司均向《經(jīng)濟參考報》記者表示,目前用戶面臨的移動支付安全風(fēng)險是全方位的,應(yīng)用仿冒篡改、移動應(yīng)用安全漏洞、手機病毒、釣魚詐騙、偽基站、假WiFi、安卓系統(tǒng)漏洞等都有可能成為用戶手機安全中的短板而被利用。為了應(yīng)對這些問題,上述互聯(lián)網(wǎng)廠商均作出了不同形式的努力,并嘗試建立行業(yè)聯(lián)盟,促進業(yè)內(nèi)公司以合作的形式,共同應(yīng)對移動支付安全風(fēng)險。
2014年,360發(fā)起成立中國手機反騷擾反欺詐聯(lián)盟,并聯(lián)合業(yè)內(nèi)廠商和公安機關(guān)一同預(yù)防和打擊各類移動支付詐騙行為;阿里旗下支付寶則在2014年聯(lián)合多方建立安全基金,首批投入4000萬元;騰訊也在2013年聯(lián)合廣東省公安廳、深圳市公安局反信息詐騙聯(lián)盟專線、中國互聯(lián)網(wǎng)協(xié)會、銀行協(xié)會、三大運營商等政府組織、企業(yè)共同發(fā)起國內(nèi)首個反信息詐騙聯(lián)盟。
不過,也有業(yè)內(nèi)人士表示,目前國內(nèi)的行業(yè)聯(lián)盟其實還是“小聯(lián)盟”,即圍繞主要互聯(lián)網(wǎng)廠商形成的行業(yè)聯(lián)盟。但目前針對移動支付的詐騙行為,不但手法多樣,數(shù)量也不斷增長。因此,單靠某一家小聯(lián)盟很難為用戶提供有效的移動支付安全保障。因此,建議各大廠商攜手,盡早建立由更多廠商和機構(gòu)參與的“大聯(lián)盟”,相信通過各方優(yōu)勢,能夠進一步提升移動支付的安全環(huán)境,有效防止各類欺詐事件的發(fā)生。