消费者要谨慎扫描二维码和点击不明网址
在手机逐渐取代钱包,带来方便的同时,移动支付的安全性成为了许多用户所关心的问题。有用户表示,“以前丢了手机光心疼那几千元,现在丢了手机几乎等于丢了全部家当,什么都在里面了,特麻烦。”尤其是,如今越来越多花样繁多的病毒和陷阱,一个不小心,用户的手机就会中毒,严重者还需要到售后维修中心“刷机”。这令更多的用户感到害怕,万一威胁到自己的钱怎么办?这个移动支付到底安全吗?
移动支付的安全性是相对的
一位用户表示,自己的手机里什么都有,“光银行卡就绑定了三五张”。且不说手机银行、支付宝等专门的APP,其他的购物网站、社交软件、出行软件都和银行卡绑定。现在好多APP内有购买程序,都需要绑定银行卡或者支付宝、微信等账户进行支付。在带来方便的同时也带来了潜在的隐患。“以前手机银行操作时,又要密码器又要口令卡,特别麻烦;现在第三方支付的时候,只要输入简单的6位密码即可,小额的甚至免密。方便是方便了,但也觉得一旦被人盯上,后果不堪设想。”
那么移动支付到底安全吗?360安全专家杨卿给出的答案是,“这世上没有绝对安全的系统,所以移动支付是否安全这种问题,也不会有确切的答案。只能说这个过程中厂商与用户都要为自己的安全负责,厂商要设计安全的软件体系及安全响应,用户对自己的个人信息及手机系统的健康要有自护意识。”
Apple和Samsung的Pay都没被破解
Apple Pay在国外推出这么久,还没有黑客对它成功破解。可以说,Apple Pay本身的安全性比较高。而三星智付由于推出的时间较晚,目前虽然没有黑客公开破解,但是据介绍,在接下来的黑客大赛上,已经有白帽黑客准备挑战三星智付。
Apple Pay的原理是把一张信用卡和一部手机硬件绑定。让iPhone成为这张信用卡的替身,让Touch ID ,也就是指纹识别成为信用卡密码的替身。其次,Apple Pay把用户的银行卡号经过加密转为一段代码,名为“Token”。这个Token存在专门的安全芯片上,和Touch ID是邻居。因此,Apple Pay的安全性是基于芯片的。
“iPhone的安全芯片自身是一个体系,有独立的OS和独立的存储区,所以即便获取了手机系统的控制权,也未必能介入到安全芯片之中去取数据。”杨卿表示,曾有黑客试图以木马病毒盗取他人手机上的卡号(Token),但事实发现,只要手机没有进行越狱,在苹果手机上安装“李鬼APP”就是一件几乎不可能的事情。最近几年iOS的系统版本每进行一次大的迭代,都会增加一重安全机制。
那么Samsung Pay呢?杨卿表示,目前Samsung Pay也没有安全性方面的漏洞被发现。但是Samsung Pay基于安卓系统,安卓系统目前发现的漏洞要多于iOS,因此一旦用户的手机被越狱,黑客就可能有可乘之机。但是这不能说Samsung Pay就不安全,只能说在手机被越狱或者被安装恶意程序的状态下,它的银行卡等信息泄露的可能性要高于苹果支付。不过三星对用户的安全性方面非常重视,如果出现上述小概率事件,三星会在第一时间进行修复,这对于系统和用户来说都是好事。
安卓系统APP受黑客攻击概率更大
杨卿表示,移动支付现阶段主要是微信、支付宝、Apple pay、Samsung pay这些手段。微信,支付宝是否安全取决于各自公司对于APP及后端结构的安全设计及防护,也取决于用户手机系统自身的安全与否,及用户自身信息泄露的情况,任何一点出问题都能够导致不法分子盗取用户的财产。Apple Pay,Samsung Pay也是同理。
首先从系统程序来看,木马病毒和其他恶意程序是造成手机支付安全问题的严重威胁。根据360互联网安全中心的监测,2015全年累计截获Android平台新增恶意程序样本较2014年增长了近6倍。而且从未来趋势看,移动端恶意程序增长率或大大超过PC端。与此同时,诈骗短信、手机丢失成为移动支付安全的严重威胁之一,二维码木马钓鱼诈骗和电子密码器升级诈骗等则是目前针对移动支付流行的典型网络骗术。
其次从APP角度来看,一些尚未发现的支付漏洞也是黑客下手的重点。在这个方面,基于安卓系统的APP相对iOS系统的APP,其受到黑客攻击的概率又相对大一些。因为安卓是开源系统,用户或其他黑客可以较容易修改系统权限,造成APP内的漏洞。而iOS系统较为封闭,黑客较难攻击进入。
再次从用户的角度来看,对自己信息的保护意识不够强,对一些网站的识别能力和警惕性不够,也会带来危机。
提示:用户一定要注意保护个人信息
安全专家提醒,虽然现在移动支付场景越来越多,运用越来越方便,但是用户还是要注意时刻保护自己的账户安全。具体来讲要从以下三方面注意:
从系统角度来看,不要随意Root手机,下载带有支付功能的手机APP一定要从正规渠道下载,防止“李鬼”,同时要在手机上尽快安装安全软件,定期检测手机系统安全,手机系统及APP有新版本应尽早更新,因为新的版本是在旧版本上的进一步修复和优化,相比旧的版本会更安全。
从APP角度来说,设置支付宝、微信等支付时密码尽量不用自己的生日或过于简单的密码,在这些APP内开启指纹等生物识别技术支付,关闭免密码支付,哪怕是小额,在支付时不要嫌麻烦,多一重保护就多一道安全。支付宝、微信等目前都有指纹识别、人脸识别等生物特征的验证体系,事实上已经是目前较为先进和安全的支付手段了。
从信息保护的角度来看,注意不要泄露个人信息,认真识别支付类网站,不随意打开链接和信息。比如最近流行的“带链接的短信”,不管对方声称这里有你认识的人也好,还是链接里是家里孩子的考试成绩也好,都不要轻易点开。
“目前看来,要完成一次在移动支付端的账户盗刷,仅仅依靠手机验证码而没有身份信息,还无法完成修改账号密码的操作。因此,消费者除了要谨慎扫描二维码和点击不明网址,一定要注意保护好个人信息,如个人身份信息、手机号及密码信息等。”移动支付安全专家李晓东强调,用户一定要注意保护个人信息。
文/本报记者 温婧
