360发布中国移动支付安全报告 2014成移动支付元年

科学中国-中国网

3月11日消息，360互联网安全中心发布国内首个移动支付安全报告《中国移动支付安全报告》。报告显示，20##年，中国手机支付用户规模达到1.25亿，同比增长了126.0%。

相比于各大银行，支付宝在移动支付领域占有绝对优势地位。令人担忧的是，移动支付却面临着巨大的安全隐患。购物及支付类木马往往会使用一些最新的攻击技术和攻击方法，防范难度较大。这些木马还会伪装成各种不同的应用，诱骗用户下载安装。与此同时，诈骗短信、手机丢失成为移动支付安全的严重威胁之一，二维码木马钓鱼诈骗和电子密码器升级诈骗等则是目前针对移动支付流行的典型网络骗术。20##年成中国移动支付元年。

支付宝占移动支付绝对优势 建行手机银行下载最多

报告显示，在国内，与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。其中，支付宝钱包占比高达58%，是所有手机网银客户端软件下载总量（占比27%）的两倍多。此外，与支付宝相关的其他各种应用的下载量也占比8%。支付宝在移动支付领域占有绝对优势的地位。在校园、企业和公交系统中广泛使用的中国电信翼支付的下载量占比为3%，各种金融证券类应用的下载量占2%，安全支付控件的下载量占比1%。（以上数据根据360手机助手的下载量统计及相关第三方数据换算）

图一：支付及金融类手机应用下载量的详细比例分布

目前，国内外各大银行推出的网银手机客户端应用产品多达170余款。在网银手机客户端的累计下载量统计中，建行手机银行（23%）、工行手机银行（19%）、交通银行（9%）、招行银行（8%）和农行掌上银行（8%）的下载量位居前五名。

图二：手机银行下载情况分析

手机安全漏洞普遍存在 购物及支付类木马难防范

报告数据显示，使用Google原生安卓系统Nexus系列的手机漏洞是最少的。国产手机漏洞数量通常介于10到20个之间，少数国际知名品牌的某些手机型号中，检测出存在30-40个安全漏洞。根据360互联网安全中心对上述预置应用的调查结果来看，因厂商定制产生的手机安全漏洞，约占被测试手机已知漏洞总数的70%。

而在360《中国移动支付安全报告》列举的后台消息、签名漏洞、短信欺诈、后台电话、清除数据、静默安装等六类漏洞中，签名漏洞对移动支付安全性的威胁最为严重。因为黑客可以利用这个漏洞，对正常的支付工具或网银客户端进行篡改，而篡改之后，程序的数字签名不会发生改变，因此也很难被发现。

在购物及支付类木马方面，从绝对数量上看，专门针对手机网银、支付工具和网上购物设计的木马程序并不是很多。但此类木马往往会使用最新的攻击技术和方法，使得此类木马的发现和查杀难度大大增加。

数据显示，20##年360互联网安全中心共截获支付及购物类恶意程序2962个。这些恶意程序可以盗取支付帐号和密码，拦截并转发银行发来的短信，或者是直接洗劫支付账户中的资金余额。

这些恶意程序通常会以两种形式出现：一种是篡改特定官方客户端程序并植入恶意插件的篡改类木马；一种是纯粹假冒其他应用程序的假冒类木马。统计显示，在所有的支付及网购木马中， 篡改类木马占比约为26%，假冒类木马占比约为74%。

图三：手机购物及支付类恶意程序篡改或假冒对象

从恶意程序篡改或假冒的对象来看：淘宝及相关应用最多，占比约为25%；其次是安卓系统或安卓系统组件，占比约为14%；接下来是微信相关应用和网银客户端，占比分别为12%和9%。还有假冒图片和相册，假冒支付宝及相关应用，假冒金融证券软件，安全组件和京东等各种应用的木马程序也不在少数。

短信诈骗、手机丢失成移动支付安全严重威胁之一

垃圾短信中重要的一类就是诈骗短信，某些诈骗短信会诱骗用户登录钓鱼网站或下载木马程序，从而对网上购物和网上支付构成威胁。特别是20##年下半年开始流行至今的伪基站技术，使诈骗短信的危害成倍增加。

由于伪基站使用的发信号码多为银行或电信运营商的官方号码，这些号码不仅对于用户来说很具有迷惑性，而且这些号码通常也会被手机安全软件列入白名单，因此，目前市面上的绝大多数手机安全软件和号码管理软件也不能识别和拦截伪基站短信。目前，针对日益泛滥的伪基站攻击，360手机卫士已率先推出拦截功能，并可标记这些短信为“伪基站推送短信”。

据360互联网安全中心统计，20##年全年共收到用户举报垃圾短信总量约为4.46亿条，360手机卫士全年共为用户拦截各类手机垃圾短信971亿条，其中诈骗短信占据垃圾短信总量的5%，约为49亿条。

 

图四：用户举报垃圾短信类型分布

传统银行柜台办理业务时，需要“人证合一”双重查验，而手机支付仅通过姓名、卡号、身份证、手机号就可以完成。一旦手机与钱包、身份证等资料一起丢失，用户的手机支付安全就将面临巨大安全隐患。

手机支付十大安全防范建议

一、不要轻信陌生人发来的二维码信息，如果扫描二维码后打开的网站要求安装新应用程序，则需不要轻易安装。

二、遇到交易对方有明显古怪行为的，就应当提高警惕，不要轻信对方的说辞。

三、保持设置手机开机密码的习惯。在手机中安装360手机卫士等可以加密的软件，对移动支付软件增加一层密码，这样，即使有人破解了开机密码，支付软件仍可以有密码保护。登录密码和支付密码也要设置为不同。如果邮箱、社交网站（如微博、人人网、开心网等）等登录名和支付账户名一致，要保证密码不同。不要把密码保存在手机里，或者设置成生日、车牌等容易被猜到的个人信息。

四、使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。

五、“电子密码器失效”、“U盾升级”等属于不法分子常用的诈骗术语，如果收到类似短信，又无法判断真伪，应直接拨打银行的官方客服电话联系银行工作人员进行咨询，或者是到银行网点柜台办理，绝对不能通过短信中的网址登入网银。

六、出门不要将银行卡、身份证及手机放在同一个地方。如果一同丢失，他人可使用支付软件的密码找回功能更改密码，危险程度极高。

七、一旦手机突然没有信号，在排除了信号问题和手机故障后，要查询SIM卡是否被他人补办，并将支付平台内的余额转出。

八、使用360手机卫士等手机安全软件，具有盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证等多项支付安全功能，可以有效拦截最新的木马，拦截木马读取短信等行为。

九、如果手机丢失，第一时间使用360手机卫士等安全软件的防盗功能，远程删除手机里的支付数据，同时打电话给银行和第三方支付供应商冻结相关业务，找手机运营商挂失手机号码并补办。可以在电脑上登录支付宝等账号，关闭无线支付业务。微信用户可登录http://110.qq.com和微信官网http://weixin.qq.com，冻结微信账号。如果身份证、银行卡连同手机一并丢失，向公安机关和银行挂失。万一发生被盗用账户资金的情况，立刻拨打110报警。

十、由于伪基站诈骗在20##年下半年非常流行，骗子通过伪基站技术可以将发信号码伪装成银行官方客服号码。因此，即使是银行官方客服号码发来的类似短信，也不要轻信。如果收到此类短信后自己却有担忧，也一定不要直接拨打短信中留下的联系电话，而是要通过银行官方客服进行咨询。

第二篇：中国移动支付问题浅析

中国移动支付问题浅析

一、移动支付的概念

从狭义上讲，移动支付主要指利用手机进行的支付。从广义上讲，移动支付除包括手机支付外，还包括利用其他移动通信设备所进行的支付方式。综上所述，移动支付就是通过移动设备利用无线通信技术转移货币价值以清偿债权债务关系的一种支付方式。

二、当今我国移动支付的现状

近年来，移动支付产业发展迅速。特别是欧美日韩等地区，移动支付业务得到用户的广泛接受和认可。随着3G时代的来临，我国移动支付也呈现出勃勃生机，蕴含着广大的发展空间。

3G为移动支付带来了良好的发展契机和空间，电信运营商和各大金融机构纷纷在移动支付领域开疆扩土。移动支付已经成为“3G时代应时而生的宠儿”。

移动支付以手机支付为主要方式，其应用领域现在一般包括充值、缴费、小商品购买、银证业务和网上服务等。作为新兴的电子支付方式，手机支付具有不受地域时空限制、方便易行、兼容性好、支付成本低等特点，但移动支付还存在很多方面的不足。如移动支付的交易费用主要以小额支付为主，用户单次购物金额普遍较低；市场上RIFD—SIM的2.4GHz技术还不稳定，接口等外围支持也有待完善。由于SIM卡牵涉到发卡权的问题，银行方面的种种顾虑与担心也将对移动支付业务的发展带来一定的阻力等。

三、当今我国移动支付存在的问题

（一）安全问题

安全问题是影响移动支付的最普及的关键因素，安全包括很多环节，比如存储安全、传输安全、认证安全等。从目前来看，主要有三大因素对移动支付的安全问题造成影响：

1.加密问题和即时性问题。加密问题和即时性问题是手机支付普及的主要障碍，虽然WAP功能的手机支付时，能够采用移动网络的加密技术，相对而言，并不能很有效的保证安全。

2.缺乏身份识别。身份识别的缺乏是限制移动支付应用的第二大原因。当手机仅仅当作通话工具时，密码保护并不是很重要。但作为支付工具时，移动信息化提高了手机等手持终端的重要程度，设备丢失、密码被攻破、病毒发作等问题都会造成重大损失。

3.缺失信用体系。在手机支付中，一些小额支付可以捆绑在手机话费中，但手机话费透支、恶意拖欠十分常见，信用意识以及体系的不完善，也制约了移动信息化的普及、推广。

（二）服务费用高昂

服务费用过高是目前移动支付发展的一个关键壁垒，尤其是移动汇款业务。GSMA的移动货币转账的创始方之一西方联盟曾与运营商合力加速移动汇款业务的部署和开展。然而现在某些国家，其服务费高达汇款额的15%。很多用户不愿意支付如此高昂的服务费用。未来五年内，随着用户的增长和市场竞争的加强，服务费用有望下降。降低费用对于扩展市场来说是必需的。

（三）交易支付观念

交易支付时一种购买行为，在中国消费者的观念里，钱和商品的交易应该在同一时间和空间完成，因此移动支付的行为与传统购买支付行为有冲突的地方。从技术而言，中国的移动支付产业完全与发达国家同步，但在实际的应用环境上存在较大差距。在美国使用电子货币交易已占到整个消费市场的30%，而中国仅有5%的消费是通过电子货币方式完成。

（四）法律政策以及行业规范问题

我国在电子支付领域还处于起步发展阶段，在该领域也没有完善的法律体系，支付参与方的责任与分工都缺少明确的法律描述。特别是中国移动目前所采用的这种2.4G的SIM 卡手机支付方式，规模庞大的中国移动用户只需更换这么一张带有RFID的SIM卡即实现各种消费，做着类似于现金支付的操作。

目前，短信金融欺诈事件时有发生，人们对电子支付交易的安全性颇为担忧。对于移动支付，我国暂时还缺乏有力的法律和技术保障，一旦产生纠纷和侵权，很难在法律上有准确的定义和判断。

（五）运营商的态度及盈利问题

在手机支付业务推广前期，发展肯定离不开大量资金的投入；在市场运作的过程中，电信运营商需要投入更大的成本，解决推广难度大的问题以及推广过程中出现的各种麻烦；当手机支付市场趋于成熟时，如若作为这一产业的主导方电信运营商并未获得最大化的利益时，该市场将何去何从。因此，电信运营商的态度将直接决定了该产业的发展。

对于运营商而言，移动支付是一个全新领域，运营商除了能利用原有的通信网络外，其

它的很多配套设施和人员都需要重新配置，面临着巨大的启动资金压力。如果这样的巨大投入能见到相应的回报，那么运营商也会信心十足地去投资。但是，移动支付的盈利状况并不乐观。目前，移动支付产业链的利润来源都是从用户交易额中提取的1％的手续费，而争食这1％的包括运营商、平台商、方案提供商、金融机构等。在业务推广初期，微薄的收入难以弥补巨大的投资，如何控制和回收移动支付成本成为亟待解决的难题。

三、我国移动支付应对困难的防范措施

（一）解决安全问题的对策

1.采用WPKI技术方法,WPKI（Wireless PKI）是有线PKI的一种扩展，它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术，有效地建立了安全和值得信赖的无线网络通信环境。WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的，与WAP安全标准相比，WPKI所采用的ECC（Elliptic Curve Cryptography，椭圆曲线密码）密码系统更适合在无线设备中使用。

2.加强安全性要求,移动支付的安全问题是消费者、商业机构、移动运营商、银行和支付平台营运商最为关心的问题。安全问题涉及交易双方身份的真实性、信息传输的保密性和完整性、交易的不可否认性等内容。为了确保支付的安全，数字签名、电子认证和SET(Secure Electronic Transactions)标准等安全控制技术应运而生。同时这些安全控制技术也会带来新的法律问题，因此在不久将来立法时必须对有关安全控制技术做出具体的规定。

3.消费者自身加强安全防范意识,大多数消费者在移动支付中上当受骗是由于自己不小心或者贪图小便宜而受害，一些钓鱼网站或者莫名短信都容易使消费者相信，因此，运营商不仅要规范自身问题，消费者更应该提高自己的防范意识

（二）解决服务费用高的对策

1.努力获取政府的支持，充分借助政府的力量。手机支付业务贴近民生，业务覆盖范围广，涉及各行各业，行业领域内、政府内部、各协会之间的利益关系以及行业壁垒等都将影响到手机支付业务的发展。同时由于缺乏相关配套法规及政策的扶持，这项贴近民生的业务应用如果单凭运营商及厂商的力量去推动，显然比较吃力。因此政府要进行总体协调及规范，国家政府相关部门要出台更加规范、具体、可行的政策推动运营商、上下游产业协调分工，制订有效开拓、效率提升的共赢商业模式。

2.实施统一的技术标准，降低技术费用。移动支付行业要实现互利共赢，就必须在发挥

自己特色的同时，加强行业的协作，实施统一的技术标准，减少不必要的开支浪费。

（三）解决支付观念问题的对策

移动支付运营商大力推广，采取不同的营销方式。移动支付作为一项新生业务，最初的缓慢成长是移动支付的必经阶段，因此存在着支付观念问题是理所当然的。运营商可以在不同的时期推出不同的优惠政策，以吸引用户群的眼球。针对不同的消费者，采取不同的活动方式，着手于重点对象，赢取他们的好感，转变他们的观念。

（四）解决行业规范问题的对策

移动支付立法应对商业机构、移动运营商、银行、支付平台营运商和认证中心规定相应的资格，对他们的市场准入做出科学的规定。尤其是严格确定移动支付平台营运商的主体资格。同时还应加强移动运营商、银行、支付平台营运商和商家之间合理分工、密切合作，推动移动支付业务的健康发展。同时加强国际合作，建立国际统一的法律规则，开拓国际市场。

（五）解决运营商态度问题的对策

行业间的协作性制约了移动支付的发展，移动支付的发展涉及到多个行业，其价值链包括终端厂商、网络设备商、系统集成商、网络运营商、金融机构、服务提供商、客户等多个环节和行业。一方面，不同行业存在不同的网络标准、互不相容的操作系统和设备；另一方面，各环节之间的合作模式成为移动支付的另一个发展瓶颈。

四、中国移动支付产业发展趋势

（一）全面的移动支付产业联盟将形成

（二）技术标准将统一

（三）支付领域将由小额支付向大额支付领域延伸

（四）近距离支付智能卡将走向多功能、多行业通用的一卡通