據(jù)CNNIC發(fā)布的第39次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r報(bào)告》顯示,，截至2016年12月，我國網(wǎng)民規(guī)模達(dá)7.31億,，其中手機(jī)網(wǎng)民規(guī)模達(dá)6.95億,，增速連續(xù)3年超過10%。此外,，《通付盾移動安全態(tài)勢監(jiān)測報(bào)告》顯示,，截至2017年2月，全國300多個(gè)應(yīng)用市場中APP的數(shù)量達(dá)到3,701,977款,，其中手機(jī)銀行APP數(shù)量達(dá)412款,。

在移動互聯(lián)時(shí)代，移動支付的理念已經(jīng)普及到各個(gè)年齡段,。移動支付豐富了支付場景,，成為繼銀行卡、現(xiàn)金之外最常使用的支付方式,。手機(jī)作為移動支付的主要載體,，完成了大部分移動支付功能。然而,，在復(fù)雜的互聯(lián)網(wǎng)安全態(tài)勢下,，越來越多的不法分子把罪惡之手伸向了移動支付，使得移動安全態(tài)勢越來越嚴(yán)峻,。

目前市場上存在的惡意,、盜版、漏洞應(yīng)用數(shù)量一直居高不下,，對企業(yè)和個(gè)人用戶造成了極大威脅,，除此之外，無線網(wǎng)絡(luò)不安全,、移動支付應(yīng)用軟件自身漏洞,、支付認(rèn)證缺陷等方面的風(fēng)險(xiǎn)也暗藏在手機(jī)用戶進(jìn)行支付的每一個(gè)環(huán)節(jié)中，任何一個(gè)環(huán)節(jié)出現(xiàn)問題,，都有可能直接影響到用戶的支付安全,。

移動支付隱藏的安全風(fēng)險(xiǎn)

1、手機(jī)聯(lián)網(wǎng)容易接入不安全網(wǎng)絡(luò)

如今很多公共場所(如商場,、機(jī)場等)都部署了免費(fèi)無線網(wǎng)絡(luò)方便用戶使用,，然而這些網(wǎng)絡(luò)安全性并不高，很容易被不法分子劫持并監(jiān)控，更有甚者,，會設(shè)置一個(gè)與某公共WiFi熱點(diǎn)同名的免費(fèi)WiFi網(wǎng)絡(luò),，吸引用戶通過移動設(shè)備接入該網(wǎng)絡(luò)，然后通過分析軟件竊取用戶的WiFi登錄密碼,，獲取用戶個(gè)人資料、銀行賬戶,、網(wǎng)絡(luò)支付賬戶密碼,，實(shí)施資金的盜刷。有報(bào)告稱,，信息安全組織在“北上廣”三地的公共場所對6萬多個(gè)WiFi熱點(diǎn)進(jìn)行了調(diào)查,，結(jié)果顯示這其中有8.5%的WiFi熱點(diǎn)是釣魚WiFi。

2,、用戶容易被惡意軟件蒙蔽,，安裝盜版軟件

由于安卓平臺的開放性，允許第三方應(yīng)用加入,，應(yīng)用軟件很容易被盜版,。而這些盜版軟件中暗含信息竊取、流量消耗等惡意行為,，其外觀(如名稱,、圖標(biāo)、運(yùn)行界面等)與正版十分類似,，給用戶造成混淆,。如果第三方應(yīng)用中心不嚴(yán)格把控，讓惡意軟件上架,，手機(jī)用戶下載并安裝了這些惡意軟件,，很可能造成個(gè)人隱私泄露、資金損失等,。

3,、軟件自身存在安全漏洞，易被攻擊

移動支付產(chǎn)品愈便捷,，其存在的安全隱患也愈嚴(yán)重,。移動應(yīng)用在設(shè)計(jì)、開發(fā),、運(yùn)行等過程中,，由于開發(fā)人員技術(shù)水平參差不齊，很容易產(chǎn)生一些不可避免的漏洞,，這些安全漏洞一旦被不法分子利用,，就會導(dǎo)致手機(jī)軟件崩潰或者盜取用戶信息、賬號密碼，甚至造成資金損失等安全事件,。

4,、用戶登錄支付認(rèn)證方式存在缺陷

目前，大部分金融支付機(jī)構(gòu)相關(guān)業(yè)務(wù)場景(如轉(zhuǎn)賬匯款)中均采取單一因素進(jìn)行身份認(rèn)證,，無論是PIN碼認(rèn)證,、短信驗(yàn)證碼認(rèn)證、指紋認(rèn)證,、人臉識別等認(rèn)證方式,，都因?yàn)檎J(rèn)證因素過于單一，而在安全性上得不到強(qiáng)有力的保障,。

如短信驗(yàn)證碼,，這種認(rèn)證方式貌似簡單便捷，但不法分子可通過木馬病毒,、補(bǔ)卡攻擊,、克隆攻擊、無線電監(jiān)聽等諸多方式截取到用戶短信驗(yàn)證碼內(nèi)容,，進(jìn)而盜取用戶錢財(cái),、盜刷用戶銀行卡；而人臉識別作為人工智能領(lǐng)域一項(xiàng)先進(jìn)的技術(shù)創(chuàng)新,，卻也在315晚會上被爆安全性漏洞,，觸目驚心。

如何全方位保障移動支付安全

1,、各金融支付機(jī)構(gòu)對自身軟件的安全保護(hù)

“移動APP本身的安全應(yīng)當(dāng)從源頭上做好防護(hù),，上線前一定要經(jīng)過安全檢測，進(jìn)行必要的安全加固,，防止‘帶病上線’”通付盾總裁王梅對目前的移動應(yīng)用市場環(huán)境深表憂慮,，并表示在APP發(fā)布運(yùn)營后還應(yīng)當(dāng)實(shí)時(shí)監(jiān)測，及時(shí)獲知應(yīng)用威脅并做好應(yīng)對措施,。此外,，

支付機(jī)構(gòu)應(yīng)與第三方應(yīng)用商店協(xié)同，定期對移動APP進(jìn)行檢查,，確認(rèn)是否為最新版本,。

支付機(jī)構(gòu)可與安全服務(wù)廠商合作，定期進(jìn)行漏洞掃描,，發(fā)現(xiàn)問題及時(shí)修復(fù)并加固,。

移動APP在啟動運(yùn)行時(shí),，應(yīng)對用戶進(jìn)行提示,，“盡量不要連接不熟悉的公共無線網(wǎng)絡(luò)”,。

2,、各金融支付機(jī)構(gòu)應(yīng)改進(jìn)用戶登錄支付方式

目前市場上存在的身份認(rèn)證方式非常多,，比如賬號密碼,、短信驗(yàn)證,、人臉識別,、指紋識別等,。眾所周知,，其中短信驗(yàn)證碼身份認(rèn)證仍然是很多銀行和支付平臺常用的移動身份認(rèn)證方式。誠然,，短信驗(yàn)證碼具有用戶體驗(yàn)好,，便捷性好的優(yōu)勢,，但是在賬號盜用情況日益猖獗、黑產(chǎn)技術(shù)水平不斷升級的未來,，單一因素的身份認(rèn)證方式也變得較為脆弱，應(yīng)當(dāng)加以改進(jìn),。

“一個(gè)最簡單的8位密碼加驗(yàn)證碼,，只能阻擋黑客半小時(shí),。而人臉識別,、活體檢測等認(rèn)證手段只能作為輔助的身份認(rèn)證措施,?！痹谕ǜ抖芏麻L汪德嘉看來,，身份認(rèn)證安全必須通過多因子,、多緯度來保證。在實(shí)際應(yīng)用中,，更要注意區(qū)分身份識別的使用場景,，在涉及隱私,、支付等高級別安全場景使用時(shí)，將生物特征與多種因子相融合,，多個(gè)方面同時(shí)發(fā)力，從而提高安全門檻,，保障用戶安全,。

通付盾HUE多因子身份認(rèn)證解決方案通過綜合判斷時(shí)間,、空間,、設(shè)備,、行為等多重因子識別用戶身份，幫助企業(yè)客戶安全,、便捷地解決平臺用戶賬號登錄、管理授權(quán),、轉(zhuǎn)賬匯款,、支付交易,、資金提現(xiàn)等關(guān)鍵業(yè)務(wù)場景的二次身份確認(rèn)問題,，保障用戶的信息和財(cái)產(chǎn)安全。

參考文獻(xiàn)：

《手機(jī)支付環(huán)境風(fēng)險(xiǎn)探討》馮峰,、林顯忠