偷取短信、攔截驗(yàn)證碼、上傳轉(zhuǎn)發(fā)隱私數(shù)據(jù)等成為2015年上半年手機(jī)支付類病毒的典型特征。其中，靠讀取并轉(zhuǎn)發(fā)用戶手機(jī)支付類短信驗(yàn)證碼的病毒行為，再通過第三方網(wǎng)絡(luò)支付工具發(fā)起快捷支付，從而實(shí)現(xiàn)對(duì)綁定銀行卡的盜刷;或黑客把支付款項(xiàng)攔截轉(zhuǎn)入陌生賬號(hào)等問題較為頻發(fā)。

　　出門不帶錢包沒關(guān)系，只要帶手機(jī)即可。無論是逛街吃飯，還是打車加油，支付寶、微信等多種移動(dòng)支付方式都能無縫讓我們與商家對(duì)接完成交易，就連沙縣小吃、菜場(chǎng)等都能使用，真的不得不說，這種支付方式很便利，再也不用怕現(xiàn)金不夠去銀行排隊(duì)取錢，也不用怕找回的零錢中有假幣。

　　正當(dāng)我們樂呵呵地享受移動(dòng)支付帶來的便利時(shí)，一群研究網(wǎng)絡(luò)安全的專家卻在擔(dān)憂其中的隱患，因?yàn)橛胁簧佘浖《揪褪菦_著手機(jī)移動(dòng)支付去的。

　　近日，中國(guó)科學(xué)技術(shù)協(xié)會(huì)和俄羅斯科學(xué)工程學(xué)會(huì)聯(lián)合會(huì)以及浙江省科學(xué)技術(shù)協(xié)會(huì)等聯(lián)合舉辦的“2015中俄工程技術(shù)論壇”上，“網(wǎng)絡(luò)信息安全與挑戰(zhàn)”的分論壇中，專家們談到了眼下熱門的手機(jī)移動(dòng)支付安全問題。

　　近三成用戶存在移動(dòng)支付風(fēng)險(xiǎn)

　　浙江大學(xué)計(jì)算機(jī)學(xué)院教授張森是研究網(wǎng)絡(luò)信息安全的專家，同時(shí)也是杭州市信息安全協(xié)會(huì)會(huì)長(zhǎng)。在這次論壇上，他就提到，當(dāng)前中國(guó)網(wǎng)民6.5億，手機(jī)網(wǎng)民總數(shù)為5.94億，年增長(zhǎng)率19%，使用手機(jī)支付的用戶已達(dá)2.67億。其中，有近三成的用戶處在移動(dòng)支付風(fēng)險(xiǎn)環(huán)境中。

　　這是什么意思呢?原來，一切是手機(jī)支付病毒在作祟。據(jù)騰訊數(shù)據(jù)顯示，今年上半年，新增手機(jī)支付病毒29762個(gè)，感染用戶總數(shù)達(dá)到1145.4萬。

　　浙江省計(jì)算信息系統(tǒng)安全協(xié)會(huì)副會(huì)長(zhǎng)、杭州安恒信息技術(shù)有限公司總裁范淵說，支付類病毒多半與竊取隱私相關(guān)，偷取短信、攔截驗(yàn)證碼、上傳轉(zhuǎn)發(fā)隱私數(shù)據(jù)等行為是2015年上半年手機(jī)支付類病毒的典型特征。“這些移動(dòng)支付病毒可以直接威脅到用戶的財(cái)產(chǎn)安全。其中，靠讀取并轉(zhuǎn)發(fā)用戶手機(jī)支付類短信驗(yàn)證碼的病毒行為，再通過第三方網(wǎng)絡(luò)支付工具發(fā)起快捷支付，從而實(shí)現(xiàn)對(duì)綁定銀行卡的盜刷;或黑客把支付款項(xiàng)攔截轉(zhuǎn)入陌生賬號(hào)等問題較為頻發(fā)。”

　　支付寶風(fēng)控技術(shù)安全方面負(fù)責(zé)人張道生表示，支付寶作為目前最大的第三方支付平臺(tái)，平均每天要攔截上萬次黑客攻擊，屏蔽了全球近一半的電商釣魚網(wǎng)站。

　　或許你會(huì)說，不怕，手機(jī)里安裝了殺毒軟件。事實(shí)上，這些病毒是殺毒軟件發(fā)現(xiàn)不了的。范淵說，支付類病毒最大特征表現(xiàn)為靜默發(fā)送短信，靜默刪除短信、隱藏圖標(biāo)或靜默刪除并轉(zhuǎn)發(fā)短信。“作為普通用戶來說，是很難察覺到手機(jī)被植入木馬病毒或被黑客攻擊的，并且殺毒軟件也無法掃描得知。但還是有些異常可以發(fā)現(xiàn)的，如手機(jī)出現(xiàn)運(yùn)行速度突然長(zhǎng)時(shí)間變慢、突然無故黑屏、某些軟件自動(dòng)被打開、賬號(hào)泄露或其他一些不正常的現(xiàn)象，可能就是中毒了。如果真的感覺手機(jī)被木馬侵入，這時(shí)，最好求助專業(yè)人員進(jìn)行檢測(cè)。”

　　愛玩社交和游戲的手機(jī)病毒多

　　手機(jī)上的病毒哪里來?范淵的公司本來是做大數(shù)據(jù)的安全監(jiān)管，后來發(fā)現(xiàn)手機(jī)支付的問題，又成立了團(tuán)隊(duì)做手機(jī)安全監(jiān)測(cè)。從他們的分析情況來看，導(dǎo)致這些病毒對(duì)移動(dòng)支付產(chǎn)生危險(xiǎn)問題發(fā)生的原因有兩方面：一方面是支付平臺(tái)自身存在漏洞易導(dǎo)致支付風(fēng)險(xiǎn);另一方面是手機(jī)或手機(jī)上的社交軟件感染木馬，威脅到支付軟件的安全，帶來支付風(fēng)險(xiǎn)。

　　他公布了一則最近的數(shù)據(jù)：受政府部門委托，針對(duì)某省的互聯(lián)網(wǎng)金融網(wǎng)站抽樣了100個(gè)進(jìn)行了深入檢測(cè)，發(fā)現(xiàn)其中有71個(gè)網(wǎng)站存在高危漏洞，33%的網(wǎng)站發(fā)現(xiàn)跨站腳本漏洞，6%的網(wǎng)站發(fā)現(xiàn)邏輯漏洞，7%的網(wǎng)站發(fā)現(xiàn)密碼重置漏洞，4%的網(wǎng)站存在弱口令，7%的網(wǎng)站發(fā)現(xiàn)密碼重置漏洞，4%的網(wǎng)站存在弱口令，8%的網(wǎng)站發(fā)現(xiàn)高危敏感信息泄露。

　　這些網(wǎng)絡(luò)漏洞，會(huì)直接影響平臺(tái)移動(dòng)支付端的安全。“跨站腳本漏洞、網(wǎng)站邏輯漏洞、密碼重置漏洞、弱口令、敏感信息泄露等，都可以直接導(dǎo)致黑客攻擊破解用戶賬號(hào)密碼，攔截支付或盜取用戶錢財(cái);更嚴(yán)重的會(huì)使黑客攻擊造成整個(gè)網(wǎng)站平臺(tái)癱瘓，導(dǎo)致整個(gè)網(wǎng)站的資金受到威脅。”范淵解釋說。

　　除此之外，手機(jī)社交軟件或游戲軟件，是病毒易感區(qū)，黑客可以利用對(duì)手機(jī)的攻擊或是對(duì)手機(jī)社交、游戲軟件的木馬植入，控制支付軟件，靠讀取并轉(zhuǎn)發(fā)用戶手機(jī)支付類短信驗(yàn)證碼，盜取用戶銀行卡客戶端或支付賬號(hào)內(nèi)錢財(cái)。

　　螞蟻金服高級(jí)安全策略專家馮力國(guó)表示，到目前為止，他們碰到的用戶反映支付安全出了問題，基本上是用戶被騙，或是手機(jī)設(shè)備遭到病毒攻擊被植入木馬所導(dǎo)致。張道生表示，他們有專門的團(tuán)隊(duì)在做安全監(jiān)管。2014年支付寶發(fā)出1.28億條異地登錄安全報(bào)警提醒，146萬條欺詐風(fēng)險(xiǎn)提醒都是在交易時(shí)發(fā)出的。“在用戶進(jìn)行交易的時(shí)候，平臺(tái)也會(huì)像一個(gè)房子一樣，根據(jù)用戶的習(xí)慣進(jìn)行監(jiān)控。平臺(tái)的風(fēng)控監(jiān)管，就像一個(gè)智能的大腦，如果非本人操作找回密碼，會(huì)根據(jù)賬號(hào)的登錄習(xí)慣、時(shí)間、消費(fèi)習(xí)慣、地點(diǎn)、網(wǎng)絡(luò)環(huán)境、打字速度等，進(jìn)行監(jiān)控排查。”

　　不能用兩個(gè)手機(jī)就別“手賤”

　　“由于黑客攻擊，每天都有大量的資金損失案件發(fā)生，這些資金大都是發(fā)生在支付過程中，被黑客攔截轉(zhuǎn)入陌生賬號(hào)的。如果數(shù)額不是很大，一般情況下很難追回。”張森教授透露，哪怕追究責(zé)任，一般也會(huì)按責(zé)任來承擔(dān)。比如說，支付平臺(tái)自身存在漏洞，由平臺(tái)方承擔(dān)責(zé)任，而用戶手機(jī)在安裝社交軟件或游戲軟件中感染木馬威脅到支付軟件安全，損失則由用戶方負(fù)責(zé)。

　　在范淵看來，手機(jī)用戶想降低移動(dòng)支付風(fēng)險(xiǎn)性，最便捷的方法就是平時(shí)使用兩個(gè)手機(jī)。一個(gè)手機(jī)安裝移動(dòng)支付軟件，另一個(gè)手機(jī)安裝游戲和社交軟件。“這樣的方法比較極端，但是卻可以避免木馬軟件利用社交軟件漏洞，攻擊移動(dòng)支付軟件。”

　　不過，論壇上也有安全專家建議，用戶最好給支付賬戶設(shè)置單獨(dú)的、高安全級(jí)別的密碼、給手機(jī)支付設(shè)置手勢(shì)密碼;不越獄、不給手機(jī)亂裝軟件;支付應(yīng)用實(shí)名認(rèn)證;謹(jǐn)慎保管個(gè)人的身份證、銀行卡、手機(jī)驗(yàn)證碼等隱私信息;不點(diǎn)擊不明鏈接，不安裝不明軟件;丟失手機(jī)后應(yīng)進(jìn)行掛失服務(wù)……

　　這些“秘訣”全是老生常談的內(nèi)容，可是卻常常因?yàn)椤笆仲v”而被遺忘。當(dāng)然，你可以花點(diǎn)錢購(gòu)買一些專門針對(duì)手機(jī)支付病毒的軟件。據(jù)了解，這個(gè)市場(chǎng)被國(guó)內(nèi)外多個(gè)網(wǎng)絡(luò)安全信息技術(shù)公司看中。據(jù)悉，目前已經(jīng)有公司研制出一款對(duì)于木馬病毒的植入防護(hù)軟件產(chǎn)品，通過對(duì)手機(jī)內(nèi)部軟件進(jìn)行打包計(jì)算，適時(shí)觀測(cè)手機(jī)異常情況。但是不是有用，還有待市場(chǎng)驗(yàn)證。

　　不過，有個(gè)腦洞大開的設(shè)想，倒是可以作為一針安慰劑。馮國(guó)力透露，目前行業(yè)的趨勢(shì)是逐步把精力放在后臺(tái)安全，通過生物識(shí)別和大數(shù)據(jù)的方式來設(shè)置一把“鎖”，它知道開鎖的是不是主人。“這是包括螞蟻金服在內(nèi)的不少互聯(lián)網(wǎng)公司努力的方向。”