2013年移動支付的金額已經(jīng)超過了1萬億元,比上一年增長了556.75%。正是因為有了如此驚人的發(fā)展. . .
【演播室】
共同打造高質(zhì)量的生活,歡迎收看《每周質(zhì)量報告》。就在不久前,有機構(gòu)發(fā)布了這樣一組統(tǒng)計數(shù)據(jù),2013年我國的第三方支付市場規(guī)模達到16萬億元,其中互聯(lián)網(wǎng)支付的總計金額已經(jīng)接近9萬億元,比上一年增加了30.04%;而隨著移動互聯(lián)網(wǎng)的不斷普及,移動支付的增加更加迅速,2013年移動支付的金額已經(jīng)超過了1萬億元,比上一年增長了556.75%。正是因為有了如此驚人的發(fā)展速度,網(wǎng)絡支付和移動支付的安全問題就更加值得我們關(guān)注了,而在調(diào)查當中我們發(fā)現(xiàn),現(xiàn)在網(wǎng)絡支付和移動支付的安全性還真是沒有辦法讓消費者完全放心。
【正文】
近一段時間,記者接連收到手機用戶爆料,其銀行卡存款突然不翼而飛。一名福建用戶稱,銀行卡被人從網(wǎng)上利用支付寶、網(wǎng)易寶等第三方支付方式盜刷了6筆2000元錢。
【同期】電話采訪福建泉州手機用戶
記者:具體什么時間錢被盜走的?
就是4月15號10點。
【正文】
無獨有偶,江蘇省揚州市警方向記者披露的一起銀行卡盜刷案,當事人銀行卡被盜刷6萬多元。
【同期】江蘇省揚州市公安局廣陵分局杭集派出所教導員朱凱
1月25號到26號期間,他的一張農(nóng)業(yè)銀行的銀行卡,被通過這些網(wǎng)上支付平臺,被不明身份的人,多次盜刷,總值人民幣是6萬余元。
【正文】
警方介紹,蹊蹺的是,在銀行卡被盜刷之前,當事人的銀行卡以及保障網(wǎng)銀安全的U盾、密碼等都沒有丟失過,更為奇怪的問題是,在整個盜刷過程中,當事人和銀行卡綁定的手機也沒有顯示出賬戶變化的提醒短信,直到當事人自己刷卡消費的時候,才發(fā)現(xiàn)銀行卡被盜刷了。
警方調(diào)查發(fā)現(xiàn),被盜刷的6萬多元錢,大多用于充話費、購買游戲點卡等網(wǎng)絡消費。
按照支付寶等第三方支付平臺現(xiàn)有的安全防范措施,只有同時掌握賬號、登錄密碼、支付密碼以及短信驗證碼這四道安全防護密匙,才有可能從網(wǎng)上通過第三方支付平臺刷卡轉(zhuǎn)賬。而且,每筆刷卡消費或轉(zhuǎn)賬,銀行也都會給定制了短信提示服務功能的用戶手機,下發(fā)賬戶變動提示短信。
那么,到底是誰悄無聲息地盜刷了別人的銀行卡呢?
北京的一家專門從事網(wǎng)絡安全研究的獨立第三方機構(gòu),對近年來銀行卡被通過支付寶盜刷的新聞報道,進行統(tǒng)計分析后發(fā)現(xiàn),部分案例中,因為用戶個人不慎,泄露了隱私信息,比如被人用復制身份證補辦了手機卡,最終導致銀行卡被盜刷。而另外相當一部分的案例,則都是用戶被動地因為網(wǎng)絡不安全的原因,導致銀行卡資金被盜。
【同期】網(wǎng)絡安全專家 萬濤
被動的行為,就是說你就去上一個Wifi,你只是去咖啡館喝杯東西,在那兒辦辦公,正常去使用,你就中了招,你訪問的都是正常的網(wǎng)站,開的都是正常的app,在這種情況下你的手機被控制。
【正文】
智能手機主要有蘋果ios系統(tǒng)和安卓系統(tǒng),目前,由于安卓操作系統(tǒng)的開放性,一旦暴露出安全漏統(tǒng),對用戶信息安全危害也就更大。那么,這種手機操作系統(tǒng)是否存在安全漏洞,不法分子又是否能夠利用這些漏洞入侵用戶手機,隱秘地通過支付寶等第三方支付平臺盜刷用戶銀行卡呢?
專家經(jīng)過仔細研究后發(fā)現(xiàn),一些智能手機,目前的確存在系統(tǒng)安全漏洞,足以對用戶手機安全構(gòu)成嚴重威脅。
諸葛建偉:清華大學副研究員、國家重大專項課題之《Linux/Android操作系統(tǒng)安全漏洞檢測》研究小組負責人。
【同期】手機安全專家諸葛建偉
那我們現(xiàn)在已經(jīng)拿到用戶的這款小米2手機,通過我們的技術(shù)分析,我們發(fā)現(xiàn)其中存在比較多的安全漏洞。
【正文】
專業(yè)技術(shù)人員向記者再現(xiàn)了利用這種手機操作系統(tǒng)安全漏洞,對手機發(fā)起攻擊,隱秘盜刷用戶銀行卡的完整過程。
【同期】手機安全專家諸葛建偉
攻擊者會設(shè)置一個公共的釣魚wifi,通過去配置這樣的一款無線路由器,去把它作為用戶手機上網(wǎng)的,中間人攻擊的一個節(jié)點。那如果用戶為了省流量,用他的手機連入到這樣的一個公共Wifi里,用戶的上網(wǎng)流量就會被劫持到攻擊者指定的一個筆記本電腦或者是PC上。
【正文】
專家介紹說,一旦手機用戶的上網(wǎng)數(shù)據(jù)流被攻擊者劫持,用戶點開的任何一個網(wǎng)頁,實際上都可能被攻擊者暗地里插入了惡意攻擊程序,它會利用手機瀏覽器的安全漏洞,接著在用戶手機中自動植入新的木馬程序。而這種木馬程序又會進一步利用手機操作系統(tǒng)內(nèi)核中存在的ROOT提權(quán)漏洞,這種漏洞會被用來獲取原本屬于系統(tǒng)自身才能擁有的最高權(quán)限,這就意味著攻擊者由此獲得了手機的完全控制權(quán)。
【同期】手機安全專家諸葛建偉
也就是說,他可以去讀取手機里面存儲的所有的用戶的一個隱私信息,以及可以去控制手機上所安裝的任何的一個應用(程序)。
【正文】
記者注意到,當用戶在手機上輸入支付寶賬號和密碼的時候,這些極其重要的賬戶認證信息幾乎同時暴露在攻擊者的電腦屏幕上。
按照支付寶的流程設(shè)計,單筆付款金額達到200元,必須經(jīng)過短信驗證碼確認后,才能完成支付操作。然而,專家分析發(fā)現(xiàn),攻擊者獲得手機完全控制權(quán)后,短信驗證碼的安全防范作用也就相當于形同虛設(shè)。
【同期】手機安全專家諸葛建偉
同時他還可以利用手機上的木馬程序,對支付寶發(fā)給用戶手機的一個驗證碼來進行攔截。
【正文】
記者看到,當技術(shù)人員使用剛剛獲得的支付寶賬號和密碼發(fā)起了轉(zhuǎn)賬555元的操作后,支付寶平臺原本下發(fā)給用戶手機的短信驗證碼,在用戶手機屏幕上并沒有出現(xiàn),反而出現(xiàn)在了攻擊者的電腦屏幕上。技術(shù)人員輸入這個驗證碼之后,用戶支付寶賬號中的余額555元錢立即被轉(zhuǎn)走了,此外,賬戶變動的短信提示也被屏蔽,用戶手機屏幕上沒有出現(xiàn)任何提示信息。
【同期】手機安全專家諸葛建偉
這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下,偷偷地把你的錢轉(zhuǎn)走。
【正文】
專家警示,這種利用手機操作系統(tǒng)安全漏洞,來攻擊用戶手機、通過支付寶等第三方支付平臺盜刷銀行卡的技術(shù)并不高深,一般的網(wǎng)絡攻擊者,只要跟蹤到一些已公開的安全漏洞,或者通過地下產(chǎn)業(yè)鏈購買到相關(guān)的攻擊程序和木馬程序,便可以完成對支付寶賬號的攻擊,盜走用戶銀行卡資金。
研究人員接下來還擴大了研究范圍,結(jié)果發(fā)現(xiàn)市場上的幾款手機都存在同類安全漏洞。
【同期】手機安全專家諸葛建偉
除小米2 機型外,像三星的Galaxy S4、谷歌的Nexus4以及華為、聯(lián)想的(品牌的)一些機型,也都同樣存在著這樣的ROOT提權(quán)安全漏洞,也就是能夠讓攻擊者獲取手機最高權(quán)限的一個漏洞。
【正文】
記者注意到,專家分析測試存在系統(tǒng)安全漏洞的這些手機,分別安裝了市場主流的幾款手機安全軟件,然而,當專業(yè)技術(shù)人員利用這種系統(tǒng)安全漏洞進行支付寶轉(zhuǎn)賬攻擊測試時,這些安全軟件似乎并沒有表現(xiàn)出安全防護作用。
【同期】手機安全專家諸葛建偉
這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權(quán)漏洞,進行進一步的攻擊,完全屏蔽掉360手機衛(wèi)士的運行,從而讓它失效,我們還進一步分析發(fā)現(xiàn),這種攻擊模式,對像騰訊手機管家這樣的一些市場上主流的手機安全軟件同樣有效,同樣可以讓它們失去保護手機的效果。
【正文】
專家進一步分析測試后還發(fā)現(xiàn),這種安卓系統(tǒng)安全漏洞,使攻擊者不但可以隱蔽地從網(wǎng)上通過支付寶等第三方支付平臺,盜刷銀行卡,而且還可以在達成攻擊目的后,完全擦除攻擊痕跡,相當于可以來無影、去無蹤地盜刷用戶銀行卡。
【同期】手機安全專家諸葛建偉
他在進行一個惡意轉(zhuǎn)賬之后,他可以徹底地把木馬程序和所有的一些日志都進行一個擦除。這樣的話,即使你進行了一個報案,你把這個手機交給了警方,警方(目前)也沒有任何的辦法通過舉證分析去找到攻擊者的一個線索。
【主持人】
【正文】
手機操作系統(tǒng)是手機所有應用程序運行的基礎(chǔ),相當于手機的大腦。網(wǎng)絡安全國家權(quán)威研究機構(gòu)的專家向記者透露,安卓操作系統(tǒng)安全漏洞的客觀存在,給攻擊手機打開了方便之門,使支付寶等移動支付應用面臨嚴重的安全威脅。
【同期】網(wǎng)絡安全應急技術(shù)國家工程實驗室主任杜躍進博士
移動支付是有一整套的方法來保證你的安全,但是一個安全的環(huán)境如果都沒有的話,就讓你的各種各樣的安全保障都受到很嚴重的威脅了。
【正文】
記者了解到,手機操作系統(tǒng)的構(gòu)建和完善無法一勞永逸,時時都存在防御與攻擊的博弈。但專家指出對系統(tǒng)安全漏洞及時修補,提升安全等級,是手機操作系統(tǒng)廠商無法推卸的責任。
中國人民銀行《非金融機構(gòu)支付服務管理辦法》第三十二條規(guī)定:支付機構(gòu)應當具備必要的技術(shù)手段,確保支付業(yè)務的安全性。也就是說,支付寶等第三方支付廠商無法回避其確保應用軟件安全的義務和責任。而中國人民銀行《非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測認證管理規(guī)定》和《非金融機構(gòu)支付服務業(yè)務系統(tǒng)技術(shù)標準符合性和安全性檢測規(guī)范——網(wǎng)絡支付部分》,明確要求對用戶輸入的賬戶和密碼等“客戶端鑒別信息安全”進行檢測,如果發(fā)現(xiàn)其存在賬戶名稱、密碼等敏感數(shù)據(jù)的泄露,就將被劃定為存在嚴重性問題,這樣,該第三方支付平臺的整個業(yè)務系統(tǒng)的檢測結(jié)果就將被判定為“不符合”規(guī)范。
【同期】網(wǎng)絡安全應急技術(shù)國家工程實驗室主任杜躍進博士
這個就好像是我是一家傳統(tǒng)的銀行,我給你提供銀行服務,我允許你用我提供給你的工具來做銀行的業(yè)務操作,結(jié)果我給你提供的工具出問題了。出問題是被別人利用,然后損害到你的利益了,從經(jīng)營方這個的角度自己來說確實是有責任的。
【正文】
專家研究分析和測試后發(fā)現(xiàn),攻擊者之所以能獲取手機用戶的支付寶賬號和密碼等重要的認證信息,恰恰就是因為他能夠?qū)χЦ秾殤贸绦蜻M行插樁,植入惡意程序片段,對用戶輸入進行監(jiān)控。
【同期】手機安全專家諸葛建偉
支付寶應用由于缺乏一些對抗逆向分析的機制,以及并沒有對修改后的支付寶應用進行一個驗證,就使得被修改后的支付寶應用還可以像原來一樣去連接服務器,來完成登錄和轉(zhuǎn)賬的操作。
【正文】
記者隨后就支付寶應用程序被插樁惡意程序片段的安全防范問題,對支付寶方面進行了電話采訪。
【同期】支付寶 018號客服
記者:你們能不能發(fā)現(xiàn),發(fā)現(xiàn)用戶手機里的支付寶軟件被人做了手腳?
客服:可以的。你剛剛不是把賬號告訴我,我在這邊查詢到了的嘛。
記者:那就只有用戶告訴你了,才能發(fā)現(xiàn),是嗎?
對啊。
記者:那你們?yōu)槭裁床荒苤鲃尤ヌ崾居脩裟?
我們是神仙啊!
【正文】
在復雜多變的網(wǎng)絡環(huán)境下,支付寶等第三方支付平臺安全事件發(fā)生概率并不低。據(jù)2011年中國人民銀行公布的數(shù)據(jù)顯示,我國網(wǎng)銀安全事件的發(fā)生概率僅為百萬分之一,然而,截至目前,支付寶聲稱其風險概率為十萬分之一。
【同期】支付寶公司技術(shù)人員
風險發(fā)生率應該在十萬分之一左右,那這個過程中,我們沒辦法去擔保百分之一百、所有用戶的支付寶全部是安全的。
【正文】
記者調(diào)查發(fā)現(xiàn),用戶銀行卡被通過支付寶等第三方支付平臺盜刷后,除了向支付寶等第三方支付平臺索賠外,只有等到警方破案后追索贓款來挽回損失。公開報道顯示,向第三方支付平臺索賠,受害者很難個個如償所愿,有用戶支付寶被盜5萬元,但支付寶拒絕賠償;而記者從警方了解到,即便銀行卡盜刷案順利告破,受害者要想拿回被盜的資金,也不是件簡單的事情。
【同期】江蘇省揚州市杭集派出所教導員
等犯罪嫌疑人到案以后,隨后我們根據(jù)相關(guān)的法律法規(guī)規(guī)定,跟著這個案件一起到檢察院、法院,提起公訴以后,才會附帶民事賠償。
【正文】
警方透露,隨著移動互聯(lián)網(wǎng)普及,涉及移動支付等方面的網(wǎng)絡安全問題越來越突出。要降低移動支付給用戶帶來的安全威脅,避免用戶損失,除強化應用軟件等廠商的安全責任和義務外,采取事先防范措施已刻不容緩。
專家提醒,用戶盡量避免使用免費又不需要密碼的wifi,同時也要留心不要掉入名稱相近的釣魚wifi網(wǎng)絡陷阱。平常最好關(guān)閉手機wifi自動連接功能,以免自動掃描并連接上不設(shè)密碼的釣魚wifi網(wǎng)絡。此外,可用兩部手機,一部用來上網(wǎng)登錄支付寶等第三方平臺刷卡操作,而另一部手機的號碼,則專用于收取手機銀行或者第三方支付平臺的驗證碼,以增加網(wǎng)絡攻擊者獲取個人隱私信息的難度,降低銀行卡被盜刷風險。
【演播室】
專家說,在現(xiàn)在互聯(lián)網(wǎng)的時代,面對各種針對互聯(lián)網(wǎng)的安全問題,沒有一勞永逸的辦法,還是說支付寶等第三方平臺,他們?yōu)榱擞脩舻馁Y金和信息安全,也設(shè)置了多道門檻,密碼、短信驗證碼等等都是有效的安全屏障,但是隨著不法分子盜取用戶信息的手段越來越高明,現(xiàn)有的安全防范措施也亟待更新升級,才能更有效地保護好用戶的資金安全,但是遺憾的是,從目前我們調(diào)查的情況來看,互聯(lián)網(wǎng)支付和移動支付等第三平臺的安全防護手段還不足以防范不法分子的攻擊,而這無疑是給用戶留下了巨大的安全隱患。好,感謝收看《每周質(zhì)量報告》,下周同一時間再見。