移动端支付的安全隐患与应对措施

移动端支付的安全危机2016与对策分析1.2.3.4.背景介绍支付优势安全隐患应对策略目录CONCENTS01背景介绍移动互联网发展移动支付的概念移动支付也称为手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合，为用户提供货币支付、缴费等金融业务。移动支付主要分为近场支付和远程支付两种，所谓近场支付，就是用手机刷卡的方式坐车、买东西等，很便利。远程支付是指：通过发送支付指令（如网银、电话银行、手机支付等）或借助支付工具（如通过邮寄、汇款）进行的支付方式，如掌中付推出的掌中电商，掌中充值，掌中视频等属于远程支付。目前支付 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 不统一给相关的推广工作造成了很多困惑。移动支付标准的制定工作已经持续了三年多，主要是银联和中国移动两大阵营在比赛。数据研究公司IDC的 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 显示，2017年全球移动支付的金额将突破1万亿美元。强大的数据意味着，今后几年全球移动支付业务将呈现持续走强趋势。常用移动支付软件01020304支付宝微信支付京东钱包百度钱包电子支付业务333.33亿笔金额22.59万亿元同比增长134.30%同比增长170.25%发展现状与趋势2014年02支付优势支付优势定制化基于先进的移动通信技术和简易的手机操作界面，用户可定制自己的消费方式和个性化服务，账户交易更加简单方便。及时性不受时间地点的限制，信息获取更为及时，用户可随时对账户进行查询、转账或进行购物消费。移动性随身携带的移动性，消除了距离和地域的限制。结合了先进的移动通信技术的移动性，随时随地获取所需要的服务、应用、信息和娱乐。集成性以手机为载体，通过与终端读写器近距离识别进行的信息交互，运营商可以将移动通信卡、公交卡、地铁卡、银行卡等各类信息整合到以手机为平台的载体中进行集成管理定制化及时性移动性集成性03安全隐患安全隐患病毒感染手机漏洞诈骗电话及短信个人信息泄露病毒感染“银行鬼手”(a.expense.tgpush)“短信盗贼”（a.remote.eneity）“鬼面银贼”（a.rogue.bankrobber）“盗信僵尸”（a.expense.regtaobao.a）“伪淘宝”(a.privacy.leekey.b)病毒感染1、截止到2014年第一季度，第三方支付类、电商类、团购类、理财类、银行类这五大手机购物支付类APP下载量增长迅猛。2、2014年第一季度支付类软件共364款，其下载量占全部软件下载量的30.38%。3、2014年第一季度截获手机病毒包数143945个，感染手机病毒用户数达到4318.81万。4、电商类APP下载量和该类别感染的病毒包数均排名第一。病毒感染2015年第三季度，Android手机安全形势持续严峻。基于腾讯手机管家安全服务的腾讯移动安全实验室数据显示，2015年第三季度Android手机病毒包新增713.6万，相比2014年的三季度，同比增长217%。[2-3]2015年第三季度，Android病毒感染人次达到8032.8万人次，相比2014年第三季度，同比增长56%。[2-3]2015年第三季度，手机中毒最多的五大省份或直辖市依次分别是广东省、北京市、湖北、河南、江苏。感染用户占全国的比例分别为14.38%、7.45%、6.3%、6.2%、5.8%。[2-3]2015年第三季度，腾讯手机管家针对Android病毒查杀次数达到1.26亿次，相比2014年第三季度，同比增长51%。[2-3]2105年第三季度，垃圾短信新增用户举报1.69亿条。用户举报骚扰电话次数达到2.2亿。[2-3]手机漏洞Android挂马漏洞MasterKey漏洞风险WiFi威胁手机漏洞手机漏洞MasterKey漏洞正常情况下，每个Android应用程序都会有一个数字签名，来保证应用程序在发行过程中不被篡改，但黑客可以在不破坏正常APP程序和签名证书的情况下，向正常APP中植入恶意程序，并利用正常APP的签名证书逃避Android系统签名验证。而利用该签名漏洞的扣费木马可寄生于正常APP中，进而针对捆绑手机用户进行恶意扣费，并向用户联系人发送恶意软件下载推荐短信，在Android系统中，MasterKey漏洞是最为常见的一个，黑客们可以通过这个漏洞绕过系统认证安装手机病毒或恶意软件，进一步操控用户的Android系统及他们的设备。风险WiFi威胁风险WiFi主要类别分为ARP中间人攻击、虚假钓鱼、DNS劫持。其中，ARP中间人攻击是主流，占风险WiFi类型比例达到61.35%，另外，虚假钓鱼WiFi占比15.02%，DNS劫持占比23.63%。手机漏洞Android挂马漏洞2013年9月，在乌云漏洞平台，被曝出多款Android应用出现严重手机挂马漏洞现象。黑客通过受漏洞影响的应用或短信、聊天消息发送一个网址，只要用户点击网友发过来的挂马链接，都有可能中招。接着手机就会自动执行黑客指令，出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。国内几大知名的手机浏览器APP等都受此漏洞影响，包括手机QQ浏览器、猎豹浏览器等最新版本浏览器已经修复该漏洞。诈骗电话及短信诈骗电话及短信个人信息泄露　【密码是16位英文数字混合的一段话，而且除了事主没有别人知道，使用的电脑手机也没有中毒，可是支付宝[微博]账号中的32万元却不翼而飞！罪魁祸首是撞库。撞库是黑客最常用的窃取个人信息的手法，近年来，大规模的个人身份泄漏已经发生多起，个人信息安全问题已经刻不容缓。】04应对策略应对策略政府：制定完善相关法律，严厉打击黑客及诈骗行为相关企业：提高手机和支付端的安全系数，减少漏洞个人：提高个人安全意识。养成良好的支付习惯学习提高手机支付安全性的方法外部环境内部个人国家政府1.完善移动支付的法律法规在现有的《非金融机构支付服务管理办法》、《电子支付指引（第一号）》、《电子签名法》、《电子银行业务管理办法》等部门 规章 94财务与会计管理规章人事管理规章94财务与会计管理规章企业规章制度介绍肿瘤科规章制度 的基础的，制定统一的《移动支付法》，并完善配套的法律规章和司法解释。立法过程中，加强移动支付的安全性立法，加强相关的责任承担，明确当事人的权利和义务，明确举证责任等。2.明确监管主体，加强监管对于移动支付的支付清算、市场准入、资金安全、金融安全等负责监管。3.加强司法监督，防范洗钱风险运营商移动支付产业链各参与方应通过相互协作形成合力确保支付安全移动支付产业链涉及通信运营商、应用提供商、设备提供商、支付服务商、系统集成商等多个参与方，没有一家机构能主导整个产业链的格局，在运营模式、安全标准、技术 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 等方面，相关各方应加强沟通协作，采取合作的态度共同致力提升移动支付的安全。在支付环节，银行、电信公司及第三方支付公司等主体应在统一的安全架构下设计安全支付流程，提升支付终端设备、加密认证、应用程序等软硬件方面的兼容性，整合安全管理体系，完善应对移动支付安全事件的协同处理机制。建立完善的举报机制，及时停用被标记为诈骗的电话与短信。同时保障业主的信息安全，防止其移动通信信息的泄露。运营商第三方支付纷纷联手保险提供损失赔偿事实上，针对不断出现的网络盗刷，目前不少第三方支付机构针对快捷支付、手机支付和余额宝等产品一直以来都采用全额赔付，以打消消费者对网络支付和移动支付的疑虑和担忧。去年4月份，支付宝开始以保险的形式为用户提供资金保障。支付宝的资金安全由平安保险全额承保，用户发生被盗，平安保险会全额赔付，支付宝 承诺 党员整改承诺书工程质量保证服务承诺书供货时间与服务承诺方案食品安全承诺书我公司的设计优势和服务承诺 赔付金额无上限，保费全部由支付宝承担。事实上，不少第三方支付企业都表示，目前无论是PC支付还是移动支付，风险最大的地方还是出在木马病毒钓鱼网站中，尤其是手机上，99%的被盗跟此相关，其余是用户被骗，而不是因为丢失手机。个人意识1设置密码。大家在使用手机时，设置一个难破解的开机密码，为自己的支付宝、余额宝、理财通、手机银行等支付途径设立不同的密码，并进行账户绑定，这是保护手机信息安全最有效的办法，可以有效防止手机丢失和被盗带来的安全隐患。2防盗软件。一定要在手机中具有防盗能力的安全管理软件，安装后记得激活设置防盗功能。可以通过亲友号码、登陆软件账号，个人电脑等途径开启防盗功能，可以跟踪手机位置、锁定手机、响警报音，删除手机数据，当手机换卡时还可以有短信提醒。3不Root系统。Root手机系统后，手机病毒感染的可能性变大，手机支付遭受的危险增加。因此不要盲目Root手机系统，确保手机系统稳定。想更新系统时，一定正规的官方网站下载更新包，由专业人士指导操作个人意识4挂失手机卡。当手机丢失后，应该马上到当地营业厅挂失手机卡，并立即补办新卡，避免被其他人用于其他用途，盗刷自己的资金。立即和银行卡、支付宝、理财通等客服联系，接除绑定或冻结有关手机支付业务，防止资金被盗刷，减少自己的损失。5小心二维码。不要随便扫描生活中的二维码，小心危险就隐藏在其中。现在二维码已经成为恶意软件传播的新途径，手机扫描下载时很容易下载到恶意软件，陷入别人设计的陷阱中，危及自己手机支付的安全。6不乱安装软件。安装软件到正规的手机商店下载，下载后及时进行病毒查杀，确保下载的软件安全无毒。不要随意下载安装来源不明的软件，防止部分诈骗软件伪装成其他软件装入手机，对部分来源不明的软件要及时进行举报，以防病毒蔓延。个人意识7尽量避免手机蓝牙处于开启状态，不少手机病毒可以通过蓝牙传播，还有不法分子可以通过蓝牙间谍软件查看你的电话本、信息、文件等重要信息。8随着WiFi的普及，走到哪里都能上网。但对免费WiFi和没有加密的WiFi一定要多加小心。轻则被黑客截取个人资料，若使用免费WiFi进行购物和支付，甚至可能带来财产损失。所以，别为了节省些许流量费轻易连接不明WiFi信号。9使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。10“电子密码器失效”、“U盾升级”等属于不法分子常用的诈骗术语，如果收到类似短信，又无法判断真伪，应直接拨打银行的官方客服电话，联系银行工作人员进行咨询，或者是到银行网点柜台办理，绝对不能通过短信中的网址登入网银。谢谢聆听2016REPORT