移动支付安全及风险防范资料

有调查显示，目前每5位中国人中即有4人担心手机网络犯罪。手机从事活动主要包括在线阅读、访问社交网站、在线购物以及移动支付。以前大家等公交的时候，更多是在一起聊天，现在几乎90%以上的人都是拿着手机做一些娱乐或是工作，有人炒股票，有人刷微博，还有人可能做移动支付的购买，甚至还有做手机银行转帐等等。目前手机已经成为我们必不可少的工具，大家越来越依赖于手机，就像我们越来越依赖互联网一样。

目前，移动支付作为一种新兴的支付方式，其便利性使得其已成为一种潮流，但是移动支付存在的安全隐患也要引起我们的重视。不久前，在中信网络科技股份有限公司组织的“金融IC卡行业应用与移动支付高峰沙龙会”上银行卡检测中心安全技术部总经理杜磊分享了目前移动支付存在

的风险，已经从技术上如何去防范。

移动支付的安全概述

“移动支付作为一种新兴的支付方式，已成为一种潮流，但是移动支付存在的安全隐患也要引起我们的重视，当然，这些安全隐患和风险未必就代表是安全问题。据安管云开放平台2013年2月的统计，出现了越来越多的手机病毒和恶意软件，例如无提示私自发送短信，窃取用户隐私资料，还

有无提示大量流量消耗等问题。”杜磊指出说，“还有一些内置的软件在用户不知情的情况下大量吞噬着手机流量，这些都我们面临的非常现实的问题。”

各种媒体宣传都在提醒手机用户，手机不是保险箱，通讯录里不要暴露家庭信息，防止一旦手机丢了之后可能会遭到诈骗。实际上不需要手机丢，我们存储在手机上的信息可能早已被恶意软件窃取。一些问卷调查公司来电，能够直呼机主姓名和工作单位，他们是如何获得的？很可能就是手机里面的一些短信信息、文件信息以及通讯录信息被非法窃取了。例如通过短信信息了解一个人的消费习惯、工作状况以及家庭状况，为某些利益链服务。所以说手机本身它没有太多的安全防护，给我们带来很大的安全隐患。

所以，我们在移动支付里，在手机银行里，把手机作为交易工具的时候，应该默认手机是不安全的，再对整个交易流程进行安全设计和优化，才能保证移动支付以及手机银行交易的安全性。分析移动支付的交易环节，首先是通过手机的终端采集交易数据，例如借助个人支付终端做身份认证，，交易信息传输到移动运营商，再到移动支付后台，在交易的每个节点都要考虑到安全风险。做近场交易的时候会用到受理终端，终端安全和收单系统的安全性也同样要考虑，如果每一个节点的安全性都保证了，再保证整个流程和业务流程的安全性，我们说这个过程就是可控的。

杜磊回顾和分析了交易中涉及到的一些工具和对应的安全风险，以及如何防范这些风险？“移动支付关注的要点，主要是防窃取、防篡改、防重放、防伪造。尤其交易的篡改、伪造、重放是经常出现的，移动支付中也经常出现，交易报文中没有更多随机成分的时候就会出现重放以及伪造交易

情况的存在。”

目前为了保障金融交易的安全性，金融行业也制定了一些相关标准。《中国金融移动支付技术标准》已经颁布，银行卡检测中心负责牵头撰写了技术保障部分的检测标准，其中结合了多年来对金融行业安全风险和经验的汇总。另外，在人民银行的组织下历时三年才完成的《网上银行信息系统安全通用规范》中也对移动支付、电子支付的安全提出了安全要求。

移动支付模型与风险分析

杜磊梳理了十几年来出现的几种移动支付方式，并分析了其中存在的风险：从2000年到2013年，先后出现SMS短信支付， IVR（语音）的交互， STK支付方式，WAP/WEB，无智能卡的客户端远程支付，后来又出现了基于智能卡的客户端远程支付，还有像“迷你付”这种个人移动支付终端配合交易认证来完成交易和防止银行卡的犯罪，及智能卡的近场支付等等。

1.短信支付

短信支付会有转入、转出、卡号、收款人信息、金额、

密码等等信息，这就存在安全风险，这种交易不仅仅有可能被窃取，而且容易被篡改、伪造。这种支付安全风险较大，因为没有经过加密，是明文进行数据交互，所有转入转出的卡号、金额等等都暴露在明文上。

2.STK

这种方式虽然会采用加密算法，但是交易过程中有可能

需要转加密，在转加密的环节就有可能存在安全隐患，这是我们关注的要点。而且这种交易因为在手机上完成，没有任何的额外认证介质，那么这个手机本身是能够被远程控制的，它能够被远程控制来完成一笔交易。我们对一些手机银行的移动支付做安全攻击的实验，在手机上种植木马，手机的所有短信能够被获取。同时我们看到网上银行安全防护措施的一种是动态口令发到手机里，这种机制作为网上银行来讲是可以作为比较有效的安全防护措施，但是作为手机银行或者是移动支付、远程支付来讲就大打折扣。因为这种短信是发

到手机上，通过木马程序可以直接分析出短信信息，这同使用静态密码没有什么太大的区别，木马完全可以做到。

3.IVR

通过提供交易身份验证信息，卡号、手机号、姓名等，上送信息，发起交易。曾经有一种诈骗，通过电话的免提来输入银行卡密码，说我跟你做一笔交易，做一笔交易的前提我要知道你这笔银行卡里面有100万的余额，不需要告知银行密码，但需要通过电话免提的方式查询账户余额让对方听到。当通过免提输入银行卡密码的时候，犯罪分子就使用远程录音方式，获取按键声音，再使用软件统计分析出密码，最后完成诈骗。

4.WEB

典型的WEB交易流程就是通过手机浏览器来完成交易，这种交易流程可能会遇到中间人攻击，对浏览器这一端会伪造一个服务器，服务器这端伪造一个浏览器来完成交易欺骗的流程，完成交易篡改和伪造。对于网上银行以及手机银行这种安全风险非常大。在撰写网上银行安全标准的时候，我们几乎办了全部的网上银行账户，我们对这些银行做了安全

分析，之后我们发现，几乎所有的银行都防止不了中间人篡改。

5.无智能卡客户端

通过客户端CS模式完成的交易，这种交易它的问题是客户端程序本身会存在风险，比如说客户端本身程序可能携带了木马，或者假的客户端程序，甚至这种客户端程序它会把客户所按键记录等等记录下来，客户端设计缺陷可能绕过安全认证机制，可能会伪造交易。所以移动支付和网络银行的标准里边都对客户端的安全性规定做了要求。首先客户端程序是接受客户敏感信息的，无论是安全控件也好，插件也好，本身应该是安全的，同时能真正扛住黑客的攻击。但是通信协议没有强加密，数据能够被窃听。还有认证信息的重放，有些信息会做签名的操作，发到后台做签名认证。实际上可能有的银行的后台里面做签名的时候，签名是签了，但是后台是不验证签名的，甚至所有用户的签名都是一样的，只要是这个银行的签名他就认。

实际上我们所使用的操作系统本身也存在安全风险，比如很多手机都是使用被越狱的手机，因为有很多漏洞才能被越狱。而手机操作系统本身也可能存在风险，我们知道有一些手机为了做动画效果，能够看起来比较眩目，会做一些自动的截屏机制，很多人用手机的时候，根本不知道在做每个