专家点评移动支付，高回报及低技术门槛为安全软肋

众所周知手机已经深入中国百姓日常生活的方方面面，随着手机上网日益普及，网上支付及理财更成为最热门的手机应用之一，互联网安全领先厂商Check Point公司的专家指出，消费者在享受网上支付及网上银行的便利的同时，也要提防其安全风险。

Check Point SandBlast Mobile 移动安全研究员贺飞翔表示，当下的银行木马攻击具有高回报、低技术门槛的特点。在过去的三个季度里，Check Point的威胁情报发现，全球范围内手机银行木马正在逐步染指移动支付。

他指出，银行木马现在不再仅限于攻击传统的银行手机客户端。这类木马开始攻击任何具有支付功能的手机软件。例如网络购物、打车、酒店机票预订等软件。由于中国市场每天都在产生海量移动支付交易，即使攻击成功率较低，攻击者依然可以获得可观收入。因此该领域对网络罪犯越发具有吸引力。

他表示：“值得注意的是，近年来黑色产业链呈现出职能细分的趋势。银行木马使用及传播者往往可以方便的从专业恶意软件开发人员手中买入病毒。无需掌握复杂的技术知识，仅需简单的加工，使用者就可以开始传播、实施侵害。一方面，我们看到移动支付厂商（诸如支付宝、微信支付）在不断加强支付端口自身的安全；另一方面，我们认为使用移动支付端口的第三方软件以及用户本身是反银行木马努力中不可忽视的两个较薄弱环节。”

贺飞翔也指出，移动端的隐私问题也需要关注，广告商及软件开发商往往超范围提取用户关键个人信息。个人信息采集几乎存在于所有日常手机应用中， 而目前大多数亚洲国家没有对广告商收集个人信息的行为在法律层面提出详细可操作的规定和指引。在某些情况下，广告商移动组件同时收集手机辨识码IMEI、SIM卡序列号、手机号、手机当前位置等敏感信息并不加处理直接上传至服务器。这些数据加以适当社工手段分分钟可以把用户手机变为间谍追踪设备。

他表示：“这种粗犷的收集手段给了黑客更多可以非法获取敏感数据的渠道。例如利用广告组件自身漏洞来截取信息、利用服务器漏洞进入后台数据库、或者和广告商达成某种协议直接获取数据。中国方面，政府近期开始实施网络论坛发帖回帖实名制。不可否认，这一举措保证了网络空间和谐的氛围，有效遏制了不文明行为。但是这一规定使得以往一些较低价值目标（比如知乎、微博等移动端）对于黑客来说变得更有攻击价值。因为实名认证的需求，此类手机应用及后台服务器需要传输甚至存储个人证件信息。”

根据中国互联网信息中心发表的最新一期《中国互联网络发展状况统计报告》，截至2017年6月，中国手机网民规模达7.24亿，其中网上支付的比例提升至68%，而手机支付用户规模增长迅速，达到5.02亿（69.4%）。