移动设备不仅重塑了我们的生活,也在使付款方式变得更将便捷有效。人们在买商品时,除了使用传统的付款方式(如现金,支票,信用卡,借记卡等)外,还可以选择在移动设备上进行付款。目前,在中国,人们通常通过微信或支付宝来进行无现金交易,方便快捷,现金流通率大幅减少。
中国人民银行发布的《2019年支付系统统计》于2020年3月16日发布,显示了2019年中国移动支付的快速增长,移动支付业务1014.31亿笔,金额347.11万亿元,同比分别增长67.57%和25.13%.手机移动支付金额是全国GDP的3.5倍,手机支付已成为公共支付的最重要手段。
一、移动支付系统概述
移动支付是从移动设备执行或通过移动设备执行的支付服务。iOS和安卓设备上提供了许多移动支付的应用程序。在进行购买之前,通常需要银行帐户,信用卡或借记卡或应用商店发行的卡链接到移动支付帐户。
移动支付系统共包括五个主要组成部分:消费者(持卡人),商家或零售商,收单银行(商户银行),发卡银行(持卡人银行),银联(Visa)。持卡人将其卡提供给商户进行购物。使用POS机在商家处收集交易数据。交易的详细信息发送到收单银行。收单银行获取交易信息并将其通过卡网络路由到持卡人的发卡行。开证行从收单行接收交易信息,并通过批准或拒绝交易作出响应。响应代码被收回到收款银行,并最终到达商家的终端。如果此桩交易被发卡银行批准,持卡人会收到所需的产品或得到所需要的服务。
二、移动支付安全概述
对于所有移动支付用户和服务提供商而言,移动支付安全至关重要。支付的数据在传输和使用中必须受到保护。移动支付系统中所需的安全服务包括身份验证,访问控制,机密性,完整性,不可否认性和可用性。
身份验证包括两个特定的服务:用户身份验证和事务数据源身份验证。移动支付系统必须提供验证用户身份和交易数据来源的方法。访问控制可确保只有授权人员才能访问移动支付系统。除了使用个人识别码/密码/屏幕锁定模式来访问移动设备外,移动支付还可能要求用户使用指纹或输入个人识别码/密码进行购买。机密性可保护交易数据免受被动攻击。完整性可防止在数据静止,传输和使用时修改交易数据。不可否认性可防止用户或服务提供商拒绝传输的消息。可用性可确保在用户请求时可以访问移动支付系统。
三、移动支付的主要挑战
移动支付系统是网络犯罪分子的目标,在移动设备上发现了许多威胁和攻击,这些威胁和攻击也可能针对移动支付系统。破坏移动支付帐户可能会导致用户隐私暴露和财务损失。在本节中,我们总结了对移动支付安全性有严重影响的威胁和攻击。
(一)恶意软件
移动恶意软件是对移动支付系统的主要威胁之一。2014年,赛门铁克确定了超过100万种被分类为恶意软件的应用程序。移动设备上的大多数恶意软件都与诸如录制电话,即时消息,通过GPS定位,转发呼叫日志和其他重要数据之类的活动有关。Zeus是一种臭名昭着的木马软件,旨在窃取银行发送的一次性密码以验证移动交易。它似乎是TrusteerRapport软件的一部分,可确保用户安全登录到其银行的在线门户。但是,Zeus在后台监视所有传入的短消息,并将其转发到远程恶意网站。这款软件的操控者可以拦截银行凭证并耗尽受害者的银行帐户。ZeMo是Zeus的移动端版本,已在黑莓和安卓系统中发现,可用于窃取银行发送的一次性密码来验证移动交易。
(二)信息泄露
与传统的支付卡流程相比,移动支付流程涉及两个新的流程。在典型情况下,例如,当用户使用移动钱包作为POS进行购物时,该过程涉及五个组成部分,即移动钱包服务提供商,作为POS服务提供商的移动支付,商家,收单银行,以及开证行。所有的移动支付方都需要收集交易数据才能购买商品。
法律要求支付过程中的所有各方都遵守确保支付数据安全的标准,但是仍然可能发生信息泄露事件。在数据泄露事件发生时,罪犯可以访问支付卡信息,包括姓名,邮寄地址,电话号码等。数百万的客户受到影响。移动支付服务提供商可以从这些数据泄露中汲取宝贵的经验教训,并防止此类事件的发生。
四、移动支付的应对措施
为了减轻移动支付风险,移动支付用户和服务提供商都需要采取安全措施来保护数据安全并防止数据泄露。 移动支付用户采取的安全措施包括但不限于使用强密码/密码/屏幕锁定模式来保护移动设备,升级移动操作系统并按照建议应用所有安全补丁程序,防止在移动设备上下载恶意软件,使用 收到可疑的短消息和电子邮件时要小心,不要连接到不受信任的热点以进行Wi-Fi访问,并且如果收到诸如“无法验证网站的身份”之类的消息,则不要继续。移动支付应用程序可能要求用户仅登录一次并缓存密码以备将来使用。如果是这种情况,用户需要使用警告,因为密码/密码/屏幕锁定模式是防止未授权交易的最后一种安全机制。