雖然手機支付行業發展迅速,但在這發展迅速的過程中也存在一定的局限性,以下是由中國報告大廳小編為你整理的2015年我國手機支付產業布局分析:
政策問題
中國政策限制和手機支付本身所具有的安全風險有關。在手機支付業務中,費用的收取一般有兩種途徑:一是費用通過手機賬單收取,即從用戶的手機話費中直接扣除,或者在用戶支付其手機賬單的同時收取;二是從用戶的銀行賬戶(即借記賬戶)或信用卡賬戶中扣除,在這種方式中,手機只是一個簡單的信息通道。而國內最初發展的手機支付,是用手機話費來消費或繳費的。這種方式由于方便、簡單,也容易為用戶所接受。但是,在這種代收費方式中,電信運營商有涉足金融業務之嫌。2003年8月,中國移動停止了部分代收費業務,由此可見其承受的政策。
安全問題
手機支付無論對用戶還是銀行,首先需要考慮的就是通過各種技術手段保障其安全性,沒有這一基本前提,手機支付的前景便不容樂觀。國內各商業銀行先后在一些地區開通了自己的手機銀行,但關振勝認為客觀地講,有搞形象工程的味道,很多手機銀行的總體安全狀況并不能令人滿意。
隨著移動支付的快速發展,移動支付的安全問題已越來越凸顯,用戶對于移動支付安全管理的也需求越來越迫切。基于此,EnfoDesk易觀智庫對目前移動支付安全領域進行了專題研究并發布了2014移動支付安全研究報告:在報告中,就用戶移動支付安全的使用情況和主要問題進行了調研:
易觀智庫安全報告 調研結果顯示:手機安全軟件已成為移動支付用戶防范手機支付風險最主流的方式,91.1%的用戶選擇使用如騰訊手機管家等第三方手機安全軟件,表明了安全軟件是門檻較低、最受歡迎的防護措施。在被調查者當中,只有7.7%的人選擇不采取任何防護措施,選擇其他方式的只有1.2%。
移動支付安全功能中,發展最成熟、用戶認知度最高的是盜號木馬病毒查殺功能,74%的用戶表示正在使用,而支付保險的概念還比較新穎,僅有37%的用戶表示正在使用。其他如手機防盜保護、監測并攔截釣魚網站、安全掃碼、WIFI網絡檢查、盜版軟件查殺等正在使用的和期望繼續使用的用戶占比都處于50%左右,比例也比較接近[12] 。
用戶對于手機支付安全使用的頻率和需求大大增加,在手機安全軟件中,常用到的功能的優先級排序中,手機加速和手機支付安全的排名第一的占比最高,分別高達41.65%和39.41%。可以看出用戶對手機支付安全的需求和認知大大增強。
在2014年第2季度,騰訊手機管家在品牌認知度及安全功能的使用率上均領先于其他廠商,成為用戶移動支付安全應用的首選品牌。
隨著智能手機和移動互聯網越來越多地滲入到人們生活的方方面面,手機支付從2013年開始也獲得了爆發式地增長。一系列被冠以“XX寶”的手機支付產品引發熱潮不斷。阿里巴巴加大了支付寶錢包的推廣力度,余額寶上線4個月用戶規模突破3000萬;微信支付通過嘀嘀打車和微信紅包短短幾個月用戶就達到了千萬量級。
人們通過手機購物、轉賬、還信用卡、訂車票、話費充值,變得日益普遍。統計顯示,2013年中國第三方手機支付市場規模已經超過12000億元。未來十年是移動支付行業的黃金十年,已基本成為行業共識。
手機支付帶來更多便捷的同時,也面臨著越來越多的安全風險。金山毒霸安全中心分析發現,從2013年初至2014年2月份,手機支付相關的病毒、木馬等風險因素急劇增長了312%,成為威脅網民資產非常重要的原因。
一、中國手機支付市場規模
手機網民的高速增長,以及移動電子商務相關產業鏈的日趨成熟,使得網上支付和手機支付的用戶數量快速擴大。
統計顯示,截至2013年12月,我國使用網上支付的用戶規模達到2.6億,使用率達到42.1%。2013年手機在線支付增長更為迅速,用戶規模達到1.25億,使用率超過25%,較2012年底提升了11.9個百分點。
從支付金額來看,統計數據顯示,2013年中國第三方互聯網支付市場交易規模超過53000億元,同比增長46.8%,整體市場持續高速增長。2013年中國第三方手機支付市場交易規模也超過12000億元,同比增速超過700%。
在國內的移動支付市場中,支付寶錢包、各大銀行網銀客戶端、拉卡拉、微信支付形成了第一軍團,占據了超過90%的市場份額。其中,支付寶錢包仍然遙遙領先,占據約60%的市場。騰訊的微信支付則蓄勢待發,增長最為迅猛,成為沖擊支付寶錢包地位的最有力競爭者。
最近一段時間以來,騰訊與阿里巴巴在手機支付方面貼身廝殺,通過互聯網理財產品、春節紅包、手機打車軟件等幾場戰役,競爭異常激烈。從整個手機支付市場來看,也正是這幾場戰役讓網民對手機支付的認知度大大提高,對市場教育與行業格局都有積極意義。
二、手機支付安全風險分析
自2013年下半年以來,隨著互聯網金融概念的火熱,越來越多的網民使用手機支付和手機理財,與之相隨的是針對移動支付工具的惡意攻擊表現極為突出,受害者損失普遍超過以往。
金山毒霸安全中心分析發現惡意攻擊多呈現以下幾種形式:
1、手機驗證碼大盜
該病毒的特點是:非常簡單的低成本病毒,開發門檻很低,掌握一些社會工程學技巧,極易得手。
病毒的主要功能是攔截短信,有的攔截所有短信,稍用心的只攔截與驗證碼有關的短信,然后,病毒將攔截下來的短信通過電子郵件或短信轉發傳遞給小偷。小偷用偷來的驗證碼,以及利用社會工程學欺騙從受害者處得到的身份證號、密保信息、銀行卡號等個人信息,即可重置支付寶密碼。
得到登錄和支付權限之后,小偷可以立刻轉出余額、消費(一般是買游戲點卡和手機充值卡)、通過快捷支付消費關聯銀行卡的活期存款、申請淘寶貸款,受害者損失可達數十萬元。
2、網購退款釣魚。
正常交易之后,騙子假冒網購賣家,謊稱交易失敗,聯系買家退款。聊天過程中,發送釣魚網站騙取受害者銀行卡、身份證及驗證碼信息。得手后通過互聯網支付工具迅速轉移受害者網銀資金。
類似案例大量出現,受害者除通過網絡購買一般商品會上當外,一些預訂機票的客戶在起飛前被騙子撥通電話,騙子借口航班取消或改簽,欺騙受害者退款,聊天過程中,讓受害者通過網銀或ATM轉帳的。
3、假冒身份證補辦手機SIM卡。
通過非法購買個人信息,偽造他人身份證,在一些管理不嚴的電信運營商營業廳補辦手機卡。受害人的手機SIM卡失效,而另一張SIM卡卻直接落入犯罪分子手中,其后的結果和驗證碼大盜中毒完全一樣,小偷可輕易通過重置密碼來獲得受害者資金的支配權。
4、辦理信用卡騙取個人詳細信息
以辦理大額信用卡為幌子,欺騙受害者提供詳細個人信息,辦理銀行卡開戶,將新儲蓄卡關聯小偷手機號,小偷迅速通過互聯網支付工具,采用和前面類似的方法,使用移動支付工具將受害者新辦儲蓄卡里的所有資金轉走。
三、手機支付相關病毒數量統計
在移動支付平臺未普及之前,金山毒霸安全中心觀測發現針對支付的攻擊主要是網購木馬和釣魚網站。攻擊者在網民使用電腦網購時,將網購木馬偽裝成與商品有關的圖片文件發給受害者雙擊,一旦中毒,網購木馬可以在支付的一瞬間將網銀資金搶走。網購木馬被業界公認為有一定技術含量的木馬,有較高的開發門檻。
在移動支付工具得到普及之后,特別是2013年下半年使用移動支付的網民人數迅速增長,許多人開始使用手機理財,手機里蘊藏的財富吸引了眾多攻擊者的注意。同時由于安卓的開放性,安卓病毒增長極為迅速。在安卓可疑文件中,病毒檢出率高達7%。
一部分攻擊者很快發現,只需要簡單的攔截安卓手機短信就可以獲得大量財富。2013年7月,金山毒霸安全中心截獲了首例驗證碼大盜病毒,各地媒體不斷報道網銀資金莫名其妙被盜的案例。許多人無法理解銀行卡、U盾、密碼都在自己手里,銀行卡里的錢卻不翼而飛。
金山毒霸安全中心對驗證碼大盜類手機病毒的感染情況做過專門統計,截止目前,共攔截驗證碼大盜病毒樣本2959個,每天被驗證碼大盜病毒感染的不同型號安卓手機達2800余部,受害者損失難以估計。
除手機病毒之外,用戶還會被各種詐騙短信欺騙、騷擾。犯罪分子利用短信群發器發送大量含詐騙內容的短信,直接欺騙網民登錄假銀行釣魚網站騙取網銀資金,通過短信、電話欺騙網民通過ATM機或網上銀行轉帳。
釣魚網站對手機網民同樣影響很大,金山毒霸安全中心統計到假網購釣魚網站占到釣魚網站總量的47%。手機上網的用戶由于受手機界面的限制,比電腦上網更難區分網站真假。一旦上當,將個人信息提交到釣魚網站,很難避免經濟損失。
隨著各種“寶類”理財工具的火熱,與之相關的各種假投資理財網站增長迅猛,其主要類型為:1.小額貸款辦理,2.信用卡辦理,3.投資理財詐騙。其中投資理財類釣魚為單筆詐騙金額最高的釣魚類型,單筆詐騙金額達到1500元以上。
四、專家建議及解決方案
與手機支付安全相關的案件發生有兩個基本條件:第一,各種原因導致的個人信息泄露;第二,各種原因導致移動支付依賴的手機驗證碼信息到達犯罪分子手中。
阻止這兩個基本條件同時滿足,即可阻止網絡犯罪發生。具體建議如下:
1、 網民需要認識到密碼管理的重要性。
重要的、關鍵的網絡服務(比如常用郵箱、B2C網站帳號、QQ、微博等),必須確保不重復使用密碼。重復使用密碼就如同一把鑰匙開所有的門,只要任意一個網站被黑客入侵,就會危及所有關鍵網絡服務的安全。
網民可以選擇在自己的電腦上使用密碼管理軟件,生成復雜密碼,再將生成的密碼加密存儲在本地計算機,注意定期更換重要服務密碼。
2、 相關企業、單位協作做好公民個人信息保護
掌管用戶個人信息的企業、單位、國家機關,加強信息系統安全管理,防止黑客入侵; 司法機關加強對非法倒賣個人信息犯罪的查處,依法打擊黑客非法入侵;
安全廠商、媒體、銀行等機構對網民進行持續性的安全常識教育,讓網民逐步養成自覺保護個人信息的習慣。
3、使用安全軟件攔截手機應用軟件普遍存在的權限濫用問題,阻止手機軟件非法收集個人信息
標準問題
從國內移動支付業務的開展情況看,仍然缺乏統一的被廣泛認可的支付安全標準。首先應加強用于移動支付安全保障的信息安全基礎和通用標準的研制,為移動支付的安全保障提供基礎性技術支撐;同時,加強支撐移動支付業務應用的RFID標準的研制,突破RFID空中接口安全保障技術,加快具有自主知識產權的RFID空中接口協議的制定;國內移動支付產業鏈中各部門應加強合作,制定通用的移動支付安全保障流程、協議、安全管理等標準,保障移動支付業務系統的互聯互通,促進移動支付產業的安全、快速、健康發展。只有一個相對完善的行內標準才能給用戶提供一個誠信的支付環境。
技術問題
移動支付發展緩慢的問題不僅發生在中國,即便是在許多西方發達國家,其進展也不快。就而言,手機支付方式存在兩個明顯的弊端:一是大多數手機受到SIM卡容量的限制,所發送的信息全部為明碼,致使手機支付的安全性較低;二是通過短信支付方式的即時性較差,難免會造成資金流和物流的停滯。若要使手機支付達到理想的快捷、安全的層面,至少還要從技術角度解決兩個方面的問題。首先是SIM卡與STK卡的融合問題。STK卡是一種小型編程語言的軟件,可以固化在SIM卡中,它能接收和發送GSM的短信數據,起到SIM卡與短信之間的接口作用,同時它還允許SIM卡運行自己的應用軟件。其次是要通過技術手段保障信息傳輸的及時性。利用手機支付,一般要求通信的實時性較強,采用短信手段在遇到某些情況時,由于存儲等原因,往往使其不能及時轉發而有一定的時延。此外有些物品的購買,不能用短消息,而需用語音實現,這樣會產生通話費用,導致交易成本增加。如何利用語音回撥等方式,以及對S M S、WAP、GPRS等傳輸手段的綜合比較及采用尚待研究。
存在設陷
“主動泄密”是指用戶在沒有意識到賬戶安全風險的情況下,主動將個人銀行卡、支付寶賬號、密碼等個人敏感信息透露給不法分子。主動泄露往往伴隨著不法分子精心設計的各式“釣魚陷阱”。近日百度手機衛士就識破了一個以“釣魚”手段騙取用戶信息的移動支付“連環陷阱”。
不法分子為了獲得用戶的手機號、銀行賬號、銀行卡密碼,設計了一個話費中獎類的詐騙短信,誘騙用戶點擊短信中的“釣魚網站”兌取獎金。該短信采用了“偽基站”的手段,將發送號碼偽裝成中國移動的官方服務號碼10086,提高了詐騙短信的迷惑度。用戶一旦進入釣魚網站,就會被要求填寫的個人手機號、銀行賬號、銀行密碼等信息并且下載一個“中國移動客戶端”,而這個看似正規的軟件,實則是一種新型手機病毒,可以攔截銀行驗證短信。自此,不法分子便可在神不知鬼不覺地情況下竊取用戶網銀里的資產了。
除此之外,還有不法分子制作了各種山寨的網銀、支付類應用誘騙用戶下載使用來獲取用戶信息,這些手段都讓用戶在不經意間主動泄露的自己的個人信息,給銀行賬戶財產安全造成了極大地威脅。
悄無聲息 偷竊隱私于無形之中
除了詐騙短信和新型病毒外,手機系統漏洞、免費WiFi也會導致用戶信息泄露,威脅用戶的支付安全。“你就是在咖啡廳、酒吧連接了個免費WiFi,刷刷世界杯的新聞,打開的都是正常的網站,啟動的都是正規的APP,你都有可能中招,手機被控制”,清華大學副研究員手機安全專家諸葛建偉表示。
據央視報道,事實上不法分子可以利用手機操作系統本身存在的安全漏洞,插入惡意攻擊程序,進而無聲無息的讀取手機里存儲的所有用戶隱私信息。這種惡意程序通常在用戶連接不法分子設置的“山寨WiFi”或是用戶將手機插入電腦等操作時悄然植入手機之中,并利用安卓系統 ROOT提權安全漏洞取得手機的最高權限。這就意味著攻擊者由此獲得了手機的完全控制權。一旦手機被完全接管,支付賬號密碼自然也就落入黑客手中,財產安全就無法得到保障。
利用免費WiFi實施詐騙的案例并不少見:央視報道中指出南京市民張先生就曾因使用公共WiFi,導致網銀賬號密碼被盜,卡中的6萬余元在兩天內被人盜刷一空,而這些錢多被用來購買充值卡和游戲點卡等虛擬物品。
對于這類陷阱,百度手機衛士專家指出這需要用戶提升安全意識,出門在外不建議打開移動設備的WiFi自動連接功能,不要看見免費WiFi就主動連接,最好與提供WiFi的商家核實清楚,以免誤入陷阱,給黑客以可乘之機。如果上網可以使用百度手機衛士支付保險箱功能對 WiFi環境進行檢測,確保上網環境的安全。據了解,為了進一步保障用戶WiFi安全,百度手機衛士還接入了全國數十個機場和38個城市的6800家咖啡廳,為用戶使用共同WiFi提供支付安全提示,進一步提醒用戶注意WiFi的安全。
手機支付的安全陷阱越來越多,百度手機衛士專家也進一步建議用戶學會保障個人信息安全,不輕易填寫和透露個人敏感的隱私信息。如果用戶對手機支付安全還不放心,還可以開啟百度手機衛士“安全支付億元保賠計劃”,一旦遭遇了經濟損失,可以獲得百度手機衛士單筆最高 3000元,全年最高10萬元的賠付,從而讓手機消費過程更安心更放心。更多相關手機支付產業布局分析請查閱由中國報告大廳發布的手機支付行業市場調查分析報告。
京公網安備 11010502031895號
