从攻击机理看防止信息泄漏在移动支付中的重要性

唐杰

摘 要：随着移动互联网的发展和智能设备的普及，越来越多的消费者通过移动智能终端进行购物、支付、转账、理财等金融交易。可以说这种无现金化的移动支付正成为世界的潮流，而中国则是这一潮流当之无愧的引领者。但是近年来层出不穷的移动支付安全问题，使人们在使用无现金移动支付时却面临很大的风险。而我们认为这些安全风险中的首要风险是由信息泄漏问题所带来的。而本文正是从攻击的机理来向您揭示防止信息泄漏是如何的重要。

关键词：移动互联网;移动支付;信息泄漏;安全

近年来，无处不在的移动互联网应用为人们的生活、工作、学习等方方面面带来了非常大的便利。而作来移动互联网中十分重要的无现金化移动支付，由于其安全问题频出，也越来越受到各界的关注。但我们发现这一系列安全问题的出现都与一个关键因素有关，她就是在网络世界里你要证明这个虚拟的你就是现实世界里的你。从而才能支持你在虚拟世界和现实世界里的行为的一致性、合理性和合法性。而证明的方式却也是多种多样的，但根据的我们的统计分析发现，无论哪种证明方式及其组合，都是围绕着主体的信息来实现的。

下面，我们来看一下近些年来移动支付存在哪些漏洞及其典型的案例。

第一、智能终端支付易接入不安全的网络。由于移动支付需要智能终端联网，而如今很多场所都部署了免费的WIFI，而这些网络很可能是不安全的，在网络中的传输的用户个人资料、银行账户、网络支付账户密码等信息就可能被不法分子窃取。从而实施了非法的转账、支付、盗刷等。

第二、未知来源的第三方黑软件盗取支付信息。从未验证的来源下载的第三方黑软件有可能对手机界面进行实时监控，当运行在支付应用安全界面时，进行截屏录屏，截取重要的账户信息等等。比如，近期曝出的微信真人语音借款诈骗。

第三、用户登录支付认证方式本身存在缺陷。目前，大部分金融支付机构均采取单一因素进行身份认证，无论是短信验证码认证、指纹认证、人脸识别等认证方式，都因为认证因素过于单一，而在安全性上得不到强有力的保障。比如，近些年频出的短信验证码截取，盗刷，盗取，盗用。

第四、用户缺乏安全常识，安装了被污染的软件，造成个人隐私泄露、资金损失。比如，2018年发现的“微信支付”勒索病毒，就是典型的供应链污染。

第五、支付软件本身的漏洞，易受攻击。即软件在设计、开发、运行等过程中，由于开发人员技术水平参差不齐等各种各样的原因，很容易产生一些不可避免的漏洞，这些漏洞被不法分子利用，从而导致软件崩溃或盗取用户信息、账号密码、造成资金损失等安全事件。比如，支付宝出现的登录认证漏洞。

以上这些漏洞，从表面上看似乎分类还挺清楚。但仔细分析每种情形就会发现，这里出现最多的词是“信息”，与之关联的问题是信息泄漏为攻击者或不法者仿冒现实中的主体带来了可能。再加上現在大数据的使用，当这些被泄漏的信息通过大数据的筛选、处理、分析、加工等操作后，就可以在网络的虚拟世界创造出另一个你。当然有时这个仿冒的你会被识破，但当信息泄漏的越多，这个仿冒的你就会显得越真实，从而可以仿冒你在虚拟世界做任何想做的事而不被识破。

下面我们通过南京市公安局在官方微博上发布的一则微信语音诈骗案例，从攻击的机理上来看一下防止信息泄漏在无现金移动支付中的重要性。案例是这样的：

骗子以帮助受害人充值“游戏点券”为名，与之在微信上语音聊天，引诱对方说出大量语音信息。虽然目前微信并没有语音转发功能，但在安卓机上微信语音会以“AMR”格式的音频文件储存在手机文件夹中，骗子找到指定音频文件，通过音频软件播放，在使用时，只需在“按住说话”的同时播放语音，就能转发这条语音出去了。

之后骗子盗了受害人的微信号，再给其微信好友群发急用钱的消息，为了打消好友的戒备心，还特意发送了一段语音，内容为“是我本人”，（实际是转录的语音）。骗的钱不多，又有本人的语音，很多人就转账受骗了……

从这个案例中，我们可以看到，不法分子通过交谈，就使被害人主动泄漏了具备身份识别特征的语音信息（包括声纹特征），然后再通过其它方式再获取被害人的其他身份信息，成功骗过了微信的认证机制后就可以仿冒被害人在其好友群发急用钱的消息，并利用转录的语音成功仿冒了被害人。这一系列的过程中我们还可以看到信息泄漏不仅在一个点上发生，单从这个案例来看至少存在这么三点：1.语音信息泄漏;2.用于通过微信认证机制的身份信息泄漏;3.联系人信息泄漏。而这就是网络世界，一个由信息技术为基础的虚拟世界。无现金移动支付就是这个虚拟世界你口袋里的钱包，而这个钱包却是真实的。但现在我们的无现金移动支付验证技术只是通过特征识别来证明这个钱包的拥有者身份。一切都依赖于所提供的用于验证身份的信息的真实性，当不法分子掌握足够满足身份验证机制的信息后，他就可以仿冒你，从而拥有你现实世界里的钱包。试想一下，这是一件多么可怕的事情。所以从这个案例中，我们会看到攻击机理完全依赖于其所掌握的信息的真实性，充分性，而不是更强的技术。防止这攻击发生的首要条件是防止信息泄漏。这就是为什么我们认为防止信息泄漏在无现金移动支付中显得如此重要的原因。最后，我们希望引用全国信息安全标准化技术委员会的一句话作为结尾：“个人用户应做好手机号、身份证号、银行卡号、支付平台账号等敏感信息的保护。”只有充分认识到信息泄漏带来的危害，才能尽可能的减少信息泄漏，从而降低其所带来的风险，防患于未然。

参考文献：

[1] 王思平，李  奔.移动支付安全风险及防范措施分析[J].中国市场，2018（29）：181-182.

[2] 张志宽.移动社交网络安全问题与对策研究[J].电脑迷，2017（03）：185.

[3] 刘  薇.互联网支付风险控制优化设计研究[D].浙江理工大学，2015.