偷取短信、攔截驗證碼、上傳轉發隱私數據等成為2015年上半年手機支付類病毒的典型特征。其中，靠讀取并轉發用戶手機支付類短信驗證碼的病毒行為，再通過第三方網絡支付工具發起快捷支付，從而實現對綁定銀行卡的盜刷;或黑客把支付款項攔截轉入陌生賬號等問題較為頻發。

　　出門不帶錢包沒關系，只要帶手機即可。無論是逛街吃飯，還是打車加油，支付寶、微信等多種移動支付方式都能無縫讓我們與商家對接完成交易，就連沙縣小吃、菜場等都能使用，真的不得不說，這種支付方式很便利，再也不用怕現金不夠去銀行排隊取錢，也不用怕找回的零錢中有假幣。

　　正當我們樂呵呵地享受移動支付帶來的便利時，一群研究網絡安全的專家卻在擔憂其中的隱患，因為有不少軟件病毒就是沖著手機移動支付去的。

　　近日，中國科學技術協會和俄羅斯科學工程學會聯合會以及浙江省科學技術協會等聯合舉辦的“2015中俄工程技術論壇”上，“網絡信息安全與挑戰”的分論壇中，專家們談到了眼下熱門的手機移動支付安全問題。

　　近三成用戶存在移動支付風險

　　浙江大學計算機學院教授張森是研究網絡信息安全的專家，同時也是杭州市信息安全協會會長。在這次論壇上，他就提到，當前中國網民6.5億，手機網民總數為5.94億，年增長率19%，使用手機支付的用戶已達2.67億。其中，有近三成的用戶處在移動支付風險環境中。

　　這是什么意思呢?原來，一切是手機支付病毒在作祟。據騰訊數據顯示，今年上半年，新增手機支付病毒29762個，感染用戶總數達到1145.4萬。

　　浙江省計算信息系統安全協會副會長、杭州安恒信息技術有限公司總裁范淵說，支付類病毒多半與竊取隱私相關，偷取短信、攔截驗證碼、上傳轉發隱私數據等行為是2015年上半年手機支付類病毒的典型特征。“這些移動支付病毒可以直接威脅到用戶的財產安全。其中，靠讀取并轉發用戶手機支付類短信驗證碼的病毒行為，再通過第三方網絡支付工具發起快捷支付，從而實現對綁定銀行卡的盜刷;或黑客把支付款項攔截轉入陌生賬號等問題較為頻發。”

　　支付寶風控技術安全方面負責人張道生表示，支付寶作為目前最大的第三方支付平臺，平均每天要攔截上萬次黑客攻擊，屏蔽了全球近一半的電商釣魚網站。

　　或許你會說，不怕，手機里安裝了殺毒軟件。事實上，這些病毒是殺毒軟件發現不了的。范淵說，支付類病毒最大特征表現為靜默發送短信，靜默刪除短信、隱藏圖標或靜默刪除并轉發短信。“作為普通用戶來說，是很難察覺到手機被植入木馬病毒或被黑客攻擊的，并且殺毒軟件也無法掃描得知。但還是有些異常可以發現的，如手機出現運行速度突然長時間變慢、突然無故黑屏、某些軟件自動被打開、賬號泄露或其他一些不正常的現象，可能就是中毒了。如果真的感覺手機被木馬侵入，這時，最好求助專業人員進行檢測。”

　　愛玩社交和游戲的手機病毒多

　　手機上的病毒哪里來?范淵的公司本來是做大數據的安全監管，后來發現手機支付的問題，又成立了團隊做手機安全監測。從他們的分析情況來看，導致這些病毒對移動支付產生危險問題發生的原因有兩方面：一方面是支付平臺自身存在漏洞易導致支付風險;另一方面是手機或手機上的社交軟件感染木馬，威脅到支付軟件的安全，帶來支付風險。

　　他公布了一則最近的數據：受政府部門委托，針對某省的互聯網金融網站抽樣了100個進行了深入檢測，發現其中有71個網站存在高危漏洞，33%的網站發現跨站腳本漏洞，6%的網站發現邏輯漏洞，7%的網站發現密碼重置漏洞，4%的網站存在弱口令，7%的網站發現密碼重置漏洞，4%的網站存在弱口令，8%的網站發現高危敏感信息泄露。

　　這些網絡漏洞，會直接影響平臺移動支付端的安全。“跨站腳本漏洞、網站邏輯漏洞、密碼重置漏洞、弱口令、敏感信息泄露等，都可以直接導致黑客攻擊破解用戶賬號密碼，攔截支付或盜取用戶錢財;更嚴重的會使黑客攻擊造成整個網站平臺癱瘓，導致整個網站的資金受到威脅。”范淵解釋說。

　　除此之外，手機社交軟件或游戲軟件，是病毒易感區，黑客可以利用對手機的攻擊或是對手機社交、游戲軟件的木馬植入，控制支付軟件，靠讀取并轉發用戶手機支付類短信驗證碼，盜取用戶銀行卡客戶端或支付賬號內錢財。

　　螞蟻金服高級安全策略專家馮力國表示，到目前為止，他們碰到的用戶反映支付安全出了問題，基本上是用戶被騙，或是手機設備遭到病毒攻擊被植入木馬所導致。張道生表示，他們有專門的團隊在做安全監管。2014年支付寶發出1.28億條異地登錄安全報警提醒，146萬條欺詐風險提醒都是在交易時發出的。“在用戶進行交易的時候，平臺也會像一個房子一樣，根據用戶的習慣進行監控。平臺的風控監管，就像一個智能的大腦，如果非本人操作找回密碼，會根據賬號的登錄習慣、時間、消費習慣、地點、網絡環境、打字速度等，進行監控排查。”

　　不能用兩個手機就別“手賤”

　　“由于黑客攻擊，每天都有大量的資金損失案件發生，這些資金大都是發生在支付過程中，被黑客攔截轉入陌生賬號的。如果數額不是很大，一般情況下很難追回。”張森教授透露，哪怕追究責任，一般也會按責任來承擔。比如說，支付平臺自身存在漏洞，由平臺方承擔責任，而用戶手機在安裝社交軟件或游戲軟件中感染木馬威脅到支付軟件安全，損失則由用戶方負責。

　　在范淵看來，手機用戶想降低移動支付風險性，最便捷的方法就是平時使用兩個手機。一個手機安裝移動支付軟件，另一個手機安裝游戲和社交軟件。“這樣的方法比較極端，但是卻可以避免木馬軟件利用社交軟件漏洞，攻擊移動支付軟件。”

　　不過，論壇上也有安全專家建議，用戶最好給支付賬戶設置單獨的、高安全級別的密碼、給手機支付設置手勢密碼;不越獄、不給手機亂裝軟件;支付應用實名認證;謹慎保管個人的身份證、銀行卡、手機驗證碼等隱私信息;不點擊不明鏈接，不安裝不明軟件;丟失手機后應進行掛失服務……

　　這些“秘訣”全是老生常談的內容，可是卻常常因為“手賤”而被遺忘。當然，你可以花點錢購買一些專門針對手機支付病毒的軟件。據了解，這個市場被國內外多個網絡安全信息技術公司看中。據悉，目前已經有公司研制出一款對于木馬病毒的植入防護軟件產品，通過對手機內部軟件進行打包計算，適時觀測手機異常情況。但是不是有用，還有待市場驗證。

　　不過，有個腦洞大開的設想，倒是可以作為一針安慰劑。馮國力透露，目前行業的趨勢是逐步把精力放在后臺安全，通過生物識別和大數據的方式來設置一把“鎖”，它知道開鎖的是不是主人。“這是包括螞蟻金服在內的不少互聯網公司努力的方向。”