從攻擊機理看防止信息泄漏在移動支付中的重要性

唐杰

摘 要：隨著移動互聯網的發展和智能設備的普及，越來越多的消費者通過移動智能終端進行購物、支付、轉賬、理財等金融交易。可以說這種無現金化的移動支付正成為世界的潮流，而中國則是這一潮流當之無愧的引領者。但是近年來層出不窮的移動支付安全問題，使人們在使用無現金移動支付時卻面臨很大的風險。而我們認為這些安全風險中的首要風險是由信息泄漏問題所帶來的。而本文正是從攻擊的機理來向您揭示防止信息泄漏是如何的重要。

關鍵詞：移動互聯網;移動支付;信息泄漏;安全

近年來，無處不在的移動互聯網應用為人們的生活、工作、學習等方方面面帶來了非常大的便利。而作來移動互聯網中十分重要的無現金化移動支付，由于其安全問題頻出，也越來越受到各界的關注。但我們發現這一系列安全問題的出現都與一個關鍵因素有關，她就是在網絡世界里你要證明這個虛擬的你就是現實世界里的你。從而才能支持你在虛擬世界和現實世界里的行為的一致性、合理性和合法性。而證明的方式卻也是多種多樣的，但根據的我們的統計分析發現，無論哪種證明方式及其組合，都是圍繞著主體的信息來實現的。

下面，我們來看一下近些年來移動支付存在哪些漏洞及其典型的案例。

第一、智能終端支付易接入不安全的網絡。由于移動支付需要智能終端聯網，而如今很多場所都部署了免費的WIFI，而這些網絡很可能是不安全的，在網絡中的傳輸的用戶個人資料、銀行賬戶、網絡支付賬戶密碼等信息就可能被不法分子竊取。從而實施了非法的轉賬、支付、盜刷等。

第二、未知來源的第三方黑軟件盜取支付信息。從未驗證的來源下載的第三方黑軟件有可能對手機界面進行實時監控，當運行在支付應用安全界面時，進行截屏錄屏，截取重要的賬戶信息等等。比如，近期曝出的微信真人語音借款詐騙。

第三、用戶登錄支付認證方式本身存在缺陷。目前，大部分金融支付機構均采取單一因素進行身份認證，無論是短信驗證碼認證、指紋認證、人臉識別等認證方式，都因為認證因素過于單一，而在安全性上得不到強有力的保障。比如，近些年頻出的短信驗證碼截取，盜刷，盜取，盜用。

第四、用戶缺乏安全常識，安裝了被污染的軟件，造成個人隱私泄露、資金損失。比如，2018年發現的“微信支付”勒索病毒，就是典型的供應鏈污染。

第五、支付軟件本身的漏洞，易受攻擊。即軟件在設計、開發、運行等過程中，由于開發人員技術水平參差不齊等各種各樣的原因，很容易產生一些不可避免的漏洞，這些漏洞被不法分子利用，從而導致軟件崩潰或盜取用戶信息、賬號密碼、造成資金損失等安全事件。比如，支付寶出現的登錄認證漏洞。

以上這些漏洞，從表面上看似乎分類還挺清楚。但仔細分析每種情形就會發現，這里出現最多的詞是“信息”，與之關聯的問題是信息泄漏為攻擊者或不法者仿冒現實中的主體帶來了可能。再加上現在大數據的使用，當這些被泄漏的信息通過大數據的篩選、處理、分析、加工等操作后，就可以在網絡的虛擬世界創造出另一個你。當然有時這個仿冒的你會被識破，但當信息泄漏的越多，這個仿冒的你就會顯得越真實，從而可以仿冒你在虛擬世界做任何想做的事而不被識破。

下面我們通過南京市公安局在官方微博上發布的一則微信語音詐騙案例，從攻擊的機理上來看一下防止信息泄漏在無現金移動支付中的重要性。案例是這樣的：

騙子以幫助受害人充值“游戲點券”為名，與之在微信上語音聊天，引誘對方說出大量語音信息。雖然目前微信并沒有語音轉發功能，但在安卓機上微信語音會以“AMR”格式的音頻文件儲存在手機文件夾中，騙子找到指定音頻文件，通過音頻軟件播放，在使用時，只需在“按住說話”的同時播放語音，就能轉發這條語音出去了。

之后騙子盜了受害人的微信號，再給其微信好友群發急用錢的消息，為了打消好友的戒備心，還特意發送了一段語音，內容為“是我本人”，（實際是轉錄的語音）。騙的錢不多，又有本人的語音，很多人就轉賬受騙了……

從這個案例中，我們可以看到，不法分子通過交談，就使被害人主動泄漏了具備身份識別特征的語音信息（包括聲紋特征），然后再通過其它方式再獲取被害人的其他身份信息，成功騙過了微信的認證機制后就可以仿冒被害人在其好友群發急用錢的消息，并利用轉錄的語音成功仿冒了被害人。這一系列的過程中我們還可以看到信息泄漏不僅在一個點上發生，單從這個案例來看至少存在這么三點：1.語音信息泄漏;2.用于通過微信認證機制的身份信息泄漏;3.聯系人信息泄漏。而這就是網絡世界，一個由信息技術為基礎的虛擬世界。無現金移動支付就是這個虛擬世界你口袋里的錢包，而這個錢包卻是真實的。但現在我們的無現金移動支付驗證技術只是通過特征識別來證明這個錢包的擁有者身份。一切都依賴于所提供的用于驗證身份的信息的真實性，當不法分子掌握足夠滿足身份驗證機制的信息后，他就可以仿冒你，從而擁有你現實世界里的錢包。試想一下，這是一件多么可怕的事情。所以從這個案例中，我們會看到攻擊機理完全依賴于其所掌握的信息的真實性，充分性，而不是更強的技術。防止這攻擊發生的首要條件是防止信息泄漏。這就是為什么我們認為防止信息泄漏在無現金移動支付中顯得如此重要的原因。最后，我們希望引用全國信息安全標準化技術委員會的一句話作為結尾：“個人用戶應做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感信息的保護?！敝挥谐浞终J識到信息泄漏帶來的危害，才能盡可能的減少信息泄漏，從而降低其所帶來的風險，防患于未然。

參考文獻：

[1] 王思平，李 ?奔.移動支付安全風險及防范措施分析[J].中國市場，2018（29）：181-182.

[2] 張志寬.移動社交網絡安全問題與對策研究[J].電腦迷，2017（03）：185.

[3] 劉 ?薇.互聯網支付風險控制優化設計研究[D].浙江理工大學，2015.