这年头,移动支付是越来越方便了,除了很多人在使用的手机银行之外,手机支付宝、微信支付也成为移动支付的代表作。不过,移动支付虽然方便,但背后的漏洞也不容忽视,以支付宝为例,网上偶尔出现一些资金被盗刷、余额宝被盗刷的报道,且不说这些报道是否客观真实,但里面所提到的一些问题还是客观存在的。所以,我们就想借此分析一下,移动支付究竟有哪些安全问题需要注意?

对手机过于依赖而导致安全隐患

对一般用户而言,涉及移动支付安全的关键词有如下几个:用户名、登录密码、支付密码、数字证书(这个一般是电脑版才有)。只要在上述几个条件满足的情况下,用户就能完成支付。对不法分子而言,如果要盗取用户的钱财,他们会怎么做呢?

众所周知,很多移动支付工具是通过手机短信进行验证的,也可以通过手机短信验证码修改登录密码和支付密码。所以,如果用户的手机被植入木马,或者用户手机卡被复制,或者用户手机丢失,都可能面临资金被盗的情况。当然,后两种情况相对容易防范一些,而对于手机病毒或者木马,在不借助于有效的杀毒软件的情况下,用户基本就无能为力了。

如果手机中木马,不法分子可能远程控制手机,完成转账等相关功能,你或许会问,一些操作需要验证码怎么办?如果中了木马,黑客将直接半路拦截验证短信,神不知鬼不觉。可以看出,移动支付的安全可能会严重受制于手机安全,一旦手机不安全,移动支付也可能存在隐患。

功能太人性化而带来安全隐患

由于手机操作不像电脑操作那么伶俐,因此,移动支付也根据手机的操作特性推出了很多人性化的功能。使用手机支付宝的朋友应该知道,手机支付宝有诸如手势密码进入、小额免密码支付、绑定银行卡快捷支付等功能,这些功能确实很方便,却可能给支付宝安全带来麻烦。首先,手势密码相对于数字符号密码而言显然简单了许多,而且一般用户也不会设置太过复杂的手势,这使得其安全系数并无想象的那么高。至于小额免密码支付,由于缺乏密码保护,支付没有安全保障,当然,鉴于额度较小,不会给用户带来太大的损失。

比较麻烦的是绑定银行卡快捷支付这一项,比如,一个人支付宝里面可能只有1000块,但是绑定快捷支付的银行卡里面可能有几万块,黑客如果能盗取支付宝里面的1000块,它也可以直接盗取银行卡里面的几万块。因为快捷支付绕过了银行的安全防线,少一道防线,安全系数自然弱了很多。而且一旦出问题,银行方面不承担赔偿责任,而至于支付平台是否会赔偿,那就不知道了。

PC端移动端安全功能未同步而造成安全系数不够

再说一点,部分安全功能未同步也可能造成移动支付的安全系数不够。举个例子,笔者的支付宝之前开通了每月6毛的短信校验服务,开通该功能以后,每笔转账无论大小都必须通过短信进行验证,该功能在PC上使用并无问题,但在手机上却无法使用。也就是说,支付宝并未对手机钱包同步覆盖该功能。

当然,还有一些功能是手机支付很难使用的。比如支付宝推出了支付盾用于提升安全性,但该功能如何在手机上使用?手机上又不能插支付盾。也就是说,这道防线可能对手机支付宝也不实用。

上述几个问题只是比较常见的安全隐患,那么针对这几个问题,笔者有如下建议:

1. 由于一些移动支付工具需要手势密码登陆,那么定期更改手势密码就很重要,如果可能,最好不要用手势密码。

2. 关闭小额免密码支付功能,这个功能虽然方面,但不用密码就能支付,想起来就可怕。

3. 如不嫌麻烦,最好设置短信验证功能,比如高于1000块必须发短信验证,另外,使用移动支付工具的手机最好和接收短信的手机分开。

4. 如果不是经常使用,平时可以关闭余额支付和移动支付功能,如果要开通这些功能,则必须有更复杂的操作,比如借助于类似于U盾这种第三方工具来打开。

5. 关闭快捷支付功能,避免移动支付工具跨越银联的这道防线。

6. 不要随便扫描二维码,某些二维码背后暗藏木马病毒,一旦中招,后果不堪设想。

7. 下载强有力的手机安全软件,比如百度手机卫士这种,定期对手机做防护。

8. 在公众场合最好不要用手机支付,尤其是在公开的wifi环境中,可能潜藏着一些安全隐患。

虽然提了一些建议,但相信还远远不够,因为手机支付存在一些固有的安全问题是很难解决的,所以,对企业而言,应当尽全力去完善产品,将产品做得更好,为用户提供安全放心的支付环境。同时,一旦用户资金被盗,企业应该积极协调,如果是自己平台缺陷所致,那就必须赔偿。