10月20日，由移动支付网和北京移动金融产业联盟联合主办的“MPSC 2016中国移动支付安全大会”在深圳隆重召开，500多位产业链各方齐聚一堂，探讨移动支付的未来，从政策、标准、技术、创新、未来等各个方面聚焦移动支付安全。梆梆安全高级安全咨询顾问陆茜茜就移动支付安全等问题做了主题分享。

梆梆安全高级安全咨询顾问陆茜茜

移动支付安全背景

在过去一年里，移动支付规模增长迅速，规模达到了108万亿。移动互联网改变了国人的生活方式，消费者在衣食住行各个应用场景越来越倾向于使用移动支付。今年6月中国手机网民用户已经达到6.6亿，占到整体网民的92.5%。在如此庞大的使用人群和交易规模下，互联网带来便利的同时，移动支付相关的安全支付问题也越来越凸显。陆茜茜表示目前恶意软件呈现爆增势态，其中有22.2%是诱骗欺诈，23.7%是资金盗取。

与此同时，当今中国黑色产业链团队组织化趋势非常明显。陆茜茜表示，国内超过150万名黑产从业者，正在上下游形成一条黑色产业链。一般来讲，上游做诸如生产木马等基础黑产服务，中游做上下游的中介桥梁，买卖帐号，下游则进行套现获利。陆茜茜透露，目前黑资产已达到千亿规模。

移动支付安全现状

就是在这样的背景下，移动支付面临的安全挑战越来越严峻。陆茜茜认为当前移动支付安全问题存在五大现状：

第一、支付环境复杂：手机病毒持续增长，2015年新增样本数量超过100万份，超过50%的移动病毒涉及短信劫持行为，直接指向移动支付验证码，利用第三方市场、短信、伪基站传播的钓鱼应用，危害帐号密码安全。

第二、手机系统漏洞：超过80%市场份额的Android操作系统存在显著的碎片化特点，系统的更新和升级往往由各家手机厂商完成，不能像IOS系统那样发布全球统一的补丁，造成了Android平台已经成为病毒木马及钓鱼攻击滋生的最大温床。

第三、行业标准及法律保障不健全：移动支付的法律规范仍不健全，存在很多空白；移动支付的标准基本上源于传统网银支付，缺乏针对性；许多技术标准和加密算法无自主知识产权，发展受限制；行业内也缺乏完善的安全标准，加大了监管的难度。

第四、监管滞后：2013年以来，人行及银监会为了防范移动支付风险，逐渐加大了对市场的监管力度，但是相对于市场的爆发性增长及技术的快速发展，监管政策仍然明显滞后。

第五、用户防范意识较弱：移动支付方兴未艾，但是用户对安全缺乏了解，经验不足，防范意识和能力都较弱。用户的高安全性需求与实际能力方面，存在较大的差距。

从技术角度来看，移动支付遇到的安全风险可分为对内和对外两个部分。对外指的是移动支付在用户使用过程中会遇到的攻击。比如病毒、木马、钓鱼网站、欺诈短信以及WIFI等。对内则主要是手机操作系统安全漏洞、移动金融应用安全漏洞、移动支付系统业务逻辑缺陷、安全管理措施不完善。

移动支付安全方案

陆茜茜坦言，移动互联网安全和互联网安全是不能等同的，互联网安全措施已经相对完善，而移动互联网只发展了短短5年，爆发期有很多漏洞和缺陷跟互联网是不一样的。但威胁并不可怕，支付安全某种程度上就是不断的攻克和防御。当对手发生了变化时，我们的观念要跟上，并且从技术防范的角度去做更新。

梆梆安全方案中采用移动应用加固方式，并在交互逻辑、验证逻辑方式上做到可信执行。同时在验证码方面，可通过软件加密保护平台做上行加密，在这样的环境下，黑客拿了下行验证码也会由于缺少密钥，导致该次认证在银行的后台交易不被受理。最后，通过金融反交易欺诈系统做的支付威胁感知和身份认证。黑客在攻击时必然会在攻击路径上埋点，做一些窜改需要用到哪些手段或工具，我们可以从这个思路中发现和感知异常交易。