(电子商务研究中心讯)

插画：李瑞宁

　　制图：蔡华伟

　　日前，中国人大网公布《网络安全法(草案)》，面向全社会征集意见。随着移动互联网快速发展，手机安全问题日益突出。猎豹移动安全实验室《2015年上半年移动安全报告》显示，2015年上半年全球受病毒感染的手机达6.1亿台次，恶意应用数量已达451万，一年内新增手机病毒达过去数年的总和。

　　另据北京网络安全反诈骗联盟透露，2015年1—3月接到手机用户报案1147例，报案总金额为831.8万元，人均损失7252元。

　　专家分析，支付风险、社交隐患、资费陷阱等威胁，已成为手机安全“重灾区”，亟待加强风险防范、提升安全应对。

　　威胁一

　　制造病毒、伪装终端，手机支付藏风险

　　央行发布的《2014年支付体系运行总体情况》报告显示，2014年全国共发生电子支付业务333.33亿笔。其中，移动支付业务45.24亿笔，金额22.59万亿元。

　　移动支付用户快速增长的同时，支付安全也成为手机安全重灾区。《2015年上半年移动安全报告》显示，在所有种类的病毒中，移动支付类病毒比例高达68%。从全球来看，中国是受移动支付类病毒影响最严重的几个国家之一，如果将“感染量”作为衡量标准，中国、俄罗斯、印度、马来西亚和美国排在前五位。

　　猎豹数据显示，2015年上半年，共截获156万个钓鱼网站，其中62%骗取手机支付信息。与传统钓鱼网站骗取网络账号、QQ号等不同，现在的恶意网站直接骗取与手机绑定的银行卡账号密码，危害更大。

　　此外，移动交易终端成为犯罪分子重点攻击目标。一些黑客利用伪基站、恶意WiFi网络端等渠道获取用户银行卡等信息，借机发起恶意攻击。

　　6月1日，《我国公众网络安全意识调查报告(2015)》正式发布。报告显示，我国约83%网民的网上支付行为存在安全隐患。

　　几个数据可以印证：我国网民多账户使用同一密码的情况高达75.93%；随意链接公共免费WiFi的比例高达80.21%；支付时不仔细辨认支付页面网址真伪，在被调查者中占比接近35%。

　　可以确定的是，这些行为都可能导致支付密码泄露、支付账号被盗用等现象，从而造成用户经济损失。

　　威胁二

　　泄露隐私、窃取资金，手机社交有隐患

　　除了移动支付安全风险外，手机社交中的隐患同样不得不防。随着智能手机流行，移动社交呈现爆发式增长态势，安全风险也相应增加。

　　先看看国外。2015年1月，俄罗斯约会交友网站Topface约2000万账户名及电邮地址遭泄露，并被黑客放到在线论坛上拍卖，一时引发巨大恐慌。

　　再说国内。截至2015年5月，国内移动社交应用覆盖设备规模已达10.41亿部终端。北京网络安全反诈骗联盟发布《2015年网络诈骗犯罪数据研究报告》显示，仅2011年至2014年底，公开并被证实已经泄露的中国公民个人信息多达11.27亿条，内容包括账号密码、电子邮件、电话号码、通讯录、家庭住址，甚至身份证号码等信息。去年七夕，在全国范围内爆发超级手机病毒“XX神奇”，超过500万用户收到该木马程序群发出的诈骗短信，正是依托移动社交传播的。

　　专家指出，无论手机社交网站，还是各种“朋友圈”，如有人不慎“中招”，病毒将成几何式传播。当下，基于社交网络进行传播的信息、产品层出不穷。很多人的通讯录里都有数百个号码，组成了庞大的社交网。一个人的手机“中招”，往外发送病毒信息时便会以N次方速度扩散。

　　另外，微信、微博等互动社交应用也多与智能手机有绑定业务，手机号在成为各种服务的快捷登录、支付账号后，一旦出现安全漏洞，就有可能给用户带来极大损失。

　　威胁三

　　植入程序、恶意攻击，资费陷阱花样多

　　360公司日前发布《2014年中国手机安全状况报告》显示，2014年恶意程序样本较上年增长近4倍，达到326万个，全年感染恶意程序的安卓用户达到3.2亿人次，其中超七成为资费消耗类恶意程序，这其实已远远超过“隐私窃取”。

　　2014年大部分恶意程序瞄准了手机中的流量资费，并已形成一条“灰色产业链”。在360公司公布的“2014年第三季度感染量最高的十大恶意程序”中，一款名为“Bubble X Slice”的程序，感染量达398142人次，其主要危害就是在软件打开后，隐瞒用户自动发送短信，造成用户手机资费消耗。

　　更令人担忧的是，恶意软件往往含有两种或两种以上恶意行为，扣费之外还附加隐私窃取等行为，多重危害让手机安全面临更大威胁。

　　比如，“2014年第三季度感染量最高的十大恶意程序”中，提到一个名为“植物大战僵尸王2(仿冒版)”的恶意程序，常常悄然植入用户手机，感染量为223769人次。该程序打开后，会在用户不知情的情况下自动发送短信，导致资费损失、隐私泄露。

　　应对

　　用户、厂商、监管三方携手，织密安全保护网

　　专家认为，智能手机已进入千家万户，弃之不用不太现实。当务之急是提升安全防范，需用户自身、手机软硬件提供商和监管部门携手，一起采取有效行动。

　　令人欣慰的是，网民的安全风险意识正在提高。比如，7月8日，支付宝9.0新版本全面更新上线后，关闭手势密码引发了网友对其安全性的质疑：系统只要检测到用户是在常用的设备登陆，就可以直接修改支付密码，无需提供证明。虽然支付宝方面表示，将会根据用户的使用习惯记录下大数据，确保账户的安全，但仍未打消网友疑虑。

　　如何从技术上、源头上防止手机安全风险？这需要手机软硬件提供商“先下手为强”，包括安全软件厂商、电信运营商、手机厂商、芯片厂商、操作系统厂商等，积极主动在手机软硬件源头上下功夫，不断升级手机安全保护网，将恶意软件、木马程序等有效阻断在入侵前的“最先一公里”、得手前的“最后一公里”。

　　另外，政府监管也要“发力”。从现实来看，目前的监管有点“力不从心”。以手机支付产业为例，我国移动支付产业监管立法仍处于相对滞后状态。

　　虽然我国已有关于移动支付的法规，包括《电子支付指引(第一号)》《非金融机构支付服务管理办法》《电子银行业务管理办法》等，但应看到，现有规定大多以部门规章为主，如何执法、怎么监管、双方权益如何划定都很模糊。市场发展快，立法要跟得上，监管才能更有力。

　　专家指出，用户提高风险意识，运营商、手机软硬件提供商构建“技术墙”，政府部门提速监管，我们才能织密手机安全“保护网”，防范风险、确保安全。

　　▶▶链接

　　案例一：“iCloud钓鱼攻击”，猎豹移动安全实验室的安全报告将其评为2015年上半年重大安全事件之一。

　　使用苹果手机的人都知道，苹果手机Find My iPhone中的“丢失模式”(Lost Mode)是一个实用的功能，它允许失主在iCloud上直接发一段文字到手机——例如：“你好，我的iPhone丢了，请联系185********，感谢万分！”

　　这本来是为了帮助失主找回手机，但可怕的是，目前该功能却被黑客利用。黑客会发送一条包含网址的短信，点击进入该网址后是个伪造的iCloud页面，黑客借此来骗取用户的苹果账户名和密码，对被偷的手机进行解锁，将其据为己有。据了解，2015年上半年，国内外均出现利用该功能钓鱼的案例，在这个过程中不断有用户受害、黑客得利。

　　案例二：近日，网友“公交姬”发微博称，因为手机被恶意开启短信保管箱业务导致银行卡资金被“洗劫”。

　　“短信保管箱”是电信运营商提供的一种增值服务，其功能是在运营商的服务器上保存用户的手机短信。

　　“公交姬”先是收到短信，被告知开通短信保管箱业务。发现问题后，其联络10086客服关闭了此业务，并修改了网上营业厅的登录密码。但是，盗窃者仍然重置了登录密码，最终通过第三方支付关联其银行卡，从而盗窃得手。

　　业内安全专家推测，“公交姬”修改密码后很快又被不法分子重置，并且盗窃者手里还掌握了其银行卡信息，可见其个人信息泄露比较严重。(来源：《人民日报》 文/朱利）