4月22-23日，2014第六届中国移动支付产业论坛在北京隆重召开。奇虎360副总裁石晓虹与会并发表演讲。介绍了今年的支付类安全隐患的同时，他认为网银或支付类的应用，在需要使用短信作为验证码的时候，我们建议考虑短信加密的方式，即使截取了短信也无法解密。以此提高移动支付的安全性。移动支付网作为本次论坛战略合作媒体，对会议进行全程报道，以下为演讲实录。

奇虎360副总裁 石晓虹

　　石晓虹：很高兴有机会参加这个论坛，大家知道360是专门做互联网、移动互联网安全的，下面我从安全角度谈一下移动支付存在的问题及解决方案。

　　过去两年手机支付有较大幅度的增长，这是我们在360手机助手里的统计，从应用下载来看，支付宝钱包仍然是支付类应用，其次是各类网银客户端。大家能够看到，其中最大的下载量是建行的网银客户端，其次是工行的手机银行客户端。手机支付的快速增长，它面临着一系列安全问题，首先我们看到的是智能手机的安全漏洞，对移动支付所带来的风险。

　　这是去年360公司举行的中国互联网安全大会上我们展示的一个结果，是我们对九大智能手机进行的手段检测，其中有70%的漏洞是手机厂商对Android操作系统的定制引入的。其中，几类跟移动互联网金融或支付相关的漏洞，包括后台的消息、Android签名漏洞、短信欺诈、后台电话、清除数据及静默安装，这个漏洞据统计影响99%的用户，在去年我们截获到的利用手机漏洞的木马将近15000个。

　　除了操作系统的漏洞以外，同时在手机里面浏览一个网址也同样可能中招，在点击网址以后可以执行恶意代码，自动将手机个人隐私信息发到黑客的服务器。除了手机本身的安全漏洞以外，第二个大的威胁是手机上的各种恶意程序，我们可以看到在去年所统计的安卓平台软件中，吸费类的木马大概占到67%，大概有21%是隐私窃取的，有8%是欺诈诱骗的。

　　同时我们可以看到，在手机购物和支付类的恶意程序例，存在大量的仿冒、篡改正常的网银和支付程序的情况，被篡改和仿冒的对象里面，仿冒和篡改淘宝相关应用是最多的比例，大概在25%，其次像微信网银客户端也都存在大量的篡改情况。

　　支付类的木马，大多是通过点对点传播，比如通过短信的URL链接及微信点对点传播。我们发现了一个支付鬼手的例子，它会将支付宝帐号后台进行发短信。另外，手机大盗手机木马会截获手机短信，这种短信被截获之后发送到黑客的服务器上，这会直接影响用户帐号的支付安全。

　　所以我们可以看到，网银类或支付类的客户端，除了自身软件的安全问题，比如系统类似以外，如果手机上存在这样的恶意软件，同样支付会受到安全的威胁。另外，短信在手机中很容易被拦截和篡改，所以短信验证码也需要我们考虑它的安全性。

　　下面，我就谈一谈在支付安全方面，欺诈短信所带来的风险。在去年，我们拦截的垃圾短信将近970亿条，其中有5%是诈骗短信，主要有假冒身份要求打款的，或者骗用户说要升级银行密码器等等一系列诈骗。我们总结了与支付相关的诈骗短信里面的关健词，其中有八个与支付有关。另外就是伪基站发的短信也非常多，有统计2013年伪基站发的短信有上百亿条。下面我们看到的是360拦截伪基站发出短信的情况。

　　我们希望通过这样的技术为移动支付领域同行提供技术支持，通过集成360技术模块，我们为合作伙伴提供支持，包括对于手机木马的查杀，对于支付环境的监控，等等一系列安全防护的能力。我们在手机端，能对正版官方的手机APP进行识别，同时对仿冒盗版山寨的网银APP客户端能够进行拦截，向用户明确提示，对木马病毒的查杀也比较容易理解。

　　网址安全的扫描，对于用户所收到手机里的各种网址，我们会进行检测，来判断这种网址是否存在盗号、恶意代码，给用户进行明确提示进行拦截访问。二维码，我们去年也看到有非常多的用户收到恶意二维码，但也没有能力鉴别，一旦访问之后就会造成个人信息的泄露。当安装360手机卫士之后，在用户点击和扫描二维码的时候，会自动判断这是否是一个安全的二维码或恶意的二维码，并进行拦截和提示。

　　我们在这里也提出个建议，网银或支付类的应用，在需要使用短信作为验证码的时候，我们建议考虑短信加密的方式，即使截取了短信也无法解密。同时360现在实现了一个功能，因为360手机卫士具备垃圾短信的拦截能力，直接在底层识别验证码短信，这时我们会让手机验证码短信不会进入到手机的收件箱，而是以比较安全的方式展现给用户看，同时30秒之后阅后即焚被删除了，通过这种方式加强短信的安全性，同时我们也希望把这种技术提供给网银和移动支付安全渠道厂商提供技术支付。

　　除了在技术以外，360也提供其它的一些措施提高用户在使用移动支付时的安全性，其中之一我们推出了先行赔付的服务，当用户启用了这个服务之后，如果蒙受了损失我们可以对用户进行赔付，每年最高赔付金额7万2，同时我们可以实现对疑似欺诈短信的处理，当用户收到欺诈短信往往会把钱打入某个帐户，我们会对帐户信息进行模糊化处理，这种情况下用户至少能够延缓马上在冲动下付钱的可能性，减轻用户的损失。

　　另外，我们引入了群众联防的思路，当用户接到电话收到短信的时候，都可以标记或举报骚扰电话或短信，标记成推销或者中介，其它用户再接到这样的电话的时候就可以很容易的分辨出来。另外在360搜索里我们也开通了这样一个功能，当搜索一个特定号码的时候，我们能给你展示这个号码的来源，以及曾经这个号码被多少用户举报过。另外我们也开通了一个专门的诈骗电话查询服务，用户可以在这个网址里面输入相关手机号码，能够得到信息个反馈结果是否是欺诈号码。

　　通过这些措施，我们保证给用户提供更好的在手机支付、手机网银方面的支持，360一直专注于安全，我们也希望利用我们在安全方面积累的技术，能够给广大在移动支付领域的同仁提供相应的支持，帮助我们把移动支付环境打造的更为安全。

　　谢谢大家!