拖库、伪基站、免费Wi-Fi、二维码……这些移动支付陷阱你中了几个？

　　2015年是中国移动支付大发展的一年，根据iResearch艾瑞咨询2015年11月发布的统计数据显示，2015 Q3中国第三方移动支付市场交易规模达24204.9亿元，环比上涨5.4%，同比上涨64.3%。

　　目前，比较流行的几种移动支付方式包括二维码扫码支付、NFC移动支付（例如交通卡支付）和指纹支付。除此之外，光子支付、声波支付、刷脸支付、硬件支付等新的移动支付方式不断涌现。

　　目前我国的移动支付行安全能力参差不齐。财付通、微信支付、QQ钱包、支付宝等主流支付平台因为自身的生态体系内拥有庞大的数据，对大数据运营能力强。大厂商依靠强大的风控能力和技术支持，能及时识别、拦截异常交易，安全性较高；而一些小型的移动支付公司因为缺乏大数据，帐号体系不完善，风控能力弱，构面对产业化运作的黑产技术，力不从心。

　　移动支付行业面临三大风险

　　有人的地方就有江湖，有钱的地方就有诈骗。随着移动支付市场的不断扩大，一些不法分子逐渐将黑手伸向这些用户。其作案手段专业化、团伙化，通过网络的联系，甚至一些素未谋面的犯罪分子开始分工协作，逐渐形成了黑色产业链。对于移动支付的用户来说，主要有下面三方面的风险：

　　互联网幽灵：拖库、洗库、撞库黑客

　　近年来，国内关于用户隐私信息被窃取的事件频频发生。2014年年底，铁道部官方网站（12306.cn）13万用户信息泄露，包括身份证、登录口令等，据调查分析应是撞库所致；2015年2月，优步（Uber）披露，5万名优步司机的个人信息被不知名的第三方人士获取，包括社保码、司机相片、车辆登记号等信息；4月，遍布19个省份的社保系统相关信息泄露达5279.4万条，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息；12月，据媒体消息，申通快递被黑客入侵系统，3万多条包含客户信息的快递单遭到泄漏。

　　网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势，越来越多的网络黑产分子通过拖库、撞库盗取用户个人信息，给网民造成了金融资产和个人信息安全等多方面的危害。

　　在这些泄漏的信息中，最容易被网络黑产集团利用牟利的就是个人姓名、手机号码、身份证号码和银行卡号这直接关系账户安全的四要素。这些信息大多会被出售给黑市中的诈骗团伙和营销团伙，用来进行诈骗和恶意营销。比如近年来时常发生的网购退款诈骗、网购机票退款诈骗等。

　　黑客通过入侵有价值的网络站点，盗走用户数据库，这个过程在地下产业术语里被称为“拖库”；

　　在取得大量的用户数据之后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，通常被称作“洗库”；

　　最后黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”。

　　因为很多用户喜欢使用统一的用户名密码，“撞库”也可以使黑客获得用户在多个平台的账号密码。

　　最后，黑产人员还会把多个不同类型的数据库整合成“社工库”。随着社工库的日益完善，大量网络用户的隐私信息、上网行为、以及与个人金融财产安全相关的数据被重新整合，多维度的海量信息让有强针对性的精准式诈骗场景频现。

　　钓鱼网站：木马病毒控制

　　手机木马病毒是移动支付环境中*的毒瘤，而绝大多数的手机病毒都是针对安卓系统进行攻击。由于安卓是一个以Linux 为基础的开源移动设备操作系统，开放性较高，让网络黑产人员有了可乘之机。

　　根据腾讯移动安全实验室的最新报告数据显示，2015年手机病毒包新增1670.4万，是2014年的10倍多。而其中新增的支付类病毒超过32.6万，全年被支付类病毒感染的用户高达2505万，平均每天就有81000人遭受支付类病毒的侵害。

　　其中支付类病毒行为中占比最高的为执行反射(黑客为了逃避反编译，通过某种隐藏方式来调用某些API接口)，达16.81%。其次是隐私数据(手机信息)上传占比14.8%。同时，许多支付类病毒还会静默联网、静默删除和发送短信。主要是将用户的验证码信息转发到另一终端，从而实现银行卡的盗刷。

　　另外，钓鱼网站也是网络黑产窃取用户信息的一个惯用手段。所谓钓鱼网站即域名和页面都和正常网站非常相似的假网站，通常会模仿银行或者电信运营商的官方网站，诱导用户在钓鱼网站上输入个人信息。

　　根据腾讯各大安全平台数据显示，2015年移动支付安全领域，受骗群体以男性为主，在所有受骗人中男性占71%，而女性只占29%。年龄则集中在19-35岁 的青年群体。而资金受损最严重的五大省份分别是广东、山东、福建、河北、湖北，资金受损最严重的五大城市分别是北京、重庆、广州、深圳和上海。

　　2015年10月，国家网络安全宣传周在启动仪式上发布了《我国公众网络安全意识调查报告（2015）》。在25万多的调查者当中，定期更换密码的被调查者仅占18.36%，更有17.05%的被调查者从来不更换密码。同时，我国多帐号使用同一密码的问题也非常突出，我国超七成被调查者存在多帐号使用同一密码的问题，特别是青少年多账号使用同一密码的比例高达82.39%。这样的密码设置习惯使黑产分子拖库、撞库的成功率更高。

【本文由投资界合作伙伴腾讯网授权发布，本平台仅提供信息存储服务。】如有任何疑问，请联系（editor@zero2ipo.com.cn）投资界处理。