分享》解析支付行业面临的安全风险及发展趋势

随着支付服务的广泛普及，企业要想兼顾创新与支付安全非常不容易。一方面，在支付机构规模继续扩大、电子支付消费渗透率持续提升、网络零售业高速发展、电子支付业务继续保持高度集中的大环境下，支付安全问题尤为突出。另一方面，受理渠道、产品形态、服务形式日益多样化导致安全防范要求从交易数据到客户账户，从资金安全到网络安全，从系统漏洞到业务风险，几乎无处不在。



支付行业面临的主要风险

支付机构主要关注信用风险、欺诈风险、信息技术风险。信用风险是指因客户主管偿付意愿或能力问题，导致无法偿付应付债务、无法交付商品与服务，从而给支付机构带来的潜在损失。欺诈风险是包括商户及消费者端的欺诈，比如商户从事欺诈活动，如伪造变造经营信息、与个人合谋欺诈等活动，以及消费者盗用他人金融工具等行为，给支付机构带来的潜在风险。信息技术风险包括支付系统是否能确保按照业务需求交付实施，信息资产安全是否存在充分控制与保障，信息化服务是否能高效地提供等不确定因素带来的风险。

诱骗支付是导致用户遭遇不安全事件的主要原因。Verizon于2013年发布的报告显示，数据泄露攻击手段中的69%是“通过不安全的远程访问服务使用恶意程序进行”的。2013年末麦肯锡发布的数据显示，87%的恶意程序采用的是网络钓鱼、浏览器中间人MitB(Man in the Browser)和键盘记录木马(Key—1ogging)这三种方式。幸运的是，通过使用爱加密（www.ijiami.cn）移动支付定制解决方案可以有效地预防这些风险，为支付行业加上一把安全锁，时刻保护个人和企业的数据安全，防止他们成为犯罪分子的攻击目标。

支付欺诈技术最新趋势

经典传统恶意程序重拾势头。当安全产品能够检测新的网络犯罪技术时，恶意程序的开发者回头去研究那些更多需要手工和消耗时间的传统方法(比如阻止用户与真实网站进行交互)，以此绕过/避开最先进的异常检测和设备ID解决方案。

源码泄露加速恶意程序的发布周期。源码泄露给犯罪分子提供了开发新的恶意程序变种的机会，而新的恶意程序变种包含新的特征、签名以及伪装功能，传统防御技术、标准的反病毒/反恶意程序平台尚不具备甄别这种恶意程序的能力。

手机短信转发恶意程序变得无处不在。手机一次性密码技术正遭受攻击，手机短信验证作为代外认证手段已经变得无用。伴随着飞速增长的移动设备用户群，手机银行、移动互联网银行已然成为未来主流，让短信通讯被入侵带来的风险更加触目惊心。

恶意程序反研究反破解变得更加普及。反侦察反分析成为大多数恶意软件产品的标准组件，越来越多的恶意软件使用各种技术(包括先进的加密、虚拟机、调试软件等)以避免被恶意软件研究人员分析。

设备指纹技术不再可靠。设备指纹技术用于查明该账号的访问点是否来源于客户知道的设备，当访问来自于客户设备，指纹识别解决方案允许合法用户访问他自己的账号。但是欺诈者不再使用自己的机器进行入侵控制账号攻击，而直接通过访问受害者的机器使用多种远程访问技术，这种方法可以绕开多种设备指纹技术。
http://games.ifeng.com/netgame/csnews/detail_2015_05/05/41033919_0.shtml http://games.qq.com/a/20150506/056776.htm