1999 年,移动支付在我国第一次出现,于广东省等一些省市开始试点。2002年我国开始了小额支付的试点工作,2004 年完成了手机与银行卡的移动支付合 作,这样就将用户的 SIM 卡和银行卡完成了绑定。2006 年到 2010 年移动支付完 成了从商业试点到银联同农行、建行、交行、工商银行等 18 家商业银行,以及 中国联通、电信两家电信运营商和某些手机制造商组成的大联盟的蜕变,并将其 命名为“移动支付产业联盟”。2011 年 6 月国家下发了第三方支付牌照。2012 年 移动制度业务合作协议签署成功,标志着我国移动支付行业确立统一的移动支付 标准,结束了以前各自发展、互不相关的局面。[7]从此我国移动支付行业进入了 飞速发展的阶段。到 2015 年统计的数据显示移动支付指数连年攀升,如图 1。1 所示,2015 年 9 月移动支付指数达到 183。1,其中使用手机完成付款的比例为 82%,手机支付交易站网上消费总额的 51%。
1。1。2 验证码保护现状
随着互联网时代的不断发展,短信验证码成为了如今人们关联手机、注册账 号、在线支付的主要途径之一,短信验证码的地位也随之凸显,但是也因为验证 码与用户的个人、财产信息息息相关,致使了很多上当受骗、丢失个人信息、银 行账户被盗等类似事件的发生。
当第一个以手机号码为注册方式完成账号注册的情况出现后,这种通过手机 验证短信完成的注册便开始在各大企业流行,如今有的网站甚至只保留了这一种注册的方式。这种注册方式的优点在于用户手机号码的唯一性,对于用户而言, 不易丢失账号,忘记密码也能通过手机验证找回;对于企业而言,能方便账号的 管理,不会出现一个用户申请很多垃圾账号的情况,同时更是能够直接获得了用 户的联系方式。
而随着移动支付出现,验证短信这一支付方式又开始了新一轮的狂潮。用户 将手机 SIM 卡和银行账号一对一关联,系统向用户手机发送验证短信,然后用 户在支付界面输入验证码完成支付。这样不仅保证了支付的安全,让不法分子难 以截获验证码,而且在用户收到验证短信而没有进行相应操作时能够第一时间察 觉到自己账号的异常,迅速冻结账号或者修改密码。
但是验证短信作为手机支付安全的重要手段,又有着不可忽视的缺陷:首先, 手机短信不是密文发送的,可能会在在通信途中被拦截和转发即失去了安全性。 虽然如今短信是通过运营商的通道传送的,现在也并没有案例显示出现这种直接 通过无线信号拦截短信情况,但是验证短信还存在第二个缺陷,那就是当手机手 机接收到短信时,短信验证码又被各种非法应用或者病毒程序拦截捕获。
对于第三方支付业务,如今,移动平台在线支付工具已经被大多数人所接受, 从国外的 Google Pay、Apple Pay、Samsung Pay 到国内的支付宝、财付通、微信 钱包等,各大移动支付平台都在大力推进移动支付,希望能够极大程度上代替传 统的现金和刷卡的支付方式。但是,与此同时,移动支付的安全性也成为重中之 重。不法分子运用各种手段通过不同方式不同渠道企图攻破手机的保护系统获取 用户的资料侵犯用户隐私甚至盗取用户钱财。而短信验证码作为完成交易的一种 最基本的手段,也是不法分子们重点攻击对象。
截获验证码的手段多种多样,现在主要主要为一下几种:山寨/恶意应用、 恶意程序、系统漏洞。
(1)山寨/恶意应用
调查显示,2015 年各种应用数量不断飞涨,如图 1。2 所示,App Store 应用 商店所包含的 IOS 应用达到了 121 万;而 Google Play 应用商店所包含的的 Android 应用则更加夸张,达到了 143 万;Windows 系统作为手机应用系统领域 的新生力量,虽然仅仅 30 万,但其增速惊人,不可忽视。[12] Android智能手机移动支付保护系统验证短信保护系统设计(3):http://www.youerw.com/jisuanji/lunwen_90665.html