百度张磊:移动金融需要第三方专业安全保障
随着“微信红包”、“余额宝”、“百发”、“百度钱包”、“嘀嘀打车”等成为我们生活的热门词,使得手机越来越像个“钱包”,移动金融已经进入“快速成长期”。5月6日下午,GMIC主会场一场关于移动金融以及支付安全的高端对话正式开启,百度移动安全总经理张磊、腾讯安全副总裁丁珂以及易方达基金副总裁陈彤齐聚一堂,共议移动金融的变革与安全挑战。
随着“微信红包”、“余额宝”、“百发”、“百度钱包”、“嘀嘀打车”等成为我们生活的热门词,使得手机越来越像个“钱包”,移动金融已经进入“快速成长期”。从刚刚结束的全球规模最大的移动互联网行业会议2014 GMIC上可以看出,最为火爆的话题当属移动金融,以及其背后的安全支撑。
5月6日下午,GMIC主会场一场关于移动金融以及支付安全的高端对话正式开启,百度移动安全总经理张磊、腾讯安全副总裁丁珂以及易方达基金副总裁陈彤齐聚一堂,共议移动金融的变革与安全挑战。针对各方关注的移动金融安全问题,百度移动安全总经理张磊表示,恶意吸费病毒已经成为危害移动金融安全的最大安全风险,百度移动安全将开放自己的安全能力,携手金融机构、第三方支付机构等产业链上的各方一起为用户提供安全双重保障。
百度移动安全总经理张磊
吸费病毒成为移动金融最大安全威胁
移动金融的安全问题从去年下半年开始突出。据央行数据显示,2013年共发生移动支付业务16.74亿笔,金额9.64万亿元,同比分别增加212.86%和317.56%。但与此同时,病毒木马、电信诈骗、网络钓鱼等严重威胁着用户支付信息和财产安全的情况也越来越多。百度手机卫士监测数据显示,从2013年上半年开始手机病毒每个季度都成倍的增长,今年一季度跟移动金融相关的手机病毒样本量就达到了12万,给用户造成经济损失高达7500万元。同时,随着病毒制造技术门槛的降低,恶意病毒不断更新迭代,技术越来越“高明”。
据张磊介绍,今年第一季度百度手机卫士发现了一个金融类吸费病毒——银行悍匪,这一病毒模拟了20多家银行的界面以及支付宝的界面,搭载热门游戏类应用下载到用户手机。当用户打开手机上的银行软件时,这一病毒就会第一时间把正版的银行软件封杀掉,并伪装成银行软件“偷梁换柱”。一旦用户输入手机号、身份证号、银行账号、密码等信息,就把这些信息上传到黑客指定服务器,进而盗取用户的银行资金。张磊强调:“这样的安全事件从去年下半年开始大量爆发,已经形成了黑色的产业链,给用户带来严重的危害。这种病毒威胁已经超出了隐私窃取范畴,是针对用户敏感数据进行的犯罪。”
除此之外,张磊还表示,百度手机卫士曾先后发现多款知名APP存在安全漏洞,而在对这些漏洞进行分析的过程中,百度发现,这些漏洞数十秒内就可能被黑客轻松攻破,用户财产的安全面临极大风险。百度手机卫士安全团队在发现这些问题后,第一时间通知了这些产品团队进行了修复,从而避免了可能出现的移动金融危机。
亿元保赔 打造移动金融“双保险”
事实上,移动金融的安全性问题的确是广大手机用户最为担忧的一个问题。百度手机卫士最近的一个调查就显示,81%的用户担心手机丢失后网银被他人恶意使用;73%的用户担心网银等账号密码被窃取,69%的用户担心遭遇吸费木马,57%的用户担心遭到伪装银行客户携带钓鱼网站的诈骗短信,超过90%的用户都在担心手机支付安全!
正是因为如此,百度手机卫士从去年12月份一推出,核心功能就锁定了支付安全,同时,今年3月便推出了业内首个支付安全“环形防护”解决方案,通过“应用下载保真、运行环境加固、传输过程加密、验证短信保护”四大能力保护移动支付全过程的安全。据张磊介绍,这一技术已经应用到百度钱包里,百度手机卫士一直会在“幕后”保护百度钱包的安全,给用户提供可信赖的保障。
除此以外,今年4月份,百度手机卫士还联合互联网保险公司众安保险推出了“安全支付亿元保赔计划”,百度先期投入了1亿元的“理赔保障金”,只要手机用户申请了开启支付保赔业务之后,如果遭遇了手机病毒恶意扣费、账户密码被窃并造成经济损失的,可以获得百度手机卫士单笔最高3000元,全年最高10万元的全额赔付。张磊表示,我们的目的就是给用户在技术保障之外,再提供一份“保险”,为用户移动支付提供“双重保障”。
张磊说道,相比于传统行业汽车业、航空业已经有了一个较为完善的安全保障体系不同的是,移动金融还处于起步阶段,用户自身的安全意识还有待提高,这就需要行业各界一起努力为广大用户提供一个健康的移动金融环境,而作为安全公司,除了提供安全技术,同时给用户一个心理上和物质上的保障,提高他们的安全意识,也是推动移动金融未来持续发展的关键。
安全能力输出 共建移动金融健康生态
面对移动支付安全问题和漏洞的不断爆出,移动金融安全已经不仅仅是一个金融机构、一个支付类厂商以及一个安全服务提供商能解决的问题。
张磊认为,移动金融的安全首先要保证的是支付类、银行类APP来源的安全,比如你用的支付宝是不是正版支付宝;其次是保障金融类APP在运行过程中的安全,比如防御银行悍匪这样的恶意病毒;第三要保证APP终端本身的安全,比如前不久发生信息漏洞事故的携程,就是自身终端的不安全导致的。最后,还要保障的是银行信息验证过程的安全。“整个链条的安全保护仅仅靠靠金融产品、支付类产品自身的安全机制是不可行的,需要第三方专业的安全厂商参与合作完成。这种第三方安全企业与金融类、支付类厂商进行良性合作的方式,可以避免遭遇黑客的攻击,将安全风险降到最小,促进移动金融生态的健康有序发展。”
正是在这一安全理念的指导下,百度手机卫士已经率先向业界开放安全能力,尤其是支付安全技术——“4+1安全支付解决方案”包括反恶意、反调试、反注入、反篡改,应用加固。目前百度手机卫士已经这些技术无偿提供给了第三方支付机构、银行机构等等。张磊表示,“对百度来说,我们目标是打造一个健康的安全生态,真正为用户创造价值。安全能力的输出也是百度手机卫士的社会责任之一。”