手机网银、移动支付、移动理财,用户在手机上安装和使用的金融APP越来越多。根据 Talking Data公司的《2016 移动金融应用数据报告》,2016年中国移动金融用户达8.3亿。
在移动金融用户迅猛发展的同时,针对移动金融用户的恶意软件、金融欺诈层出不穷。2016年6月美国征信服务巨头益博睿(Experian)发布的《欺诈经济学:规避快速增长和创新中的风险》报告显示,中国是目前全球互联网风险最大的国家之一,网络犯罪导致的损失占GDP的比例为0.63%。
有什么方法提升我们手机金融APP的安全性呢?苏宁金融研究院的程序员在深入解析手机金融APP面临的各种安全风险的基础上,提出了九大实用技能。来,Get一下!
1.不要Root手机,防止个人信息泄漏
Root手机和苹果 iPhone的越狱概念类似。Root手机通常是针对Android操作系统而言,它使得应用程序可以获取Android操作系统的超级用户权限,即有权利读取、修改、创建和操作手机中所有数据和对象。
现在有很多第三方的Root工具和刷机工具,支持获得 Android手机的Root权限。Root权限就意味着应用程序有机会获得你手机至高无上的权限,你手机中的任何对象都有可能被应用访问。Root权限尤其对金融类客户端有很大的危害,它能让黑客使用Root权限窃取你金融类客户端的用户信息和密码信息。所以说,保障手机金融安全的第一个秘籍就是不要Root手机。
2.金融App从手机官方应用商店下载
未知来源的APP的安全没有保障,可能会包含窃取个人信息的恶意插件,导致用户的信息泄漏。而每一个品牌手机的官方应用商店,都会对应用程序做安全测试——通过多次机器自动扫描和人工复检,确保是原厂提供的正规APP,且不存在广告、恶意插件和重大安全漏洞,让用户放心使用。用户可以在“设置-->高级设置-->安全-->未知来源”中禁止从未知来源安装应用程序。示例如下:
3.关闭非金融应用程序的短信读取权限
短信验证码是很多银行、支付APP的转账、支付、变更账户功能的常见身份验证方式之一,黑客只要获取你的验证码就能伪造你的身份。所以,我们在安装手机应用程序的时候,对于非金融应用程序应该禁止读取短信。如果手机没有提示,可以在“设置-->权限管理-->权限-->读取短信/彩信”中关闭掉非金融应用程序的短信读取权限。示例如下:
4.使用生物特征识别作为金融APP的验证方式
用户的身份证号、用户名和手机号在网上都很容易查到,密码可以通过手机中的间谍软件监听键盘敲击、偷窥录入过程,或者通过窃取短信验证码然后更改密码获得。
生物特征识别方式相对来说比较安全。因为两个原因:一方面生物特征可复制性难度高,比如指纹、虹膜和人脸识别等方式,在手机上大多有活体识别方法;另一方面生物特征识别的信息一般都存储在独立的硬件芯片中,通过和手机独立的OS进行管理,只有经过认证的可信应用才能访问。比如建行手机银行,支持指纹登录,指纹支付无需输入用户名和密码,就可一键登录、一键支付;苏宁金融APP支持基于指纹的登录以及基于人脸识别的高级实名认证。示例如下:
5.及时删金融APP绑定设备列表上不用的设备
你可能使用过很多手机,每个手机可能都安装使用过金融APP,每次换手机之后,可能会把旧手机卖到二手市场或者借给其他人使用,这就给不法分子盗用你的账号带来了便利。当前,手机金融APP大多都有管理绑定设备列表的功能,绑定设备列表一般有设备类型、操作系统、证件类型、证件号码和手机号码等信息。我们可以在金融APP的安全中心,找到管理绑定设备菜单,经常查看与及时删除金融APP绑定设备列表上不用的设备,以防止个人金融号被别人用其他设备绑定使用。示例如下:
6.及时关掉不常用的银行卡快捷支付绑定
快捷支付现在是移动支付使用频率非常高的业务。现在第三方支付工具很多,我们可能会在很多支付工具中绑定银行卡做为快捷支付的账户,但在长时间不用该支付工具之后,可能会忘记解除绑定银行卡。值得提醒的是,在手机网银安全中心的管理快捷支付功能中,查看该银行卡已经绑定到哪些支付工具做为快捷支付账户,再根据需要及时终止不必要的快捷支付绑定关系,减少账户被盗刷的风险。示例如下:
7.网购匿名支付与评论,防止支付信息被盗用
网购的时候,消费者在支付、评论环节通常都是使用真实的用户名,这个用户名显示在评论区,容易被别有用心的人盯上,然后以商家/银行的名义联系你进行诈骗。在2012年的时候,一家电商平台的用户,在购物的时候,被骗子以账户问题为幌子,骗走6000元。骗子在网上获得了用户所有的购物记录,赢得了用户的信任。现在电商平台大多设有匿名的选项,这个不仅仅是为了保护用户的购物隐私,也是为了保护用户的账户不被骗子利用。
8.当手机丢失或察觉支付账户被盗时,及时挂失账户
现在人人都知道支付和金融APP是手机上必装的应用,如果手机丢失,落在怀有恶意的人手中,他可以通过密码找回的方式获得支付密码。为此,手机丢失之后,我们要立即通过移动APP、PC 网页端或者热线服务电话进行账户挂失,停止账户登录、转入转出功能,及时保障账户安全。具体可以在“安全中心-->帐号挂失”中进行操作。在使用新手机绑定支付账户之后,可以在“安全中心-->帐号挂失”中解除挂失。示例如下:
9.对金融APP设置登录预留信息,预防钓鱼APP欺诈
网上有很多模仿金融网站和APP的诈骗机构,我们下载和使用假的金融APP之后,用户名和密码就可能泄漏了。这时候,我们需要设置“登录预留信息”,如果金融APP登录时未能显示出正确的“登录预留信息”,要及时退出,防止被骗。示例如下:
作者:孙杨 苏宁金融研究院高级研究员;来源:苏宁财富资讯(ID:SuningWealthInsights)
