一分鐘不到完成手機付款、行動購物好爽快!隱藏的七大風險你知道多少?

2017 年 05 月 12 日2017 年 08 月 16 日趨勢科技TrendMicro

編按:

2017年 8 月 ApplePay 的安全性亮起了紅燈。盜用他人信用卡的鉅額詐騙案不斷被曝光。掃一下iPhone即可完成付款的ApplePay以其便捷性為賣點，但「用戶身份驗證」正在成為詐騙陷阱。
-2017/8/16 更新

行動支付正夯，智慧手機已經成為線上支付行動的主要媒介工具。當越來越多個人資料被放進一台手機中以後，如何保護這台行動裝置不被惡意程式或網站入侵，就是一項重要任務。

Apple Pay 日前登台，再度在國內掀起一波行動支付熱潮，上線兩天就有超過 41 萬張信用卡綁定，台灣人對於用手機付款這件事情趨之若鶩，每個人都想嘗試不用帶現金在身上的感覺。

行動支付並非新技術

不過，不論是最近最夯的Apple Pay，之前推出的 SWP-SIM 手機信用卡、悠遊卡或各種商店發行的儲值卡都算在電子票證的範疇中，就連裝在手機內的 APP 軟體，如果它能透過 NFC 感應付款，也是一種行動支付。

簡單來說就是不管是實體的信用卡、悠遊卡或是店家的儲值卡（像是 7-11 的 iCash、星巴克卡或摩斯卡），在行動支付的世界裡就是將這些實體卡片虛擬化，存到手機等行動載具裡。

行動支付發展得非常快速，事實上，早在「行動支付」這四個字廣為流行之前，你我或許就曾使用過行動支付，例如搭高鐵時，利用高鐵 APP 先訂票，再利用虛擬的乘車票證搭車，這就屬於行動支付的一種。

支付更便利，安全性呢？

現在付款這麼便利，只要拿起手機來刷一下，就可以解決大小事。就算你沒有辦理行動支付，但是透過手機上網，像是蝦皮拍賣、旋轉拍賣這一類的線上拍賣網站這麼紅，你一樣可以在一分鐘不到的時間，從下單、結帳到付款完全搞定。

不過，這麼快速的付款流程，卻也掀起了另一個問題：安全性。舉例來說，你怎麼知道你連到的是正版的網站？你怎麼知道你付款的對象是你以為的那個人？

國內目前有許多行動支付方式，像是 T-Wallet、支付寶等行動支付；也有像是 Paypal 這類國人常用的線上支付網站。儘管這些支付模式或是網站本身可能並不會有安全信任上的問題，但消費者「所到之處」卻有可能讓自己陷入危機，消費者瀏覽的網站、點選的不明連結，有時候會希望要求連接這些行動支付，以作為「未來支付」之用。

資安軟體與解決方案廠商趨勢科技表示，網路勒索將更頻繁、行動惡意程式威脅數量在 2016 年底將成長至 2000 萬，而新一代行動支付和線上支付系統將成為駭客 2017 年的重點攻擊目標。

行動支付、線上購物要注意的七大重點

一：你怎麼知道你付款的網站是「真的」？

許多來路不明的線上交易網站或是賣場，時常會要求希望能連接你的線上支付帳號，行動裝置的觸控面板不像電腦一樣，還需要用滑鼠有「點擊」的動作才會確定同意或是進入；行動裝置只要手指不小心碰觸到，就有可能不小心隨機同意連接自己的線上支付帳號給惡意網站。

二：你怎麼知道你遊戲App中的支付連結安全？

網路上有許多惡意程式，他們會隱藏在詐騙網站的廣告中，等待玩家點入安裝，他們還會用一些遊戲或是小工具的 App 來包裝，引誘消費者上當。惡意程式在安裝過程中就已經在系統資料中進行綁架，駭客們便可以控制行動裝置，一旦行動裝置有預先自動綁定任何線上支付網站的話，駭客就能夠直接從中獲利。

三：你怎麼知道你的銀行、購物 App 是「真的」？

網路上有許多詐騙網站會喬裝成「網路銀行」或是「購物網站」的方式，誘騙消費者綁定自己的信用卡進行線上消費，結果在輸入信用卡或購買資料的同時，也等於是把資料都上傳出去了，讓在網站背景的駭客可以直接取的這些資料，拿去做其他不法行為。

四：綁定Apple Pay再安全，手機遺失怎麼辦？ 繼續閱讀

「行動惡意程式數量將成長至 2,000 萬」, PC花了 21 年才累計達到這個數字

2015 年 12 月 14 日2015 年 12 月 14 日趨勢科技 TrendMicro

獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量，發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看，2012 年底的時候我們才發現 35 萬個行動惡意程式，沒想到短短幾年之內將會成長到 2,000 萬。由此可見，歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。

在「趨勢科技 2016 年資安預測：細微的界線」報告當中，我們的技術長 Raimund Genes 預測：「截至 2016 年底，行動惡意程式數量將因中國而成長至 2,000 萬；至於全球，則是新的行動支付方式將受到攻擊。」讓我們來仔細看看這項預測，並且從幾個不同的觀點來協助您了解行動裝置威脅情勢的發展。

首先，惡意及高風險的行動裝置應用程式數量大幅成長，這一點是肯定的，尤其在 Android 系統。然而，2016 年底將達到 2,000 萬個？這可是一個相當驚人的數字。為了和 PC 領域做比較，獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量，發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看，2012 年底的時候我們才發現 35 萬個行動惡意程式，沒想到短短幾年將會成長到 2,000 萬。由此可見，歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。

然而，是否所有行動裝置使用者都因而陷入危險當中？這一點卻不盡然，因為絕大多數的行動惡意程式都是在中國製造，並且用於中國。這不令人意外，因為中國擁有最龐大的行動裝置用戶數，所以駭客也就擁有龐大的潛在受害者可攻擊。不僅如此，絕大多數的中國使用者都不透過 Google Play 商店來下載應用程式，而是經由非官方應用程式商店，或是直接從網站下載安裝檔案，因此更容易遭遇行動惡意程式，畢竟非官方來源的上架審查程序沒有官方 Google Play 商店來得嚴格。這讓中國以外的使用者學到了一點，那就是務必從官方 Google Play 商店下載應用程式。繼續閱讀

【資料圖表】行動支付安全

2015 年 02 月 04 日2015 年 02 月 06 日趨勢科技 TrendMicro

圖文解說：行動支付安全

年關將近，大家已經列出採購清單，並且搶購一些早鳥優惠和其他特價商品。行動裝置所帶來的便利，讓人員越來越喜歡用行動裝置來付款，因為這些裝置為忙錄的行動族提供了一種一手搞定的購物體驗。您可以一邊使用行動裝置，一邊利用它來完成交易，完全不需從袋子裡掏出錢包，或是不小心將東西放在某處忘了帶走，尤其是在擁擠的場所。繼續閱讀

近七成行動裝置威脅屬於越權廣告程式

2015 年 01 月 27 日2015 年 01 月 27 日趨勢科技 TrendMicro

2014 下半年重大行動裝置威脅

隨著使用者對行動裝置的接受度越來越高，行動裝置威脅也隨之而來。 2014 年底網路犯罪集團利用各種方式，例如攻擊熱門平台、發掘裝置漏洞、開發更精良的假冒 App 程式等等，來竊取行動裝置上的個人資料，並直接拿到地下市場販賣。

行動裝置威脅正以飛快的速度朝精密化發展，惡意程式作者正是利用一般大眾不知如何正確設定行動裝置以及不知該從正常安全管道下載 App 程式的弱點。不僅如此，大多數的使用者對平台的安全建議也視若無睹，這就是為何許多人會為了獲得進階功能或是貪圖免費程式而破解行動裝置保護 (如越獄或 root)。

2014 上半年，我們見到非重複性行動裝置惡意及高風險 App 程式樣本數量正式突破二百萬大關，而且數量還在不斷增加，這距離上次突破一百萬大關僅僅六個月的時間。此外，我們也見到行動裝置惡意程式正逐漸演出成更精密的變種，例如數位貨幣採礦惡意程式 ANDROIDOS_KAGECOIN 和行動裝置勒索程式 ANDROIDOS_LOCKER.A。

[延伸閱讀：2014 上半年行動裝置資安情勢總評 (The Mobile Landscape Roundup: 1H 2014)]

這份報告詳述 2014 下半年的情勢發展，包括重大的行動裝置威脅及趨勢。

惡意及高風險的 App 程式數量現已達到 437 萬

行動裝置惡意程式數量在 2014 下半年又翻了一倍以上，距離上次突破二萬大關僅僅六個月的時間。現在，網路上惡意及高風險的 App 程式總數已達到 437 萬。這意味著，從該年上半年結束至今已成長了大約 68%，也就是 260萬。

2014 年惡意及高風險的 App 程式成長趨勢

若從這幾百萬當中挑出那些明顯惡意的 App 程式，我們發現它們絕大多數都是行動裝置惡意程式家族排行榜的成員：

2014 年行動裝置惡意程式家族排行榜

若就它們對行動裝置的影響來分類，我們發現大約 69% 的行動裝置威脅都屬於越權廣告程式。越權廣告程式是指那些拼命顯示廣告而讓使用者無法專心好好使用裝置的程式。其次是高費率服務盜用程式 (PSA)，占惡意及高風險 App 程式的 24% 左右。PSA 會在背後偷用一些高費率服務，讓使用者的手機帳單無故飆高。

2014 年主要行動裝置威脅類型分布比例

另外，以下為 2014 下半年越權廣告程式家族排行榜：繼續閱讀