新长征路上的反黑，移动支付安全没有银弹

刚看到新鲜出炉的鹅厂雷霆行动《2015年度移动支付网络黑色产业链研究报告》（以下简称《报告》），这算是鹅厂今年交出的一张份量很重的安全领域成绩单。

报告主题是以道治盗，立意很好。

一是道义。作为我国最大的移动支付公司之一，鹅厂早在2014年就成立了雷霆行动项目组，联动衙门、行业小伙伴和老百姓一起来打击网络黑色产业链，切实保护网民的安全和利益，也算是履行了一个大厂的道义担当。

二是方法，对症下药。把握当前移动支付领域黑产的作案特征和惯用手段，多维度针对性打击和防范。不是扬汤止沸，更要釜底抽薪。

好了，废话不多说，我们一起来看看报告究竟有什么料。

一、市场增速较高是大背景

2015年迎来了移动支付的大发展，其实离不开两个关键词。

第一个关键词是“倒逼“，像80后、90后会带动一家子人使用微信，语音视频、晒朋友圈、省电话费还挺方便。同事们吃完饭都掏出手机AA付款，省了找零的麻烦事儿，圈子和习惯的力量很大。

第二个关键词是“偷懒”，自从有了移动支付，老婆网购再也不用打开笔记本了,特别是在pc环境的一些网络支付能把用户折腾个半死之后，有一种新的支付方式，能在衣食住行方面替你省事，你觉得会不会火起来，更别提省事的同时还有优惠。

2014-2015年中国移动支付市场增长趋势

二、良币驱逐劣币是大趋势

大家对待money都是特别敏感的，所以移动支付用户的趋同心理会放大更多。 看看前几天微信公开课前夜的谣言事件吧，官方链接被小白造谣说可以盗取支付宝，大家以讹传讹，纷纷解绑银行卡，瞬间就在朋友圈刷屏了。这就是大多数普通移动支付的用户心理——缺乏辨别能力，没有安全感。

如何给用户普及安全常识，引导正确的使用习惯，消除广大用户的疑虑，我觉得这是各大厂商的一项主要工作。这不，鹅厂的兄弟们就赶在年关前发布了这样一份有份量的安全研究报告。

长远看来，安全能力的悬殊终将导致移动支付市场的主流淘汰非主流，良币驱逐劣币。那些风控能力不足，没有足够技术力量和能力来保障支付安全的小公司可能只有昙花一现。

另外《报告》提到主流安全性较高支付平台时，支付宝也默默登场，给大气的鹅厂兄弟点个赞。

三、安全风险无处不在

根据鹅厂《报告》，2015年手机病毒包新增1670.4万,是2014年的10倍多。而其中新增的支付类病毒超过32.6万,全年被支付类病毒感染的用户高达2505万多,平均每天就有 81000多人遭受支付类病毒的侵害。

中国镇级单位的平均人口估计在3万人左右，相当于每天就有2-3个镇子的人口数被支付病毒感染！

为什么会有海量的用户中招？黑产团伙手段高明、花样繁多，令人防不胜防。

来看看很多用户一起踩过的坑。

欺诈短信，这是最直接的方式。迷惑性的内容让您点击链接，一不小心就给手机撞上了木马病毒。

通过伪基站推送钓鱼网站，乍一看和官方网站特别像，很容易中招泄露个人信息。

伪造wifi热点，然后让不明观众连上来，都来连呀，来呀，来呀。

二维码，其实就是恶意链接的变形。

当然还有更高级的apple x-code ghost这类方法。

四、受骗者年轻化是大意外

哪个年龄段的人是移动支付领域的主要受骗者，我以为是50后60后，但实际结果却出人意料。

看鹅厂《报告》数据，2015年移动支付受骗群体80后和90后占了大半壁江山，大约有2/3。仔细一想原因有两个：一是80后90后是移动支付兴起的最主要受众，人口基数太大；二是大多数80后90后的安全意识和其他年龄段的人没两样。

另外一个有意思的数据，受骗群体中，男性与女性的比例是7:3，南方用户居多，不知道支付宝的数据会是如何？

五、黑产链条套利是大生态

最近听到很多声音，安全圈要建立联盟，培养一个大的生态环境。当我们还在呼吁时，黑产再一次走到了前面，已经形成了“写马-免杀-种马-个人信息非法收集-盗窃用户资金-洗钱-分赃”的黑产大生态圈。

《报告》说，手机木马制作者有1.6万人，洗钱套现犯罪分子有2万人，这个数字不算小了，其实国内的黑产人数不至于此，广西宾阳、福建安溪和海南儋州的黑产团伙加起来都过5万了。

六、全产业同盟是大挑战

我们都知道鹅厂的雷霆行动和它的“战马计划”同盟在2015年取得了很好的成绩，2016年我们也拭目以待。但是我个人有个小愿望，推倒小联盟，建立全产业的大联盟。

早在腾讯主办的第一届中国互联网安全领袖峰会上，bat多家企业负责网络安全的高管就共同呼吁要建立反网络“黑产”生态圈。

如何让大家都放弃门户之见，做到有价值的资源和情报共享，在企业的经济效益和全产业的安全保障需求之间进行平衡，我想还有很长的路要走。

尾声

移动支付方兴未艾，行业竞争惨烈，但生意归生意，在安全这个事儿上，应该是不存在竞争对手的。安全是前提而不是保障，对整个行业来说，一荣俱荣一损俱损。发展新用户、留住老用户、引导安全支付、消除用户顾虑、打击黑产链，建立生态圈，各位来年有得忙了。

*本文作者：chinasoc， 中国信息安全测评中心华中测评中心高级安全顾问