前段时间,有网友曝出,陌生人和熟人均有机会登录其他人支付宝账户,这个重大漏洞再次引爆了大家对“虚拟支付安全性”的讨论。
近日,中国青年报社社会调查中心通过问卷网对2000人进行的一项调查显示,79.7%的受访者因本次支付宝曝出的漏洞而感到不安。账号密码泄露风险(69.5%)和平台系统防护级别(64.9%)是公众最不放心的虚拟支付平台不安全因素,64.6%的受访者建议用户提升网络安全意识,谨慎登录。
93.6%的受访者平时使用支付宝等虚拟支付平台,6.4%的受访者未曾用过。受访者中,00后占0.5%,90后占21.0%,80后占53.5%,70后占18.6%,60后占5.5%。
79.8%受访者因本次支付宝漏洞而感到不安
在深圳工作的兰希使用支付宝超过5年了,还没遇到过安全问题,“我也不会在支付宝里放太多的钱。支付宝非常方便、理赔相对银行也更容易”。
张育丹是广东省中山市的一名大学生,使用支付宝已经3年,曾对其安全性完全信任的她当下也有些担忧,“太可怕了,平台方要及时弥补技术漏洞,加强安全保密措施才对得起每一位信任它的客户”。
但张育丹表示会继续使用支付宝,“它已经渗透到我生活的方方面面,像买水果、叫外卖、手机充值等日常事务,都要用到支付宝,对于虚拟支付平台早就已经习惯了”。
在某银行工作的马娟(化名)会放少部分钱在支付宝里面,在她看来,支付宝方便、利率高于银行活期,这些是吸引用户的最大“法宝”。“但银行的系统更强大,支付时安全认证的工具也更多,会更安全”。
调查中,79.8%的受访者因为本次支付宝漏洞而感到不安,其中16.8%的受访者“非常不安”。20.3%的受访者没什么感觉。
31.1%的受访者表示以后会少用支付宝等虚拟支付平台。63.0%的受访者不会,其中41.3%的受访者认为升级后就好了。
与此同时,63.3%的受访者认为支付宝等虚拟支付平台比较安全,7.2%的受访者认为不太安全,0.9%的受访者认为非常不安全。
张育丹表示,她会通过使用多种支付方式以降低风险,“鸡蛋不能放在同一个篮子里”。
64.6%受访者建议用户提升网络安全意识,谨慎登录
“虚拟支付平台都是凭借一个端口,输入账户密码,如果防护级别不高很容易被黑客入侵。”张育丹说。
支付宝等虚拟支付平台存在哪些不安全因素?受访者指出是账号密码泄露风险(69.5%)和平台系统防护级别低(64.9%)。其他依次是:有黑客攻击风险(52.6%)、金融类平台自我定位不清晰(35.2%)和社交网络中存在不可靠成分(28.4%)等。
中关村互联网金融研究院研究总监郭大治认为,支付宝等第三方支付平台的数据透明性较差,这让支付平台的安全性大打折扣。“在其他一些国家,第三方支付平台都没有支付清算功能,但在我国并不是这样。”他认为,这种行为等同于把央行后台化,“央行只知道第三方金钱总量,却不知道具体的金钱明细,不利于国家的监管和控制。”
支付宝本是一个金融类平台,近年来社交化趋势愈加明显,网民对此持有争议。调查显示,59.5%的受访者认为金融类平台不该因拓展其他业务而舍本逐末,26.9%的受访者认为金融类平台可以多方面全方位发展,13.7%的受访者持不确定态度。
在张育丹看来,支付宝属理财支付工具,区别于微信等社交工具,“应清晰定位自身产品功能,专注于金融和理财”。张育丹认为通常人们不愿意让别人尤其是熟人,知道自己的经济和理财情况,支付宝应该在金融支付范围内进行产品拓展,“增加理财咨询、支付管理等功能”。
兰希则认为,社交是很多App都希望承载的一个功能,“支付宝想涉及这个领域也正常,只是支付宝走得太快,很多细节处理得还不够好”。
在郭大治看来,金融和社交是两方面,不是搞金融的就不能搞社交,“支付模式社交化本身就是一个趋势,支付宝不做别人也要做,只是需要技术上的改进和创新”。
提升支付宝等虚拟支付平台的安全性,64.6%的受访者建议提升网络安全意识,谨慎登录;57.1%的受访者提出虚拟支付平台要不断检查升级系统,构建安全支付环境;54.9%的受访者认为金融类软件平台应注重安全性而非发展附加功能;49.3%的受访者认为应提前为账户安全购买保险;35.3%的受访者建议立法加强对虚拟支付平台的安全保护。
郭大治介绍,国家这半年来密切出台了很多政策来监管支付宝等第三方支付平台,同时央行也在进行调整,出台了“超级网联”计划,要把第三方支付通道融入到银行的支付通道中,以受央行调控。
张育丹特别希望支付宝加强后台系统的安全性,重视用户隐私,防止用户的信息泄露或修改,“支付宝可以通过指纹识别、头像认证等多种更‘唯一’的方式进行密码确认,防止用户的密码被盗”。
网络安全
剑桥大学:研究显示Android的安全性堪忧
据有关报道称,剑桥大学的研究人员此前已经进行了大量而广泛的研究,主要针对Android设备和Android版本的软件安全性能进行了测试,且研究时间持续数年。最后他们的研究结果显示,在过去的四年时间里,87%的Android设备是最容易受到攻击的。研究主要集中在查找“危急级漏洞”——即允许一个恶意的或受损的App获取root权限。
当然,这些结果并不是空穴来风。研究人员将他们的方法论应用在一台自己开发的App上——设备分析仪,然后把从世界各地的志愿者那里提供来的数据导入这个数据分析仪,结果就很明显了。
这项研究的主要负责人Daniel Thomas,事后表明,这一研究结果主要是基于收集来自20000多个设备的数据基础之上分析而来的,而且他的团队目前一直在招募更多的志愿者将自己的Android数据贡献出来。所有数据都来自志愿者所使用的Android设备,再将这些数据和相关的已知漏洞信息相结合起来,就可以为各设备生产厂家设置出FUM评分标准。考虑到部分设备免受已知漏洞攻击所占的比例,运行最新的Android版本的设备也占到了一定的比例等等因素,所以,FUM评分标准设在0和10之间,以此来衡量各个制造商正在做的设备之间的安全差别有多大。
事实数据显示,谷歌、LG和摩托罗拉的安全指数相对较高,分别是5.2分、4分和3.1分,排在前面。三星、HTC和索尼紧随其后,得分在2.5左右。
据研究人员称,Android设备安全性不足的背后原因主要在于制造商的安全策略存在很大的问题,尤其是在提供定期安全更新决策上有很大的纰漏。他们的建议是只允许用户从Google Play商店安装应用程序,以此来隔绝外部威胁,减少漏洞。但是,最近出现的Android安全问题已经表明,这种做法根本不足以保护用户的安全。
via:infoq
京沪广公共Wi-Fi抽查:超8%可盗窃个人密码信息
信息安全机构对北京、上海、广州三地机场、火车站、旅游景点、商业中心等6万多个Wi-Fi信号的调查显示,有8.5%的Wi-Fi信号为“钓鱼”Wi-Fi,可能存在修改并植入恶意软件,盗取账号密码等风险。这是澎湃新闻从“第五届上海市信息安全活动周”的活动上了解到的。
在活动周期间的中国信息安全用户大会上,信息安全组织“雨袭团”公布了“中国一线城市Wi-Fi安全与潜在威胁调查研究报告”。报告透露,据《福布斯》网络版报道,号称“全球最大商用Wi-Fi网络提供商”的iPass公司公布的数据显示,中国的Wi-Fi数量位居全球第四。法国、美国和英国分别位居前三,Wi-Fi热点数量分别为1300万个、980万个和560万个,中国现有Wi-Fi热点数量超过491万个。整体来看,全球公用Wi-Fi热点数量超过了5000万个,较2013年增长了80%。
捷克安全软件公司Avast的移动安全专家分别针对美国、欧洲和亚洲9个城市的公共Wi-Fi热点安全性进行了调查。调查结果显示,大多数Wi-Fi热点主要通过某种形式的加密进行防护,但这些措施防护能力较弱,黑客很容易就能获取Wi-Fi用户的网页浏览活动、搜索行为、密码、视频、电子邮件和其他个人信息。为此,“雨袭团”在北京、上海、广州三地,对68043个Wi-Fi信号进行了调查,包括机场、火车站以及王府井、天安门广场、陆家嘴、天河体育中心、百脑汇电脑城等客流密集地,包括北京的23763个Wi-Fi信号,上海的26147个Wi-Fi信号以及广州的18133个Wi-Fi信号
调查组采用了4G路由器,MAC采集工具、Wi-Fi安全测试器、黑盒攻击测试器等专业设备,在测试场景中驻停或流动进行测试。测试结果显示,在所有的Wi-Fi信号中,有34%为第三方公司业务,23%为店铺自建热点、14%为寄生虫热点,9%为公共设备,8.5%为钓鱼Wi-Fi,7.5%为家庭热点,4%为临时热点。
其中,被判定为不安全的Wi-Fi信号93%存在着获取用户信息和设备信息的情况,87%存在广告欺诈和产生流量费用,46%能以钓鱼等方式盗取账号密码,5%会修改并植入恶意软件。例如,有的Wi-Fi登录页面要求用户输入身份证号码或是QQ账号和密码。调查提醒,移动设备用户连接陌生Wi-Fi信号时应当谨慎,长期打开Wi-Fi功能,可能会产生自动被连入风险热点的危险,很容易造成App信息或设备信息的泄露。 来源:澎湃新闻
ISACA调查称目前95%的APT攻击来自社交网站
国际信息系统审计协会(ISACA)近日公布了一份2015年APT攻击报告,称目前95%的APT攻击来自社交网站。
报告针对全球661名取得CISM认证的信息安全专家进行调查显示,其中有74%的受访者认为他们是被APT攻击锁定的对象,28%的受访者认为他们已经遭受到一次以上的APT攻击,67%的受访者表示他们已经做好应对APT攻击的准备。
ISACA调查称目前95%的APT攻击来自社交网站
APT攻击: APT(Advanced Persistent Threat)指高级持续性威胁,指攻击者利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高端和先进,其高端性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。 |
报告显示,APT攻击的切入点从最早是网络钓鱼,后是包含恶意软件或恶意网址的钓鱼邮件,最近三年转向到以社交网络作为主要锁定攻击的入侵点。报告指出,2015年有95%的APT攻击来自于社交网络,比2014年的92%增加3%。另外,有28%的受访者表示他们已经明确遭受到一次以上的APT攻击,其中25%的受访者是高科技与咨询顾问服务业,有19%则是政府或军事部门人员,其他有65%的受访者有能力识别攻击来源。
ISACA调查称目前95%的APT攻击来自社交网站
同时该调查显示,有75%的受访者并没有和第三方信息安全公司或相关公司合作提高防御APT相关攻击的能力,不过已经有53%的受访者表示自己公司已经提高信息安全相关的投资,61%的受访者表示公司的领导阶层已经意识到网络安全的重要性,愿意在更多法 规遵循的议题上投入和强化,更有80%受访者指出资深的公司高层则愿意投入更多资源,作为应对APT攻击的第一步。
调查显示APT攻击对企业带来最主要的前5项威胁分别是:员工或客户个人资料的外泄、商业信誉损失、知识产权损失、有形财务损失,合约损失或法规遵循带来的损失等。
关于企业应对PT攻击方面,调查显示有95%的受访者采用防毒和防恶意软件对抗APT攻击,其次使用的防御继续依序为:防火墙、路由器和交换器等网络技术;Log监控与事件关联分析;IPS系统;信息安全意识提升与信息安全教育训练等。
有关评估企业有否因应APT攻击的能力方面,从该份调查报告显示,2014年有75%受访者认为该公司缺乏适当的APT防御方针,但在2015年只有 66%的企业认为该公司缺乏APT的防御方针。分析称过去一年来有许多对于APT攻击意识提升的宣传让更多人意识到有APT攻击的存在,但即便如此,APT攻击还是很容易和传统的信息安全威胁混淆,只有67%的受访者可以明确分辨APT攻击和传统信息安全威胁的区别,有51%的受访者则表示APT攻击和传统的信息安全威胁没有不同。
数据显示今年全国共处置网民举报147.4万件 处置率达82.9%
10月29日,腾讯安全团队发布了《2015网络生态安全报告》。报告显示,2015年网络犯罪呈现趋利化、产业化、移动化趋势,并开始走线上向线下蔓延的“O2O”模式。
数据显示今年全国共处置网民举报147.4万件 处置率达82.9%
南方日报讯(记者/叶丹)10月29日,腾讯安全团队发布了《2015网络生态安全报告》。报告显示,2015年网络犯罪呈现趋利化、产业化、移动化趋势,并开始走线上向线下蔓延的“O2O”模式。
与之相对应的是,我国网络空间安全治理进入密集期。除了国家有关部门和互联网企业的协作,全民举报也成为维护网络生态安全的重要基础。
安全治理进入密集期
该报告指出,通过移动支付类病毒感染用户移动设备已成为网络黑产的新趋势,与此同时,网络犯罪呈现移动化趋势,并同时有线上向线下蔓延的趋势,呈现出通过互联网实现线上目标客户找寻、交流、支付,后经由线下实现交易的犯罪“O2O”模式。
该报告同时指出,2015年也是网络安全密集治理的一年。网络主管部门进一步加强互联网领域的规范管理,网络空间法制化推进迅速。
截至今年9月,直接针对互联网领域管理的法律法规有68部。主管部门开展的互联网领域专项治理行动共计31项,且每项治理行动往往持续数月之久,预计第四季度互联网信息安全的治理力度持续加大。
淫秽色情信息、网络谣言和网络黑产成为2015年信息安全打击重点。其中,微信安全中心协同有关部门对此类行为进行了系统处理与朋友圈拦截,7月期间,共计拦截谣言2044327次。
全民举报粉碎网络犯罪
值得关注的是,除了国家有关部门和互联网企业的共同协作,发动普通民众参与举报,正成为网络生态安全的重要基础。
来自违法和不良信息举报中心的数据显示,2015年8月,全国各地网信办举报部门、各网站采取有力措施,积极推进网络举报工作,共受理网民举报247.8万件,较上月增长6.9%。其中淫秽色情类信息占比62.2%,截至8月底,全国共处置网民举报147.4万件,处置率达到82.9%。
据悉, 目前多个互联网企业的产品均在各自的产品上开设了“举报”功能或者举报入口。保障用户在互联网上的安全使用。
业内专家表示,一个绿色的网络生态安全离不开多方协作。在政府、企业和用户的共同努力下,必能打造一个完善的互联网安全基础,构筑安全、健康运行的互联网世界。