不过，记者采访多位网络安全专家发现，伴随近年手机钱包越来越火，移动支付蛋糕越做越大，财务风险也越来越高。

　　  八旬老人也开手机银行业务

　　  “你好，我要开通网上银行支付，而且要绑定手机，应该怎么咨询办理？”2月28日下午，在位于仙霞路的工商银行，一位头发花白的老太咨询银行业务员。大堂经理陈丽告诉记者，春节过后，每天至少有五六位老人来办理网上支付业务。“一般都是60岁左右的，年纪最大的超过80岁。遇到中老年客户，我们一般都会详尽告知风险。”

　　  根据市场研究机构的统计数据，今年春节长假期间，支付宝手机支付超过1亿笔，800万微信用户“抢红包”。2013年中国第三方移动支付市场交易规模达12197.4亿元，同比增速707.0%，据预测2014年这一市场规模还将增长141.1%。

　　  随着移动支付深入医药零售、养老保险等领域，手机钱包早已不是专属于年轻人的时髦玩意。退休两年的顾阿姨是资深股民，上周也在女儿的陪伴下到银行开通了手机业务，“之前余额宝等这个宝那个宝，我就很好奇，这次新出针对股民的佣金宝，我决定试一试。”

　　  “洗宝”“盗刷”移动支付犯罪频发

　　  2月16日，市民张先生接到一条自称发自某银行的短信，内容是银行需要对他的手机银行口令卡维护更新，短信内附一个网站。张先生信以为真，按照网页提示，向对方提供了手机银行的手机号、银行卡号、密码及动态口令。直到发现自己的绑定银行卡被转出2150元，才知上当受骗。

　　  类似的案例层出不穷。去年12月底，北京单先生在外出差时，突然发现手机没有信号，后到营业厅咨询，对方告诉已经有人给这个号补办了SIM卡。察觉情况不对，单先生急忙补办SIM卡并且报警。让他大吃一惊的是，当他查询自己的支付宝账号和捆绑的银行卡时，支付宝账号密码和淘宝账号密码都被修改了，支付宝内65000多元和捆绑的工行卡内2000元也被盗刷了。

　　  今年1月，警方抓获该案犯罪嫌疑人林某、黄某。据林某交代，盗刷支付宝已不新鲜，在圈子里叫“洗宝”。根据林某供述，盗刷支付宝的第一个步骤就是购买信息，即通过网络购买大量的支付宝账号和密码，再用专业软件筛选出其中正确的信息。最让人感到惊讶的，是通过这些账号信息能够查到该用户的真实姓名、身份证号以及绑定的手机号，从而制作假身份证实施盗刷。

　　  收购支付宝信息、伪造身份证、持假证办理手机卡、盗取支付宝账户余额，整个过程已形成一条犯罪产业链。

　　  记者实测如何破解支付宝账户

　　  手机、银行卡加身份证，就能破解支付宝账户？为辨网转热帖真伪，记者开展实测。

　　  第一步：打开手机支付宝登入界面，首先要输入手势密码。记者选择“忘记手势密码”，页面弹出“需要重新登录”对话框。点击后，出现账号登录页面，需输入登录密码，记者选择“忘记登录密码”，页面给出了3个选项找回密码：“手机校验码+证件号码的方式”、“通过安全保护问题”、“通过人工服务”。

　　  第二步：选择第一个选项“手机校验码+证件号码的方式”，在找回密码界面上，输入手机号后，输入验证码，点击下一步，会接收到一组六位数的验证码，正确输入验证码后，进入“找回密码”页面，此时页面提示，需要填写身份证号验证。如果不知道机主身份证号，操作将无法继续。

　　  第三步：正确输入身份证号码后，点击下一步，记者随后便进入“重新设置密码”程序，在修改了登陆密码后，记者成功地登陆了这部手机上的支付宝的界面，账号里的资金情况一清二楚。

　　  看到支付宝内金额，并不代表能够消费或者转移。在支付宝的任何操作，只要涉及到金钱转出、转入的，都要输入支付密码，找回支付密码需要通过短信，加上这个安保问题或是快捷支付的银行卡信息。

　　  也就是说，如果同时掌握银行卡信息，就能轻松对手机上的支付宝完成转账等操作。整个过程大约用了10分钟。

　　  手机丢失应先冻结绑定银行卡

　　  记者测试证明，如果只是单纯丢失手机，不法分子几乎不能仅凭一部手机盗取银行资金的。但是，如果将手机、身份证、银行卡一起丢失的话，就意味着你绑定在手机上的银行卡密码能够被修改，绑定的资金也可能被转移。

　　  网络安全专家提醒，万一手机丢失，如果手机号已经绑定了支付工具，建议用户尽快向支付服务提供方（支付宝、微信等）挂失，联系通信运营商挂失SIM卡，并向银行挂失并冻结已经绑定的银行卡。如果身份证、银行卡连同手机一并丢失，需要尽快向公安机关和银行挂失处理。“手机丢失后，只要用户保护好自己的隐私，特别是像有身份证号、银行卡号这些只要保护好，风险其实是可控的。”移动支付安全研究员申剑告诉记者。

　　  网络零售部主任莫岱青则提醒，已经开通移动支付的用户，注意不点击不明链接，不安装不明软件。一旦手机突然没有信号，在排除了信号问题和手机故障后，要尽快到营业厅查询SIM卡是否被他人补办，并将支付平台内的余额转出。

　　  此外，记者分别采访腾讯和阿里巴巴，两家都表示针对网络披露的支付安全问题，在不断地对支付软件进行升级，如果确实是微信和支付宝支付造成资金被盗，用户只需提供相应的损失真实性证明和身份证明，都可获全额赔偿保障。

移动支付安全已成世界难题

       在巴塞罗那刚结束的世界移动通信大会上，一些参展公司看到了手机支付的前景，同时意识到支付安全对用户的重要性，并给出自己的解决方案。

　　俄罗斯IT安全公司卡巴斯基实验室在本次大会上展示了最新的安全平台——“卡巴斯基防欺诈”解决方案。这一平台可用于电脑及智能手机或其他移动设备，在网络交易过程中，该方案能检测到欺诈性交易和各种附加服务，帮助金融组织和电子商务企业保护其客户免受在线欺诈的威胁。

　　目前被银行和电子交易系统用来保护客户账户安全的技术，比如临时密码、短信确认、密码生成器等，总是会很快过时。高德纳咨询公司的专家指出，“预防欺诈方法的创新是很重要的，因为小偷也在想办法避开旧的技术，如设备的身份验证等”，出于这个原因，市场需要创新的解决方案，以确保交易的安全性。

　　来自中国的互联网安全软件与互联网服务公司奇虎360今年首次出现在世界移动通信大会会场。该公司一位负责人称，软件公司保障用户支付安全大体有两种方式，第一是软件公司直接为用户提供服务，如安装手机防盗系统，以及针对新出现的病毒、木马或钓鱼软件，及时升级手机杀毒软件数据库等；第二是软件公司为金融机构提供服务，如为银行构建安全平台以协助银行维护支付安全。最终保护的都是用户。

　　除安全软件公司的持续升级更新外，移动设备硬件生产商也在想办法。在苹果公司iPhone5S引领指纹识别技术后，韩国三星最新款的Galaxy S5手机也加入了指纹识别功能，业内人士指出，在移动支付过程中，由于指纹识别可提供安全、可靠、便捷的身份认证，苹果和三星等公司已将指纹识别作为智能终端目前的主要方向，预计未来其他品牌厂商也将跟进。

警方提示：莫将支付软件设置免登录

       针对移动支付，记者在微信朋友圈中随机采访22人，其中有20人表示知晓，有14人称正在使用，而且微信和支付宝都绑定了银行卡，他们的年龄都在40岁以下。此外，记者还在街头随机询问20名老年消费者，基本都不了解手机支付的方式，“听小辈说手机现在能打车，但不知道怎么用。”但是当记者告知他们手机支付能够到药店买药、能够足不出户交水电费时，超过三分之二的人愿意尝试。

　　  ● 在日常生活中，不要为了方便将手机中的移动支付软件设置成免登录状态，登录密码与支付密码应不相同。

　　  ● 要注意在丢失手机后应电话给运营商和支付服务商挂失。第一时间挂失SIM卡，以防被别有用心的人利用。

　　  ● 如果有银行卡、支付宝等的绑定，也应该及时打电话给上述服务商，进行相关业务的冻结或修改相关软件的登录和支付密码。

　　  ● 建议苹果手机用户安装手机防盗软件。如果苹果用户升级了ios7系统，并且在手机丢失前在'设置’里打开了'查找我的iPhone’，那么手机丢失后，用户只要登录www.icloud.com将手机设置为丢失模式。这样，这台被偷的iPhone在刷机时，会出现'激活锁’，如果没有iPhone初始激活的ID和密码，手机就不能重新激活。如果输错三次，就会被锁定，这样也不会存在冒用移动支付账户，对当事人造成进一步侵害的情况。一旦手机遗失或被盗，应尽快登录iCloud锁定手机并且修改ID密码。

　　  此外，记者采访的互联网安全专家莫岱青补充道，为了确保安全，手机一定要设置开机密码，这样就算手机被盗，除了刷机，别人将无法进入你的手机操作系统。

手机当钱包尽量别“越狱”

       支付宝钱包，微信理财通，银行手机客户端，移动理财与支付……昨天本报焦点报道《你的手机钱包安全吗？》引来多方关注。沪上多位网络信息安全专家纷纷指出，移动互联网应用方兴未艾，安全保护措施尚不到位，用户使用手机钱包不能一味追逐快捷体验，移动支付开发商更不能一味靠“快钱”吸引用户，亟需自补“安全课”。

　　网络安全有条件

　　打开手机，接收校验码，输入点确认，就能转账汇款、网络交易、购买基金，甚至和朋友一起AA制消费。“自从装了各种金融客户端，就不再跑银行排队等号了。”30岁出头的白领叶欢，每天出门时钱包可以不带，手机不能离身——不仅用它听音乐、玩游戏、看视频，更把所有家当都装在里面：银行手机客户端里是个人存款，工资卡绑定了支付宝，结余的零花钱微信上买基金……只需短信验证码和支付密码，手机立刻变身一台个人ATM机，钱款往来随时随地。

　　在许多网络安全专家眼里，这却不是万无一失的安全之举。因为，任何网络信息安全都是有条件的，一旦某个条件被破坏，信息安全遭受巨大风险。对移动金融安全来说，手机就是这把安全锁，如果手机丢失或者手机本身存在安全隐患，手机钱包很可能被他人盗取。“所以，对自己的手机应该像钱包一样看牢，时时提防被盗。”

　　手机刷机很危险

　　一位不愿透漏姓名的资深网络专家告诉记者，很多用户手机虽然没丢，可手机钱包的“安全拉链”，早早已被层层拉开——刷机。

　　“手机刷机，是一个十分危险的举动，就像把自家手机的安全阀拱手让人。各类型的手机出厂时，通常会设置一定的访问屏障，防止外来软件获取手机系统内的核心数据。手机刷机后，外来的访问权限被设置为最高级别，在手机操作系统中畅通无阻。用户虽然绕过了安装软件要付费这一关，却也敞开了手机内部最后一道防线。手机内部留存的信息数据、各类账号密码、短消息验证码等，就能被木马病毒轻松翻阅、传送。”

　　“安全拉链”不能省

　　网络安全专家提醒说：从某种程度上说，网络用户体验和网络信息安全成反比。网络操作一味追逐便捷省力，有时是以牺牲信息安全为代价的。

　　例如，有些网络交易提供小额支付免密的超级服务，要知道我们去银行取一元钱都要输入密码，手机钱包支取银行卡的钱，为何就不需要密码了？其中的“安全墙”是如何被破解的？……“在网络信息安全领域，多一道坎，就意味着一道有效的安全屏障；相反，少一步操作，就减少了一层保护。大家装钱包时，不会只图使用方便，不拉拉链或放置在显眼易得之处；当手机变身钱包，该有的‘安全拉链’也是一步不能省的！”

　　现阶段的移动互联网犹如十多年前刚刚起步的互联网，开发者更注重创新技术和产品，网络安全意识淡然。同时，移动互联网安全领域并无标准和规范，就连基本的恶意软件行为尚无定论。而且，很多手机软件客户端使用“类病毒”推广方式，安装前要求强制访问手机通讯录、短消息、位置服务等，这些与软件服务内容并无直接关系，用户拒绝就无法安装软件。

　　因此，若将手机当钱包，用户需要增强自我安全意识。信息网络安全公安部重点实验室主任金波博士指出，“手机验证码+支付密码”的双因素验证模式，总体还是安全的。他建议：

　　■ 使用智能手机，尽量不“越狱”，不在已经“越狱”的智能手机上实施各种金融操作；尽量不要安装来历不明的软件；

　　■ 使用操作系统相对封闭的智能手机，并设置开机密码。

　　■ 手机丢失后，第一时间挂失SIM卡。即使手机被使用，也无法再接受相应的短信验证码。

　　■ 用户补办手机卡时，运营商要严格把关身份核验，保证用户的手机卡不被他人盗办冒用。