Ovum提出警告,提供移动支付服务的银行必须警觉到恶意软件、病毒的威胁,以及金融罪犯的风险。
一份由独立分析机构Ovum提出的新报告指出,银行应该跟移动网络运营商和手机供货商合作提升安全性。除此之外,他们应该有随时与恶意软件交手的警觉性,并且永远假设可能遭受攻击。
Ovum首席分析师暨报告作者Graham Titterington相信,什么都不做并不是个好选择。他表示,“移动支付机制天生就很脆弱。手机可能遗失、失窃或是被黑客入侵,而且手机的使用环境天生就比在办公室里或是家里使用计算机来得不安全。”
“移动网络可能会被拦截,像是破解无线网络加密机制,或是入侵根据电信标准没有硬性规定要加密的有线骨干网络。对无线网络环境无害的恶意软件,也可能会通过移动银行界面危及后端服务器。”
Ovum相信必须加强安全防护的设计,至少要提升到跟网络银行一样的水平才行。然而,移动网络的安全规范不能只是原封不动地复制网络银行安全规范而已。虽然许多安全考虑跟策略是接近的,但是安全规范必须根据渠道的特色和移动支付的使用方式量身订做才行。
此外,安全规范不能降低操作的方便性。Ovum坚信,安全规范必须默默的运作,不能打扰一般的交易流程,但是同时提供使用者足够的信心,让他们了解他们的金融活动受到保护。
“银行必须实行‘深度防范’的策略去侦测并降低攻击造成的影响。”Titterington说:“独立采用终端对终端的加密交易方式,不依赖任何由网络运营商提供的加密方式,就可以避开网络的弱点。”
“过去这项提议的主要反对意见是手机缺乏足够的运算能力,但是现在时代不同了,手机运算能力已经变得更加强大。加密虽然不是万灵药,但可以反窃听、防止讯息被窜改,并且防止中间人攻击(man-in-the-middle attacks)。”
报告中还提到银行在强调简单易用的同时,甚至让移动支付适用现有的付款指示,所以设立新的付款账户时应该特别谨慎。报告还建议因为使用直接支付方式,银行应该考虑提供追回错误交易的功能,即使不能确定是否遭遇诈骗事件。
