OVUM評論：銀行必須警覺到移動支付的安全威脅

倫敦 ─ Ovum提出警告，提供移動支付服務的銀行必須警覺到惡意軟體、病毒的威脅，以及金融罪犯的風險。

一份由獨立分析機構Ovum提出的新報告*指出，銀行應該 跟移動網路運營商和手機供應商合作提升安全性。除此之外，他們應該有隨時與惡意軟體交手的警覺性，並且永遠假設可能遭受攻擊。

Ovum首席分析師暨報告作者Graham Titterington相信，什麼都不做並不是個好選擇。

他表示：「移動支付機制天 生就很脆弱。手機可能遺失、失竊或是被駭客入侵，而且手機的使用環境天生就比在辦公室裡或是家裡使用電腦來得不安全。」

「移動網路可能會被攔截，像是破解無線網路加密機制，或是入侵根據電信標 准沒有硬性規定要加密的有線骨幹網路。對無線網路環境無害的惡意軟體，也可能會通過移動銀行介面危及後端伺服器。」

Ovum相信必須加強安全防護的設計，至少要提升到跟網路銀行一樣的水準才行。然而，移動網路的安全規範不能只是原封不動地複製網路銀行安全規範而已。雖然許多安全考慮跟策略是接近 的，但是安全規範必須根據管道的特色和移動支付的使用方式量身訂做才行。

此外，安全規範不能降低操 作的方便性。Ovum堅信，安全規範必須默默的運 作，不能打擾一般的交易流程，但是同時 提供使用者足夠的信心，讓他們瞭解他們的金融活動受到保護。

「銀行必須實行『深度防 範』的策略去偵測並降低攻擊造成的影響。」Titterington說：「獨立採用終端對終端的加密交易方式，不依賴任何由網路運營商提供的加密方式，就可以避開網路的弱點。」

「過去這項提議的主要反對 意見是手機缺乏足夠的運算能力，但是現在時代不同了，手機運算能力已經變得更加強大。加密雖然不是萬靈藥，但可以反竊聽、防止訊息被 竄改，並且防止中間人攻擊(man-in-the-middle attacks)。」

報告中還提到銀行在強調簡單易用的同 時，甚至讓移動支付適用現有的付款指示，所以設立新的付款帳戶時應該特別謹慎。報告還建議因為使用直接支付方式，銀行應該考慮提供追回錯誤交易的功能，即使不能確定是否遭 遇詐騙事件。