你的移動(dòng)支付安全嗎？馬云爸爸不會(huì)告訴你的那些風(fēng)險(xiǎn)。

mrsh 2016-06-08

展開(kāi)全文

“由于回復(fù)了一條短信，我的支付寶、銀行卡以及百度錢包里所有資金一夜之間被洗劫一空。那是一種一無(wú)所有的絕望?！?br>
　　這是前段時(shí)間央視新聞曝光的《起底電信詐騙之“驗(yàn)證碼”騙局》，剛畢業(yè)工作的北漂“小許”被人進(jìn)行USIM卡驗(yàn)證碼誘騙，導(dǎo)致手機(jī)卡被遠(yuǎn)程注銷并在重新注冊(cè)之后，“小許”手機(jī)號(hào)所關(guān)聯(lián)的支付寶賬號(hào)資金被轉(zhuǎn)移，支付寶、百度錢包所關(guān)聯(lián)的銀行卡資金也在一夜之間被洗劫一空。

　　有些事情是不能告訴別人的，有些事情是不必告訴別人的，有些事情是根本沒(méi)有辦法告訴別人的，而且有些事情是：即使告訴了別人，你也馬上會(huì)后悔的。 —— 羅曼·羅蘭《寂寞的感覺(jué)》

　　如果你沒(méi)聽(tīng)說(shuō)過(guò)“羅曼·羅蘭”，那么你的語(yǔ)文肯定不怎么好。這位偉大的思想家，文學(xué)家，批判現(xiàn)實(shí)主義作家在20世紀(jì)初就道出了寂寞與不可說(shuō)的必要性。

　　是的，錢存在手機(jī)里是很寂寞的，寂寞得每天只能看看收益。但是，就算再怎么寂寞難耐，你也不能把驗(yàn)證碼、支付二維碼告訴別人。

　　事實(shí)上，這方面的安全意識(shí)并不是人人具備。

　　1. 你是否安裝了微信、支付寶等支付APP并且綁定了銀行卡？2. 你知道自己免密支付的限額以及授權(quán)場(chǎng)景嗎？3. 你是否設(shè)置了手勢(shì)密碼，或者沒(méi)有設(shè)置密碼？4. 你是否用生日作為銀行卡、移動(dòng)支付等密碼？5. ...

　　并非聳人聽(tīng)聞，上面任何一個(gè)環(huán)節(jié)都有可能產(chǎn)生風(fēng)險(xiǎn)。今天，程先生說(shuō)的也不是技術(shù)失守；現(xiàn)在的網(wǎng)絡(luò)詐騙、盜竊分子在IT技術(shù)領(lǐng)域并沒(méi)有高深的造詣（形象公關(guān)：程序員大多都是好人啦?。?，也不會(huì)懵逼地直接去攻擊微信、支付寶、百度錢包的數(shù)據(jù)庫(kù)。某方面比較敏感的他們會(huì)利用社會(huì)工程學(xué)攻擊來(lái)獲取他們的利益（社會(huì)工程學(xué)攻擊利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行諸如欺騙、傷害等危害手段，以順從你的意愿、滿足你欲望的方式，讓你上當(dāng)）。

　　畢竟，移動(dòng)支付領(lǐng)域用戶群體如此之大，他們?cè)趺磿?huì)輕易放過(guò)這么大的一塊肥肉呢。再直觀一點(diǎn)，就算只有萬(wàn)分之一的上當(dāng)受騙率，每一萬(wàn)個(gè)人當(dāng)中就會(huì)有一個(gè)人遭受錢財(cái)損失。然而移動(dòng)互聯(lián)網(wǎng)用戶數(shù)目遠(yuǎn)不止此，詐騙市場(chǎng)也并非光天化日朗朗乾坤那般透明。想想你平日里接到的覺(jué)得“傻子才會(huì)上當(dāng)”的奇奇怪怪的電話短信就曉得了。（打電話發(fā)短信也要錢，虧本的生意沒(méi)人做嘛~）

　　除了依靠移動(dòng)支付產(chǎn)品在技術(shù)上加強(qiáng)安保系數(shù)，用戶主觀方面也得加強(qiáng)支付安全意識(shí)。今天程先生跟你們聊聊在移動(dòng)安全支付場(chǎng)景，我們應(yīng)該注意些什么。

　　1. 二維碼（一）

　　之所以是一，是的，因?yàn)檫€有二。（嚴(yán)肅臉）

　　未知來(lái)源二維碼跟背影殺手一樣可怕！

　　繼“乘坐扶梯請(qǐng)不要玩手機(jī)”的提示之后，上海地鐵安全語(yǔ)音廣播又新增一條“請(qǐng)勿向他人泄露個(gè)人信息”的提示，原因是最近地鐵上有陌生人舉著二維碼小牌子向乘客進(jìn)行宣傳，希望乘客掃二維碼關(guān)注他們的小店或者參與某種活動(dòng)；又或者，你會(huì)在電線桿上看到“掃二維碼贏大獎(jiǎng)”等之類讓你覺(jué)得自己掃了之后人生就會(huì)起飛的廣告；更多見(jiàn)的是，網(wǎng)絡(luò)上在論壇、博客、微信、微博等傳播的各式各樣的誘惑二維碼。

　　無(wú)論是何種情形，如果你不確定二維碼來(lái)源，那就不要騷，哦不，是別掃！

　　因?yàn)槟銦o(wú)法預(yù)知二維碼最終會(huì)跳向哪個(gè)網(wǎng)址，或者又會(huì)靜默下載安裝些什么；即使打開(kāi)了頁(yè)面，你也看不到瀏覽器或者APP究竟在傳輸些什么信息（程序員常用的方式是抓包，有興趣的朋友可以下載個(gè)WireShark窺探下你的那些APP究竟在跟服務(wù)器交互些什么，說(shuō)不定還真有驚喜）。

　　天上沒(méi)有掉餡餅的好事，就算有，高空墜落物的加速度也肯定把你砸暈。

　　2. 二維碼（二）

　　二來(lái)了。

　　支付二維碼就是錢包拉鏈，不能交給別人！

　　這里指的陌生人還包括行為陌生的聯(lián)系人。那些許久不聯(lián)系的朋友突然找你，說(shuō)TA要結(jié)婚了你看著辦，群發(fā)消息求點(diǎn)贊，他出門忘帶錢包求轉(zhuǎn)賬借點(diǎn)錢……判斷何種行為異常，直覺(jué)應(yīng)該會(huì)告訴你。

　　此外，為什么程先生說(shuō)的是二維碼而不是支付二維碼？問(wèn)得好。因?yàn)橛行┤舜_實(shí)搞不懂什么是“我的二維碼”，什么又是“支付二維碼”，索性都別泄露給陌生人更安全。穿比基尼，就有可能走光是眾所周知的道理。（你笑得好壞）

　　打開(kāi)微信，“聊天界面右上角+號(hào)展開(kāi)的收付款”里有兩種二維碼，在“我-錢包-付款”里也有一個(gè)二維碼，“我-頭像-我的二維碼”還有一個(gè)二維碼。這么多二維碼入口保不準(zhǔn)哪天不留神給泄露了~新聞里講有人被忽悠后給對(duì)方截屏過(guò)去自己的支付二維碼，結(jié)果損失不少錢。新聞里別的可能是假的，這個(gè)真的可能性還真不小。

　　從技術(shù)安全性上，支付二維碼會(huì)定時(shí)更新，并可能根據(jù)掃碼時(shí)商戶坐標(biāo)與用戶手機(jī)坐標(biāo)做匹配，或者對(duì)潛在危險(xiǎn)支付做提醒等。但這些手段并不能覆蓋所有風(fēng)險(xiǎn)Case，特別是當(dāng)寶寶你都把支付二維碼送人了，你讓馬云爸爸情何以堪？

　　微信支付二維碼

　　支付寶支付二維碼

　　從此刻開(kāi)始到2106年，你得清楚明了地曉得哪種是支付二維碼并謹(jǐn)慎對(duì)待，特別是那些還綁定了銀行卡并開(kāi)啟了免密支付的朋友。值得一贊的是，在程先生對(duì)支付寶二維碼進(jìn)行截屏操作時(shí)，機(jī)智的支付寶做出了安全性對(duì)話框提示。這個(gè)功能技術(shù)難度不大，但對(duì)社會(huì)工程學(xué)攻擊來(lái)說(shuō)是有效的安防措施。

　　3. 免密支付

　　你清楚自己的快捷支付免密額度嗎？**

　　程先生下班用滴滴打車，從叫車到付款都沒(méi)有輸入過(guò)密碼；因?yàn)槌滔壬牡蔚谓壎诵庞每?，并通過(guò)滴滴的頻繁提Sao醒Rao開(kāi)通了免密支付功能。細(xì)思極恐。

　　利用便捷的支付二維碼進(jìn)行付款的升級(jí)版快捷支付方式是：免密支付（支付時(shí)不需要進(jìn)行二次安全驗(yàn)證從而直接付款。支付寶：我的-頭像-設(shè)置-支付設(shè)置-免密支付，默認(rèn)2000元免密額度；微信：默認(rèn)1000元免密額度不可更改；百度錢包：默認(rèn)300元免密額度不可更改）；這種支付方式在綁定銀行卡后風(fēng)險(xiǎn)也隨著便捷性的提升而提高。產(chǎn)品經(jīng)理為了刺激消費(fèi)真的想了很多法子，然而默認(rèn)的免密支付設(shè)置及額度并不適合每一個(gè)人，需要大家根據(jù)自己情況做調(diào)整。

　　除非你非常清楚明了自己的快捷支付免密支付方的場(chǎng)景及額度，不然還是再次檢查并確認(rèn)這些信息較為妥善，或者設(shè)置一個(gè)安全的零花錢**免密**額度。

　　免密支付默認(rèn)限額

　　4. 銀行卡綁定

　　喊你綁卡的APP真的安全嗎？

　　上面所說(shuō)的二維碼支付、免密支付一般都會(huì)打通所綁定的銀行卡。程先生沒(méi)什么錢，卻有很多銀行卡，銀行卡里卻又沒(méi)什么錢。似乎怕哪天有錢了存不下，程先生如數(shù)家珍地把銀行卡都綁定在支付寶中。寫完這篇文章后，程先生把銀行卡都解綁了。好繞，是的，不要把雞蛋放在一個(gè)籃子里是對(duì)的。

　　但這里，程先生說(shuō)的不僅是上面那個(gè)Point?，F(xiàn)在很多APP都具備了綁卡支付等功能，告訴你們一個(gè)像秘密的秘密，這些CEO都迫不及待地想讓用戶掏出自己的銀行卡并牢牢綁定在他們的APP上，這無(wú)論在融資或者產(chǎn)品盈利上，都是一個(gè)重要的KPI。且不說(shuō)這些APP的安全資質(zhì)如何，綁定銀行卡之后，如果進(jìn)一步授權(quán)免密支付，你仔細(xì)想想，會(huì)安全么？Uber盜刷的風(fēng)波還沒(méi)過(guò)多久呢。那可是Uber??！

　　再說(shuō)一個(gè)題外話，APP具備支付功能之后，錢就有可能沉淀到APP中，例如紅包余額，人均10元的話，那得有多大的流動(dòng)資金~所以，每個(gè)用戶都得清楚自己的小白價(jià)值。

　　最安全的綁卡

　　5. 手勢(shì)密碼

　　你的手勢(shì)密碼是大寫的L、M還是N？

　　手勢(shì)密碼除非設(shè)置得眼花繚亂（至少也得以假亂真），不然程先生認(rèn)為是雞肋。因?yàn)槭謩?shì)密碼取代數(shù)字密碼的一個(gè)原因就是在輸入數(shù)字密碼的時(shí)候，1-9數(shù)字鍵位置固定，旁人很容易根據(jù)按鍵位置及順序并在腦海中迅速快照從而記住你的密碼；再細(xì)思極恐些，你頭頂無(wú)處不在的攝像頭也很容易幫你記住密碼。當(dāng)然，世界還是美好的，程先生只是在闡述手勢(shì)密碼的優(yōu)劣而已。

　　如今，替代手勢(shì)密碼的更安全的方式是指紋解鎖（或進(jìn)行支付驗(yàn)證），Bi~一下就行；這無(wú)論從用戶體驗(yàn)還是安全可靠性上，都是一個(gè)極大的提升。

　　所謂的手勢(shì)密碼

　　6. 手機(jī)驗(yàn)證碼

　　如果你不想活了，那就把驗(yàn)證碼給別人吧。

　　在采用二維碼進(jìn)行人機(jī)驗(yàn)證之前，最流行的方式是通過(guò)短信驗(yàn)證碼對(duì)用戶身份進(jìn)行確認(rèn)。在很多應(yīng)用或者網(wǎng)站中，憑借驗(yàn)證碼可以還原、獲取所有的用戶信息，所以萬(wàn)一手機(jī)丟了，第一步不是喊“??！”，而是借手機(jī)**打客服掛失號(hào)碼**，以免不法之徒通過(guò)手機(jī)及驗(yàn)證碼完虐你的所有重要信息。

　　看到引文中的反面教材了吧。怎么說(shuō)呢，驗(yàn)證碼的水還真比較深，有人通過(guò)眼花繚亂的偽基站用眼花繚亂的手段套取你的驗(yàn)證碼，也會(huì)有眼花繚亂的網(wǎng)站給你發(fā)眼花繚亂的驗(yàn)證碼，這里有五個(gè)眼花繚亂。無(wú)論你有沒(méi)有數(shù)對(duì)，程先生唯一的建議是，不要將自己主動(dòng)獲取的驗(yàn)證碼告訴別人！

　　7. 短信鏈接

　　短信鏈接，一鍵連接您與噩夢(mèng)。

　　曾幾何時(shí)，短信是多么美好的通訊方式。那時(shí)，短信還要收費(fèi)，那時(shí)，短信的每一個(gè)字時(shí)認(rèn)真的；而如今，除了10086提醒我話費(fèi)不足趕緊繳費(fèi)之外，短信列表里只有106X號(hào)碼跟我說(shuō)話。

　　然而根據(jù)數(shù)據(jù)統(tǒng)計(jì)，目前短信營(yíng)銷、短信用戶還是有較大群體。而且短信由于字?jǐn)?shù)的限制，一些網(wǎng)絡(luò)鏈接都會(huì)通過(guò)短網(wǎng)址進(jìn)行編碼。你肉眼無(wú)法判斷 http:///xxx 究竟會(huì)跳往何處。所以，程先生對(duì)此唯一的建議是：不要在手機(jī)上點(diǎn)擊陌生號(hào)碼的鏈接！

　　結(jié)語(yǔ)

　　“什么，還要寫結(jié)語(yǔ)？”“是的，你們程序員難道不Return嗎？”“噢?！?br>
　　作為程序員，我們?cè)谠O(shè)計(jì)、開(kāi)發(fā)應(yīng)用時(shí)盡可能利用嚴(yán)謹(jǐn)邏輯及技術(shù)手段保障用戶的信息和數(shù)據(jù)安全；作為用戶，有必要對(duì)自己的信息及行為負(fù)責(zé)，提高移動(dòng)支付的安全意識(shí)，多多關(guān)注程先生的小賣部。return true;

　?。ㄍ辏?

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： mrsh > 《生活百科》

舉報(bào)/認(rèn)領(lǐng)