移动支付盛行 你都了解多少?
随着互联网的飞速发展,人们越来越多的从网络中汲取自身所需要的养分。互联网在活跃了我们大脑神经的同时,也丰富了偶尔乏味的生活。近些年,网购的大军在不断的刷新着各项记录。每一年的“双11”、“双12”在如火如荼的进行着,越来越多的人群在涌入这股网购浪潮之中。笔者回想起06年刚上大学的时候,整个班里只有自己注册淘宝尝试在网上购物,几年过去了简直是瞬息万变,网购早已不是什么新鲜玩意儿,海淘才是“高大上”的方式。
有统计数据显示,截止到2013年12月份,我们国家的网购用户人数已经超过了3亿人,网购零售市场交易额是达到了1.8万亿以上之多。而随着网络交易规模的不断扩大,网络支付的应用范围也是越来越广,随之而来的安全性问题就显得越来越突出。支付宝、微信支付、微博支付和QQ钱包等众多第三方支付进入了我们的视野,但是对于这些第三方支付的安全性,你真的了解和重视了吗?
二维码也能“盗”号 警惕移动支付安全性
常见第三方支付
■支付宝
随着网络购物的盛行以及智能移动系统的发展,越来越多的第三方支付平台诞生,这其中首当其冲的当属支付宝。过去的一段时间,支付宝旗下的余额宝吸引了人们不少的目光,打着“会赚钱的钱包”这个旗号,使得人们将大量的银行存款放入其中。但是随着其利率的不断下降也使得人们对它的关注日渐减少。
可以说支付宝是国内诞生最早的第三方支付平台之一,淘宝和支付宝的绑定关系,从某种意义来讲很类似于美国eBay和PayPal的绑定关系。支付宝应该是我们使用最多的第三方支付平台,随着多年的发展支付宝在服务和安全性上都得到了人们的认可。现如今,支付宝的应用范围已经不仅仅局限在淘宝上,很多大型的官方网站也都开通了支付宝的支付功能,十分便捷。
■微信支付
有一次笔者在海底捞吃饭,服务员告诉我“使用微信支付可以立减10元”。回想起马年春节那段时间,好友间互相通过微信红包发送“红包”使得微信支付着实小火了一把。其实微信红包是微信支付中的一个小功能,很显然是为了微信支付打广告。然而微信支付又是第三方支付平台财付通推出的一款基于微信客户端的支付方式。
正如上图微信支付的界面我们也有所发现,和支付宝钱包类似的是,微信支付也推出了类似余额宝的存钱利器——理财通。当时就有朋友问我用哪个会利息更高一些,我的回答是:如果你真的不差那点儿钱,请选择存在银行,如果你真的要赚那点儿利息,请选择安全性更可靠的。
■QQ钱包&微博支付
可能是看到了第三方移动支付的便利性,通过网络用户的那一丁点儿资金,更多的第三方支付又出现了,顿时让笔者感到有些混乱不堪。微博支付也是被植入进了微博客户端的一种支付方式,不仔细观察的用户恐怕都不会发现这个功能。QQ钱包相信在腾讯自家微信支付的冲击下,恐怕也没有太多人关注了。
微博支付和QQ钱包
如此繁多的第三方支付产生,操作这些平台的幕后主使目的无非都只有一个,网络小客户的各种小额流动资金。移动支付都需要我们绑定银行卡和个人信息,相信很多用户绑定的肯定还不止一张银行卡。但是,更多的个人信息和银行卡被绑定在第三方支付上,它们真的都是安全的吗?如果手机丢失,钱包丢失,甚至是背包丢失的话,我的个人账户安全该如何保证?
移动支付的便利 提高生活效率
移动支付的便利 提高生活效率
移动支付之所以如此盛行,最大的原因在于其不同以往的便携性。随着移动智能的发展,平板和手机成为了人们每日必备的电子产品,然而优秀的第三方程序开发又使得这些支付方式很好的充当了我们日常生活中的“电子钱包”的角色。就拿笔者本身来说,家中的水电费,煤气费,甚至是管朋友借钱后我都用支付宝来操作。当然,还信用卡也是用的支付宝。
支付宝能够提供多种服务
移动支付正是抓住了人们的这种心理才逐渐的盛行起来,它真的可以免去我们很多外出跑腿儿的功夫,动动手指就可以完成很多费劲的事情。节省下来的时间我们大可以用来做其他的事情。不仅如此,更多的官方商城开通对支付宝等网上银行之外的第三方支付的支持,更加扩展了支付宝的使用范围。
小米官网支持支付宝支付
现在我们的交易平台已经远远不局限于淘宝了,更多的官方商城也是我们关注的焦点,京东、小米以及像耐克一样的官方商城也都有较大的客流量。这其中所有的商家都毫无疑问的开通了对第三方支付的支持,近些年人们开始寻求海外购物。eBay、乐天、Amazon等都是人们经常光顾的购物网站。近日便有最新消息显示,日本乐天购物商城已经开通了对支付宝的支持。
相信乐天商城也只是支付宝拓展海外业务的第一家,往后还会有更多家在不断拓展。眼瞅着网络购物发展如此迅猛,越来越多的用户将银行中的资金转入到了余额宝之类的支付平台账户之中,随之而来就会有更多的黑客盯准了这些平台的漏洞。根据支付宝的网络安全工程师介绍,发生金融交易风险的概率是十万分之一,他们在加强支付宝安全性的时候也不可能做到万无一失。
最近,笔者观看到了一则新闻,讲述的就是由于支付宝安全问题。事件中的用户在使用支付宝网购的时候,因为一些诡异的交易环节没有引起注意,使得其支付宝账户和密码被盗走,最后直至账户内的三千元余额也全部被盗走。究竟是怎样的过程使得整个支付宝账户都被盗取?我想很多人都会有这样的疑惑,带着这样的疑问我们先来仔细回顾下事件的经过。
二维码中藏隐患 木马病毒被植入
二维码中藏隐患 木马病毒被植入
事件的大致经过是这样的,当余女士在淘宝购物的时候,没有在商品页面看到详细的商品信息。她和卖家联系之后,卖家让她扫描一条对方发过来的二维码,并且告诉她扫描过后便可以从这条二维码中获取她需要的相应商品的信息。但是在扫描完了之后,余女士一直没有没有看到信息。就让店主联系她,给了店主电话之后便再也没有了消息。
扫描二维码存隐患(图片来自nbd.com.cn)
随后,余女士收到了支付宝转账的短信通知,剩余的3000元钱被转走了同时与支付宝绑定的银行卡中也有2000元被转走。这个时候余女士才意识到了问题的严重性,赶紧登陆支付宝账户,发现怎么也登陆不上去;见此状后,她迅速冻结了银行账户并且向公安机关报警。究竟是什么原因导致余小姐账户被盗,哪个环节出了问题?
相信很多人都已经猜到,问题就出在余女士扫描的这条二维码上,可能有些人看到不解,一条二维码会有多么大的玄机?其实不然,二维码背后是用户看不到的信息,在用户不扫描之前是完全不知道它蕴含了什么。黑客们正是利用了二维码的这种安全漏洞,再加上用户自身的安全意识疏漏,从而窃取个人账户信息。要想更细致的了解这其中的奥秘,我们就来细致分析下二维码的原理。
手机扫描二维码能干许多事情,包括加好友,装软件,上网,看视频等等,不可不谓功能强大。但是大多数人不知道扫描二维码中毒的原理,正所谓知其然知其所以然,我们来仔细了解下二维码的原来,然后好让大家知道中毒原理,以做到知己知彼百战百胜。今后再看见不明来路的二维码,也可以做到心中有数。
中关村在线平板电脑官方微信二维码(这个大家可以放心扫)
二维码是利用矩阵式二维码的原理和行列式二维码的原理将信息存储在图片中的,所以可以这样理解,二维码就是用来存储信息的。手机的扫描就可以读取其中的信息,信息既可以是文本、网站链接、文件、图片;也可以是视频、软件安装包等等。
正因为二维码可以包含的信息量大,这就容易给不发分子造成牟利的机会,因为你扫描二维码之前不知道里面含有什么信息。如果扫描完将信息读取完后又不知道如何辨别信息有没有安全性的问题,继续操作就容易出现手机中毒、恶意扣费等等问题。需要说明的是,二维码本身是没有病毒的,含有病毒的是二维码中的信息指向的网站或软件安装包等。
由于二维码在存储信息上的功能这就使得它拥有以下的用途
●信息获取(名片、地图、WIFI密码、资料)
●网站跳转(跳转到微博、手机网站、网站)
●广告推送(用户扫码,直接浏览商家推送的视频、音频广告)
●手机电商(用户扫码、手机直接购物下单)
●防伪溯源(用户扫码、即可查看生产地;同时后台可以获取最终消费地)
●优惠促销(用户扫码,下载电子优惠券,抽奖)
●会员管理(用户手机上获取电子会员信息、VIP服务)
●手机支付(扫描商品二维码,通过银行或第三方支付提供的手机端通道完成支付)
了解完上面的信息后我们就知道,二维码导致手机中毒、扣费等,其实与电脑中毒的机理是十分类似的,只不过你在扫描二维码之前无法对其中的信息进行辨别。而我们使用的又是手机扫描而不是其他更有辨识度的设备。如果在不知情的条件下安装扣费软件或者其它带有木马病毒的软件后,让他人谋利简直易如反掌。
罪魁祸首是木马 短信重置登陆信息
罪魁祸首是木马 短信重置登陆信息
看了上面二维码存在隐患的介绍相信不少网友都寒战了一下,着实没想到一个小小的二维码会有这么多的猫腻。那么二维码又是以怎样的形势伪装的呢?通常他们它们会藏在热门的正常软件里;比如一些知名游戏软件、工具软件中。其次,还有一些专门开发出一种带功能性的免费软件,把病毒嵌入;最后,还有一种可能是扣费病毒不立即安装,先安装一个木马病毒,等时机合适时,通过服务器给指令下载相关的扣费病毒,静默安装。最后这一种是最可怕的。
二维码隐藏木马病毒(图片来自qudong.com)
在了解了二维码的前前后后,我们回过头来再审视一下余小姐的账户丢失问题。可以肯定的是,余小姐在扫描完那个二维码之后,手机就被在她不知情的情况下植入了木马病毒。这个病毒将会盗取她手机中的电话信息,包括联系人短信甚至是通话记录等。那么余小姐的支付宝账户是如何被重置的呢?
我们都知道支付宝账户分三大个人信息:用户名、登陆密码和交易密码。其中用户名和登陆密码是进入账户的唯一方式。交易密码则是用户在进行交易过程中需要使用的密码,然后根据用户个人设置的不同,可能还会有手机动态密码、手机宝令和数字证书等验证交易过程的密码。然而余女士的手机在被植入了木马病毒后,就可以盗走她的短信信息。
一般情况下,在我们的支付宝账户安全性并不是十分高级的情况下,我们只需要身份证信息和支付宝绑定的手机号码信息就可以重置登陆密码。然而可能有网友会问,那黑客是如何获得我们身份证信息的?如果你看过数不清的移动贩卖客户信息的节目,那么就不会觉得这是一件十分难以办到的事情了。
一般来说有两种可能我们的身份证信息被盗走,第一种可能,对方可以谎称没有支付宝只能通过银行转账操作,然后他又会提出银行要提供被转账人的个人信息,这个时候安全性低的用户就有可能上当。当然这个方法比较小儿科;第二种可能,就是我之前提到的,我们的个人信息已经在网络上遭到了泄露,如果不法之徒用心的话还是可以获取的。
就这样在得知了用户个人信息:身份证信息和短信信息之后,不法分子就可以利用这些信息重置用户的登录密码,并且修改其他信息。余女士的情况基本上用一下的图解可以说明:
通过以上图解我们可以了解到黑客是如何通过通过一个“简单”的二维码来盗取用户信息,从而将账户资金盗走的。虽然图解表示的简单明了,但是整个过程并非这么简单。如果不是具有较强防范意识的用户,恐怕真的可能中了这种招数。说到这里就又引出了另一个问题——移动短信伪基站。
伪基站防不胜防 更高深莫测的骗术
伪基站防不胜防 更高深莫测的骗术
二维码种植木马的招数已经让我们瞠目结舌,虽然二维码的骗术见到的不多,并且影响的人群也有限,但是一旦中招后成功率还是较为警醒人们的。并且相对而言,能够接触网购和使用二维码的都是年龄层比较中青代的一帮,自身的账户安全防范意识都比较高。可是还有更普遍的一种骗术则是我们平日里见得很多,影响的面也更大,这种骗术属于广撒网的类型。它就是伪基站。
伪基站无处不在(图片来自百度百科)
■“吸”入伪基站范围 乱发短信
相信有不少用户都收到过以上这样的短信,这条短信是笔者最近刚收到的,而且还不止一次。可能很多人都和我有同样的困惑,他是怎么知道我的电话的,又是运营商出卖?这次还真不是,这样的短信就是伪基站的作为。什么是伪基站?它有什么作用?
所谓“伪基站”顾名思义即假基站。设备是一种高科技仪器,一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,任意冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。值得庆幸的是,目前只有中国移动和中国联通的GSM手机网受伪基站影响,而中国电信CDMA网保密性强还没有出现过破解的情况。
■随意定义用户号码
像笔者上面这样的号码,一看就没有什么实际意义;平时看一眼就当做是短信平台发送到广告不以为然。但是,伪基站真正可怕的地方在于,只要用户的手机进入到了伪基站的覆盖范围,它就可以随意定义用户或者伪基站的号码。
举个例子说,第一种方式:伪基站可以将号码定义为10086,然后仿照10086的发送格式给用户发送短信。另一种方式:伪基站定义用户A的手机是10086,定义用户B的手机是12345,然后用A手机给B打电话的话,B就会显示“10086”这个号码。
比起前面二维码的盗取手段,这种伪基站定义手机号码的做法则显然更容易被像我们父母辈的人所相信。他们看到这样的号码,一般是没有任何辨识度的。通常有些老人在陌生号码打来电话都有可能跑去银行汇款,面对这样熟悉的官方号码发来的信息或者打来的电话则更容易上当。
如何做好防范? 编辑给你来支招
如何做好防范? 编辑给你支招
为什么我们如此信任的支付宝移动支付一时间会如此让人提心吊胆,需要处处提防?其实从支付宝诞生时起,这样的隐患就存在着。只不过随着科技的进步,黑客和不法分子的技术也在进步。他们逐渐有了破解各种漏洞的能力,移动平台无论是平板还是手机都是平时使用率很高的产品,它们本身来讲安全性就不如PC端。其次,我们的支付过程太过单一化,不能仅靠交易密码和动态密码就完成我们的最后支付。
注意软件安装的风险
其实各种软件在安装之前或者安装过后,都会有如上图所示的警告提示,正规官方发布的软件会明确提示用户该软件会读取用户的哪些个人信息。我们可以根据个人的需求选择是否这样的软件,当然,大多数情况下肯定是不信任为妙,因为你不知道什么时候这些信息就被官方给出卖了。
■银行、用户和第三方支付平台关系
在银行、用户和第三方支付平台三者的关系之中,我们都能够感觉到在银行和支付平台中间进行的操作都少有听到会出现什么问题。这是因为银行和第三方支付平台是特供的专线,这条线的安全措施较为牢固不会被黑客之类的攻破。黑客所攻破的主要是用户和第三方平台之间的这道门槛儿,当我们的各种认证信息都被一一攻破之时,我们的账户安全也就毫无安全可言了。
■如何防范?编辑给你支招
首先,如果真的发生了账户被盗的情况,第一时间无疑是给银行打电话,迅速冻结自己的账户,以防更大的资金损失。然后就是向公安机关报警。当然,这是在悲剧已经发生之后的事情,在我们账户遭遇不策之前,我们完全可以做到账户安全的顶级防护。笔者来讲述下多年网购的经验,希望对大家能有用。
这里我们首先就拿支付宝举例,再次提醒大家,遇到数额较大的交易时,尽量不要使用移动客户端作为交易的手段,尽量到PC端完成最后的支付。其实在支付宝后台的安全中心,就已经为我们提供了各种可以提高账户安全性的措施,绝不仅仅只有动态密码这么“Low”!除了动态密码之外,我们还可以选择支付宝令、数字证书和支付盾。这三者的安全等级是层层递进的,如果将以上这些都装备齐全了恐怕任何黑客都不可能攻破你的账户了。
这其中笔者推荐我用的最方便也是安全性远高于短信动态密码的一种密码——手机宝令。手机宝令是在当用户进入到支付页面的时候,会多出一项“宝令动态口令”的密码项。这个密码是通过用户绑定的手机支付宝客户端随机发出的,并且它是30秒更新一次,且是唯一的,只有用户的支付宝手机客户端才能够通过识别。只有当动态宝令密码、手机短信动态密码和支付密码“三码一致”的时候才能完成支付。这样我们的交易安全就远比单纯的短信验证码要高出很多。
再有一点需要提醒网友们,移动支付虽然便利,但还是少绑定银行卡为妙,而且经常使用的网银账户最好不要存留太多的资金,网购和真正的储蓄账户应该分开管理。
跟PC相比,不论是安全软件还是安全策略,从平板、手机上骗钱都要相对更容易一些,慎重操作。
张剑锋