支付宝安全机制待完善,手机依赖隐患多,用户需警惕
前不久,一则“余额宝被盗用支付宝6万余元,请店主“耐心等待”的新闻引起了笔者的密切关注,不仅因为我也是余额宝用户但更重要的是,这次事件可能反映出支付宝的安全存在一定的漏洞。如果这些漏洞确实存在,支付宝将立即提高其安全性,否则将会有更多的用户遇到此类事件。
为了了解支付宝的整个安全机制,笔者花了几天的时间进行研究,分为几个部分。一是研究支付宝相关的安全功能以及它们如何协同工作;另一个是基于网上发布的内容。通过一些资料和案例来分析、验证相关问题,并找到问题的原因,通过这两部分的结合,笔者发现支付宝确实存在很多安全问题需要解决。
1、过于“依赖”手机带来安全风险
网上提到的支付宝存在小额无密码支付、绑定银行卡快捷支付等漏洞。这些功能确实存在问题,但用户也可以关闭相关功能。我们稍后会讨论这个问题。首先说一个很多用户无法改变,但确实很严重的问题,就是支付宝对手机的过度依赖,从而产生了安全隐患。
对于普通用户来说,与支付宝安全相关的关键词有:用户名、登录密码、支付密码、数字证书。只要满足上述条件,用户就可以完成支付。对于不法分子来说,如果想要盗取用户的支付宝账户,就必须解决上述问题。不要以为这些问题很难。只要用户的手机被植入木马或者手机卡被复制,不法分子就很有可能盗取用户的支付宝账户。
用户名比较容易获取,登录密码和支付密码也可以基于短信验证修改。注销和安装数字证书也是如此。一种情况是用户的手机被植入木马。在操作过程中,黑客通过木马拦截用户的短信并获取验证码,而用户根本不知情。另一种情况是直接复制用户的手机卡,如下图。 。
也就是说,只要手机被控制或者手机卡被复制,不法分子就可以进行某些设置,例如更改密码、激活无线支付、激活余额支付等,并通过这些手段盗取用户的钱财。 。当然,一般不法分子也会获取用户的身份信息,因为在一些支付宝服务中,需要输入身份证进行验证,但有些则不需要。总之,过于“依赖”手机,必然会带来很大的安全隐患。
2、手机号码绑定相关问题
上述问题是如果用户不更改支付宝绑定的手机号码可能产生的风险。还有一种情况,就是修改手机号码的绑定。也就是说,解绑原有手机号码是违法的。这些分子将他们的手机号码与其绑定。笔者对这方面进行了一些研究,发现不法分子修改手机号码绑定其实是相当麻烦的。
由于我使用邮箱注册支付宝账户,当我尝试修改手机号码绑定时,系统提示必须通过人工审核完成修改。有以下步骤。首先,支付宝会向电子邮件发送一个确认链接,然后用户点击后,会进入一个“自助服务”页面,接下来需要几个步骤,如下图所示。应该说整个确认过程是比较完整的。如果用户信息不泄露,不法分子基本上很难修改绑定的手机号码。然而,这一制度仍然存在漏洞。笔者在不登录支付宝的情况下仍然可以访问支付宝发送的确认链接,并且似乎不存在有效性问题。即使三五天后访问该链接仍然有效,这非常令人惊讶。人们想知道。
对于手机注册用户来说,问题比较简单,因为没有邮箱地址,系统会提示您输入邮箱地址,然后系统会将申请表发送到该邮箱地址。整个过程与上面的步骤3相同。可见,手机注册用户的安全性应该不如电子邮件用户。不过,手机注册用户仍然可以添加电子邮件帐户来改进。
因此,我们不建议用户使用手机号码注册支付宝。如果他们使用电子邮件地址注册支付宝,我们不建议他们启用手机登录功能。
3、手机钱包的安全风险
我们先来说说支付宝手机钱包的安全风险。刚开始使用支付宝手机钱包时,发现有时不用输入支付密码也能转账。这是小额免密码支付功能。虽然方便,但确实很不安全。特别是一些用户已经在IOS系统上进行了测试。他们先关闭网络,然后用手机登录支付宝。 5次输入错误密码手势后,支付宝软件在后台关闭。再次打开时可以设置新的手势,连接网络后即可进入软件。如果账户设置为小额无密码支付,可能存在被刷的风险!
当然,移动钱包的问题还不止于此。笔者之前开通了每月价值60美分的短信验证服务。激活此功能后,每次转账,无论金额大小,都必须通过短信验证。此功能在 PC 上不起作用。有问题,但在我的手机上不起作用。也就是说,支付宝并没有与手机钱包同时覆盖该功能。
这也是一个大问题。众所周知,支付宝对PC端转账收费,其目的是为了推广移动端。但相比之下,移动端的支付宝钱包无论是功能还是安全性都还处于早期阶段。支付宝未来必须加快步伐。 、完善移动端。当然,对于使用支付盾的用户,我们建议关闭无线支付,否则安全风险仍可能存在。
除了这些问题之外,用户在使用支付宝手机钱包时,还应特别注意定期检查手机是否有病毒、木马。不要随意访问未知网站或扫描二维码,因为这可能会导致用户的手机感染病毒。
4、PC中木马导致支付宝资金被盗
还有一种情况是PC中了木马导致支付宝钱被盗。黑客利用特洛伊木马远程控制用户的计算机。同时,他们可能已经掌握了用户的登录密码和支付密码。这时,他们就可以直接访问用户的计算机了。进行操作。当然,如果用户设置了短信验证等功能,并且手机没有感染病毒或者电话号码没有泄露,单靠这些步骤是无法完成资金被盗的,但这种情况还是得预防。
当然,大家熟悉的小额免密码支付功能和快捷支付功能我们就不细说了。我们已经在网上讨论了很多。希望大家能够关闭这些功能,以保证账户的安全。