惊悚测试:绑定银行卡的手机丢了很可怕?小编看完吓尿了

2014-01-19 温州晚报 温州晚报

昨天下午,杭州的王小姐出去办事,在体育场路拦了一辆出租车,一上车,司机李师傅就向她推荐微信支付,“你用微信支付车费,可以减免10元,我也能得到10元。”李师傅说,在上下班高峰期间,他还有机会再获10元奖励。好奇心加现金优惠的吸引,王小姐果断加了李师傅的微信号,并将账号绑定了自己的银行卡,通过手机支付,王小姐如愿得到10元减免。


与微信支持的“嘀嘀打车”手机应用一同砸钱贴补司机乘客血拼手机支付市场的还有“快的打车”,这两款叫车软件背后是腾讯和阿里巴巴两个互联网大佬,手机支付的普及趋势在巨头的拼争中加倍提速。


1月16日,平安集团推出手机“壹钱包”。稍早前,新浪与支付宝联手推出微博支付,移动支付已经成为群雄必争的战场。在大佬们的疯狂竞争下,移动支付的体验日益畅快,用户数也不断飙升。捆绑了银行卡的手机从来没有像今天那么重要。手机丢失,我们的损失从通讯录演变为照片视频和个人信息,直至所绑定银行卡里的钱也可能会被席卷一空。现在,手机更像是一个随身的保险箱,承载太多以至于一时找不到就魂不守舍。


便捷和安全至今仍是一对矛盾体,至少目前来看,手机支付的安全性能还没有追上极致体验。究竟手机支付有哪些安全漏洞?昨天,记者进行了一番测试发现,几款主流的手机支付应用存在不同程度的安全隐患,我们建议移动支付用户应该采取相应的防范措施。


测试1:

主流支付软件超便捷存安全隐患


1月16日,某网站测试了手机丢失后,模拟陌生人通过手机验证码来获取支付宝账号和登录密码,解除有U盾的数字证书,找回支付密码等,并成功将余额宝里的钱转出来,然后转账至他人银行卡。


按照该网站的测试步骤,在不知道支付宝登录密码的情况下,如果绑定了手机号,只需通过“忘记登录密码”功能,获取手机校验码即可进入支付宝账户。


此时,如要将余额宝里的钱划到支付宝,或者将支付宝的钱转到其他银行卡,还需要支付密码。测试人员同样通过“找回密码”和“短信验证”功能,获得了支付密码。之后,无论网购和转账,该手机的支付宝账户就完全处于获得者的掌控之下。


不过,支付宝相关人士昨日表示,现在一般要求实名注册支付宝账户。记者找到了几个用实名注册的支付宝账户,在重复上述获取密码步骤时,账户提醒要输入登记的身份证号。如何在知道手机号时获取机主的身份证号?百度一下,居然发现多个途径。也就是说虽然相关步骤较为复杂,但最终仍有可能进入相关支付宝账户。


再来看微信支付。由于微信一般默认在线,只需6位数支付密码即可网购话费充值。同样使用“找回密码”功能时,被要求输入所绑定的银行卡卡号、持卡人姓名和身份证号。相比而言,这三个信息同时获得的难度大一些。


如此看来,如果用户手机和身份证一同丢失,盗取支付宝账户将毫不费力;如果身份证和银行卡随手机一起丢失,微信银行账户也将不保。


测试2:

手机银行应用安全性高便捷性弱


一般来说,现在的智能手机上大多安装了手机银行应用,如果手机丢失,这些APP是否面临同样风险?快理财记者打开工行手机银行,没有看到类似“找回密码”功能。


工行客服对记者说,如果只是查询,建议用绑定的手机发送代码短信至客服号,注销手机银行后重新注册;如开通了网银,同时密码器绑定网银及手机银行,则登录网银,重置手机银行登录密码。最后一种方式是带上银行卡和身份证,本人到银行柜台重置密码。招行客服人员说,如果用户忘记手机银行登录密码,有两个找回途径:登录该银行网站或者联系客服,同样需要多项验证信息。


在手机银行转账环节,如非本人同行注册账户之间转账,银行一般会有电子密码器等更为高级的认证工具。显然,这在一定程度上牺牲了便捷性。


实际上,在安全领域有两个基本的原则:一是没有绝对安全,安全是相对的;二是所有的简单、方便都是以牺牲安全程度为代价的,只是如何权衡罢了。


观点:便利和安全之间需要平衡点


除了手机银行,越来越多的银行同时开通了微信银行。招行零售银行部总经理胡滔表示,微信银行只是充当了开路先锋的角色,对它的功能定位以服务为主。客户理财、资产配置等稍复杂的业务还是要放到手机银行、网上银行,私人银行等重型业务就必须去网点。


“互联网公司原来没做过金融,他们认为便利性和增值是最重要的,反而对风险要求比较简单,往往为了做好客户体验一定程度上牺牲了安全性。”胡滔称,“微信银行不可能成为客户端一样的平台,我们必须要保证客户资金的安全,必须把机制和流程掌控在自己手里。”


多位银行人士表示,微信到客户的系统由腾讯开发,微信向银行开放接口,银行专门针对微信的数据系统是银行自己开发对接,但必须统一定义接口。“关键是在客户体验的便利性和资金安全性上找平衡点。”


延伸

移动支付大爆发

手机病毒紧相随


“我们本来预计的下载量是10万,结果遭遇‘大塞车’,下载量达到百万级,所以我们不得不‘管控’一下。”平安集团总经理任汇川在推出“壹钱包”当日表示。平安集团董事长马明哲相信,10年内60%的现金、信用卡将被手机钱包取代。


实际上,众多金融机构和互联网大佬不断砸钱押注,无疑也在加速移动支付这一趋势。中国支付清算协会近日发布的《中国网络支付安全白皮书》显示,2013年移动支付市场规模预计超过8000亿元,达到2012年规模的5倍以上。


金钱所在,黑暗跟随,与手机支付同时爆发的还有安全事件。2013年手机安全相关报告显示,去年手机中毒用户数达到1.08亿,是2012年的3倍多。同时,手机支付类病毒开始泛滥。其中,一款名为“银行悍匪”的手机病毒,被称最厉害的手机银行病毒,它附着在“坦克大战”等热门游戏中,诱使用户下载安装,该病毒可窃取用户银行存款,危害极大。专业人士分析,该木马高度模仿真正的手机银行软件。


手机锁屏不保险

丢了手机先冻结支付账号


不少手机用户同小姜一样设置了开机密码或者锁屏手势,防止陌生人随便进入手机,算是手机的第一道安全屏障。但实际上,这道安全屏障比想象中要脆弱,即便不是技术高手也能轻松突破。


在网上有不少破解手机开机密码或者锁屏的手段,最简单的是针对已经刷机的安卓手机,只需要连上电脑,用一些刷机软件就能轻松清除锁屏。手机安全专家姚彤证实,这些软件大多可行,而且不刷机,也可以利用安卓锁屏漏洞来清除锁屏,全程不到半分钟。


“这两个方法都需要在手机上打开USB调试,但一般人只要和电脑连接过,基本都是打开状态。”姚彤建议用户,不连接电脑时注意关闭手机的USB调试功能,就可防止他人利用漏洞攻破手机锁屏图案。


另一个破解方法有一定门槛,需要拆开手机,到手机特定的电路上刷机解锁。虽然一般人很难做到,但也给手机用户提了个醒。


杭州颐高数码广场一位手机维修人员表示,通常来说,山寨机由于操作系统本身防范措施有限,被攻破的概率要大很多,而系统更封闭的苹果手机安全系数要高于安卓系统手机。


而对于苹果、小米等主流手机的用户来说,手机丢失后还有机会备份或清除重要数据。以小米为例,在查找手机设置了“擦除”功能,点击之后能够清除手机包括SD卡上的信息。另外,市场上有不少手机防盗的软件也能帮忙清除主要数据,比如苏宁防盗、梆梆手机防盗等。


既然手机锁屏并不保险,那么为相应的支付软件设置安全屏障就显得尤为重要。其实市面上主要的几个支付软件都设置了不止一道安全屏障,很多时候用户为了图个方便就会偷懒,埋下安全隐患。而像微信、支付宝这些常用的手机支付渠道都设有账号冻结的功能,一旦发现手机丢失可以先冻结账号,等补回SIM卡后再进行解冻。


如果有使用挖财、卡牛等银行卡管家软件的用户,为了防止银行卡信息泄露不妨也启用软件自带的密码设置功能,让外人不能轻易获取存储的卡片信息。


记者为大家收集了当前主流的手机支付应用的安全防范措施,希望对大家有所帮助。


支付宝:可关闭小额免密支付


支付宝为用户提供了两道防护,登录时要输入登录密码,后来用户可以根据需要设置登录手势,实质上是一样的。在具体支付时用户需要输入英文加数字的“支付密码”,如果嫌麻烦可以改成六位数字的“手机支付密码”。


为了方便用户进行小额支付,支付宝还提供小额免密支付功能,用户可以自行设置最高金额,例如设置为200元,那么200元以下的支付不用输入任何密码。所以支付宝相关人员提醒用户,不要将这个金额设置得太高,支付宝里有很多钱或者常用快捷支付的用户也可以选择关闭这个功能。


支付宝经常提醒用户,尽快进行实名认证,一方面可以增加服务功能。另一方面,安全性也更高。尤其是重置密码时,实名认证后的用户会要求验证更多信息,提高安全性。


假如手机真的丢了,又担心支付宝有被破解的危险,可以第一时间拨打95188对账户进行冻结,等安全后再解冻。


目前支付宝已与平安产险合作,用户使用快捷支付付款若发生被盗,平安产险均将给予100%赔付,所有投保费用均由支付宝承担。


微信:上线紧急冻结


至今为止微信还没有出现大规模被盗款的现象,同时微信最新上线了“冻结账户”功能。在发现微信密码被盗或者手机丢失时,可立刻登录微信账号紧急冻结通道,也可以登录微信官网通过与微信绑定的QQ号和密码申请“冻结账户”。申请成功后,可杜绝他人登录微信。之后,用户要重新启用该账号,需要重置密码并通过身份验证方可解冻。


除此之外,用户也可以通过拨打腾讯微信的客服热线进行咨询,在客服的指引下进行微信账号的紧急冻结。


目前,微信支付已经与亚洲最大的财产保险公司中国人保财险(PICC)达成合作,用户如因使用微信支付造成资金被盗等损失,将可获得PICC的全赔保障。用户在申请赔付时,只需提供相应的损失真实性证明和身份证明,即可获得全赔保障。


手机银行:没配密码器有风险


目前不少银行手机银行的使用方式大概都是先开通手机银行业务,然后下载手机银行客户端,用户使用个人的账户号和密码再通过一个手机验证码进行交易。但是手机银行的相关密码和账号并不能成为完全保证手机银行安全的保障。


农行的一位客户经理就表示,随着二维码支付的普及,不法分子想要窃取手机银行账户和密码等信息并不难,手机一旦丢失,银行卡的账号信息也就落入了他人手里,但配备了动态口令密码器就不一样了,密码是自动生成,增加了安全性。


这种密码器和网上银行的U盾类似,是在客户自己手上,随机生成密码,有效期为15秒。不过,目前并不是所有银行的手机银行都配有密码器。比如中行、工行、农行等在内的几家银行目前已经更新配备,但另外部分银行暂时仅凭账号、账户的交易密码和手机验证码操作。


“有动态密码安全系数会大很多。哪怕有动态密码卡也行,这方面银行之间步伐不一,业内也没有统一的标准和规定。”上述客户经理说。


看了微信,你有什么想说的?请点击晚报微信菜单上的“微论坛”参与讨论

如何订阅温州晚报

①搜索公众号“温州晚报

②或搜索微信号“iwenzhou

如何分享和查阅

①点击右上角... → 分享到朋友圈

②点菜单栏“阅读”→“首页”,进入微信网站

点菜单栏“阅读”→“看温州”,看温州新闻

④点菜单栏“阅读”→“徒步海岸线”,浏览专题

⑤点菜单栏“互动”→“有活动”,参与抽奖互动

⑥回复“儿童故事”→随机收听故事

⑦业务合作,请电邮至158055646@qq.com


觉得不错,分享给更多人看到

温州晚报 微信二维码

温州晚报 微信二维码