移动支付已成为恶意程序攻击的新目标。据网秦最新发布报告显示,目前存在30多类专门危害移动支付软件的木马和病毒。随近年手机钱包越来越火,移动支付蛋糕越做越大,但“支付宝被盗刷”、“二维码中毒”、“QQ群关系数据库泄露”等问题的频发,不仅将移动支付的安全问题推向了风尖浪口,还让人们在心中产生一个疑问:移动支付为何不能“便捷”与“安全”两全?
移动支付安全问题频发
随着智能手机的出现和推广,如今人们出门移动支付未必要带钱包。现在,手机不仅仅具有手机的功能,更是替代了钱包。最近支付宝很忙,人们津津乐道余额宝较高的收益率,也对其安全性越来越关注。近日,有媒体爆出余额宝频遭盗刷,支付宝安全存在隐患。
网络上曾曝光这样一条消息,某女士在扫描了一个病毒伪装的二维码之后,银行户头里的十万元不翼而飞,类似这样的消息还有许多,因此,移动应用支付的安全性受到广泛质疑。另有媒体报道称南宁一女子余额宝中2500多元被盗刷,相类似的情况还发生在去年12月,广东省一网店网主余额宝上6万多元30分钟内被盗刷消费……余额宝频频被“盗刷”引起不少用户担忧。
“手机丢失?你的支付宝就完了!”最近,一条帖子在微信朋友圈热转:“如果手机丢了,任何人仅凭手机接收到的校验码就能找回支付宝密码,解除你的数字证书,盗空你的支付宝账户!”对此,支付宝官方微博在第一时间辟谣,称帖子内容纯属谣言。
腾讯移动安全实验室指出,手机支付类病毒猛增,对互联网金融行业造成威胁。
用户过度依赖手机埋安全隐患
盗刷移动支付例如支付宝,第一个步骤就是购买信息,即不法分子会通过网络购买大量的支付宝账号和密码,这在圈子内被称为找“料”。然而这些信息中绝大多数账号和密码并不是对应的,为了筛选出其中正确的信息,他们会通过专门的软件进行扫描。真是应了那句老话,不怕贼偷,就怕贼惦记着。
有了这些信息,不法分子就可以登录相关支付宝账户,并用其中的余额在网络游戏中购买一些虚拟物品,再通过对外出售进行套现。这就是不法分子最初“洗宝”的模式,最高一天能收入四五百元,但先买后卖的方式毕竟有局限,因此现在他们用了一种更直接的套现方法。
在掌握了一些正确的支付宝账号和密码后,不法分子就会先登录到对方账户看看其支付宝里面是否有较多的余额。记录下几个存有大笔余额的账号后,不法分子会通过圈子里朋友的介绍找到“熟人”,这些人可以根据账号查到该用户的真实姓名、身份证号以及绑定的手机号。在得到这些信息后,不法分子又会找到另一些人,根据姓名以及身份证号查询到更详细的一些资料,这些资料是办理假身份证所必需的信息。等不法分子办理了假身份证,就能堂而皇之地去银行和手机营业厅办理与支付宝账户在同一人名下的银行卡和SIM卡。
如此一来,用户的手机卡就自动作废了,即使用户转出支付宝内余额时有短信提醒,也是提醒到了用户手里的SIM卡上。而不法分子便肆无忌惮地分次将支付宝中余额转到自己的银行卡上,再从容地进行套现。我的天呀!真滴是“噩梦一般”
支付标准待统一
养成良好的个人支付习惯固然必要,但破解安全瓶颈更需移动支付要改变国内移动支付“乱局”。万一手机丢失,如果手机号已经绑定了支付工具,建议用户尽快向支付服务提供方(支付宝、微信等)挂失,联系通信运营商挂失SIM卡,并向银行挂失并冻结已经绑定的银行卡。如果身份证、银行卡连同手机一并丢失,需要尽快向公安机关和银行挂失处理。
为了安全起见,在手机被盗之前关闭移动支付手机号登录功能。只要关闭了这个看着很好用、实际很危险的功能,不法分子得到手机也无法直接修改支付登录密码,同时无法进一步修改支付密码。确保密码与平常注册网站会员的密码不同,这样会避免由于一个网站被盗,所有的相关网站注册信息都被盗的情况,也加大小偷更改用户密码的难度。
一旦发现手机中木马,要第一时间修改用户账户密码,同时及时致电第三方支付平台客服,以保护账户资金安全。同时,在对手机进行备份之后,通过恢复出厂设置的方式清除木马。用户更换或者注销已绑定过手机金融服务业务的号码时,原有绑定并不会因更换或注销而消除,应及时申请解除绑定服务,防止被不法分子利用造成财产损失。还是不可以掉以轻心。
如果持卡人有长期不用的大额资金存在银行卡里,可以选择定期存款等方式固化。绝大多数银行都规定定期存款提前取现需持本人身份证原件(如代办则需要开户人及代办人双方身份证原件)到柜台办理。如此一来,即便不法分子复制了银行卡,也无法盗刷。
同的安全技术手段,各家银行、运营商和第三方支付平台的支付流程也不尽相同。业内人士认为,尴尬之处恰恰在于,这种支付方式上的“乱局”在一定程度上加大了用户的安全性疑问。在国外,尽管移动支付技术同样受到种种安全方面的质疑,但很多标准都是统一的,只需要推广在终端范围地使用。