你的移动支付安全吗?马云爸爸不会告诉你的那些风险。

“由于回复了一条短信,我的支付宝、银行卡以及百度钱包里所有资金一夜之间被洗劫一空。那是一种一无所有的绝望。”

这是前段时间央视新闻曝光的《起底电信诈骗之“验证码”骗局》,刚毕业工作的北漂“小许”被人进行USIM卡验证码诱骗,导致手机卡被远程注销并在重新注册之后,“小许”手机号所关联的支付宝账号资金被转移,支付宝、百度钱包所关联的银行卡资金也在一夜之间被洗劫一空。

    有些事情是不能告诉别人的,
    有些事情是不必告诉别人的,
    有些事情是根本没有办法告诉别人的,
    而且有些事情是:
    即使告诉了别人,你也马上会后悔的。
     —— 罗曼·罗兰《寂寞的感觉》

如果你没听说过“罗曼·罗兰”,那么你的语文肯定不怎么好。这位伟大的思想家,文学家,批判现实主义作家在20世纪初就道出了寂寞不可说的必要性。

是的,钱存在手机里是很寂寞的,寂寞得每天只能看看收益。但是,就算再怎么寂寞难耐,你也不能把验证码、支付二维码告诉别人

事实上,这方面的安全意识并不是人人具备。

1. 你是否安装了微信、支付宝等支付APP并且绑定了银行卡?
2. 你知道自己免密支付的限额以及授权场景吗?
3. 你是否设置了手势密码,或者没有设置密码?
4. 你是否用生日作为银行卡、移动支付等密码?
5. ...
你的移动支付安全吗?马云爸爸不会告诉你的那些风险。_第1张图片

并非耸人听闻,上面任何一个环节都有可能产生风险。今天,程先生说的也不是技术失守;现在的网络诈骗、盗窃分子在IT技术领域并没有高深的造诣(形象公关:程序员大多都是好人啦!),也不会懵逼地直接去攻击微信、支付宝、百度钱包的数据库。某方面比较敏感的他们会利用社会工程学攻击来获取他们的利益(社会工程学攻击利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,以顺从你的意愿、满足你欲望的方式,让你上当)。

毕竟,移动支付领域用户群体如此之大,他们怎么会轻易放过这么大的一块肥肉呢。再直观一点,就算只有万分之一的上当受骗率,每一万个人当中就会有一个人遭受钱财损失。然而移动互联网用户数目远不止此,诈骗市场也并非光天化日朗朗乾坤那般透明。想想你平日里接到的觉得“傻子才会上当”的奇奇怪怪的电话短信就晓得了。(打电话发短信也要钱,亏本的生意没人做嘛~)

除了依靠移动支付产品在技术上加强安保系数,用户主观方面也得加强支付安全意识。今天程先生跟你们聊聊在移动安全支付场景,我们应该注意些什么。

1. 二维码(一)

之所以是一,是的,因为还有二。(严肃脸)

未知来源二维码跟背影杀手一样可怕!

继“乘坐扶梯请不要玩手机”的提示之后,上海地铁安全语音广播又新增一条“请勿向他人泄露个人信息”的提示,原因是最近地铁上有陌生人举着二维码小牌子向乘客进行宣传,希望乘客扫二维码关注他们的小店或者参与某种活动;又或者,你会在电线杆上看到“扫二维码赢大奖”等之类让你觉得自己扫了之后人生就会起飞的广告;更多见的是,网络上在论坛、博客、微信、微博等传播的各式各样的诱惑二维码

无论是何种情形, 如果你不确定二维码来源,那就不要骚,哦不,是别扫!

因为你无法预知二维码最终会跳向哪个网址,或者又会静默下载安装些什么;即使打开了页面,你也看不到浏览器或者APP究竟在传输些什么信息(程序员常用的方式是抓包,有兴趣的朋友可以下载个WireShark窥探下你的那些APP究竟在跟服务器交互些什么,说不定还真有惊喜)。

天上没有掉馅饼的好事,就算有,高空坠落物的加速度也肯定把你砸晕。

你的移动支付安全吗?马云爸爸不会告诉你的那些风险。_第2张图片

2. 二维码(二)

二来了。

支付二维码就是钱包拉链,不能交给别人!

这里指的陌生人还包括行为陌生的联系人。那些许久不联系的朋友突然找你,说TA要结婚了你看着办,群发消息求点赞,他出门忘带钱包求转账借点钱……判断何种行为异常,直觉应该会告诉你。

此外,为什么程先生说的是二维码而不是支付二维码?问得好。因为有些人确实搞不懂什么是“我的二维码”,什么又是“支付二维码”,索性都别泄露给陌生人更安全。穿比基尼,就有可能走光是众所周知的道理。(你笑得好坏)

打开微信,“聊天界面右上角+号展开的收付款”里有两种二维码,在“我-钱包-付款”里也有一个二维码,“我-头像-我的二维码”还有一个二维码。这么多二维码入口保不准哪天不留神给泄露了~新闻里讲有人被忽悠后给对方截屏过去自己的支付二维码,结果损失不少钱。新闻里别的可能是假的,这个真的可能性还真不小。

从技术安全性上,支付二维码会定时更新,并可能根据扫码时商户坐标与用户手机坐标做匹配,或者对潜在危险支付做提醒等。但这些手段并不能覆盖所有风险Case,特别是当宝宝你都把支付二维码送人了,你让马云爸爸情何以堪?

你的移动支付安全吗?马云爸爸不会告诉你的那些风险。_第3张图片
微信支付二维码
你的移动支付安全吗?马云爸爸不会告诉你的那些风险。_第4张图片
支付宝支付二维码

从此刻开始到2106年,你得清楚明了地晓得哪种是支付二维码并谨慎对待,特别是那些还绑定了银行卡并开启了免密支付的朋友。值得一赞的是,在程先生对支付宝二维码进行截屏操作时,机智的支付宝做出了安全性对话框提示。这个功能技术难度不大,但对社会工程学攻击来说是有效的安防措施。

3. 免密支付

你清楚自己的快捷支付免密额度吗?****

程先生下班用滴滴打车,从叫车到付款都没有输入过密码;因为程先生的滴滴绑定了信用卡,并通过滴滴的频繁提Sao醒Rao开通了免密支付功能。细思极恐。

利用便捷的支付二维码进行付款的升级版快捷支付方式是:免密支付(支付时不需要进行二次安全验证从而直接付款。支付宝:我的-头像-设置-支付设置-免密支付,默认2000元免密额度;微信:默认1000元免密额度不可更改;百度钱包:默认300元免密额度不可更改);这种支付方式在绑定银行卡后风险也随着便捷性的提升而提高。产品经理为了刺激消费真的想了很多法子,然而默认的免密支付设置及额度并不适合每一个人,需要大家根据自己情况做调整。

除非你非常清楚明了自己的快捷支付免密支付方的场景及额度,不然还是再次检查并确认这些信息较为妥善,或者设置一个安全的零花钱****免密****额度

你的移动支付安全吗?马云爸爸不会告诉你的那些风险。_第5张图片
免密支付默认限额

4. 银行卡绑定

喊你绑卡的APP真的安全吗?

上面所说的二维码支付、免密支付一般都会打通所绑定的银行卡。程先生没什么钱,却有很多银行卡,银行卡里却又没什么钱。似乎怕哪天有钱了存不下,程先生如数家珍地把银行卡都绑定在支付宝中。写完这篇文章后,程先生把银行卡都解绑了。好绕,是的,不要把鸡蛋放在一个篮子里是对的。

但这里,程先生说的不仅是上面那个Point。现在很多APP都具备了绑卡支付等功能,告诉你们一个像秘密的秘密,这些CEO都迫不及待地想让用户掏出自己的银行卡并牢牢绑定在他们的APP上,这无论在融资或者产品盈利上,都是一个重要的KPI。且不说这些APP的安全资质如何,绑定银行卡之后,如果进一步授权免密支付,你仔细想想,会安全么?Uber盗刷的风波还没过多久呢。那可是Uber啊!

再说一个题外话,APP具备支付功能之后,钱就有可能沉淀到APP中,例如红包余额,人均10元的话,那得有多大的流动资金~所以,每个用户都得清楚自己的小白价值。

你的移动支付安全吗?马云爸爸不会告诉你的那些风险。_第6张图片
最安全的绑卡

5. 手势密码

你的手势密码是大写的L、M还是N?

手势密码除非设置得眼花缭乱(至少也得以假乱真),不然程先生认为是鸡肋。因为手势密码取代数字密码的一个原因就是在输入数字密码的时候,1-9数字键位置固定,旁人很容易根据按键位置及顺序并在脑海中迅速快照从而记住你的密码;再细思极恐些,你头顶无处不在的摄像头也很容易帮你记住密码。当然,世界还是美好的,程先生只是在阐述手势密码的优劣而已。

如今,替代手势密码的更安全的方式是指纹解锁(或进行支付验证),Bi~一下就行;这无论从用户体验还是安全可靠性上,都是一个极大的提升。

你的移动支付安全吗?马云爸爸不会告诉你的那些风险。_第7张图片
所谓的手势密码

6. 手机验证码

如果你不想活了,那就把验证码给别人吧。

在采用二维码进行人机验证之前,最流行的方式是通过短信验证码对用户身份进行确认。在很多应用或者网站中,凭借验证码可以还原、获取所有的用户信息,所以万一手机丢了,第一步不是喊“啊!”,而是借手机****打客服挂失号码,以免不法之徒通过手机及验证码完虐你的所有重要信息。

看到引文中的反面教材了吧。怎么说呢,验证码的水还真比较深,有人通过眼花缭乱的伪基站用眼花缭乱的手段套取你的验证码,也会有眼花缭乱的网站给你发眼花缭乱的验证码,这里有五个眼花缭乱。无论你有没有数对,程先生唯一的建议是,不要将自己主动获取的验证码告诉别人!

7. 短信链接

短信链接,一键连接您与噩梦。

曾几何时,短信是多么美好的通讯方式。那时,短信还要收费,那时,短信的每一个字时认真的;而如今,除了10086提醒我话费不足赶紧缴费之外,短信列表里只有106X号码跟我说话。

然而根据数据统计,目前短信营销、短信用户还是有较大群体。而且短信由于字数的限制,一些网络链接都会通过短网址进行编码。你肉眼无法判断 http://t.cn/xxx 究竟会跳往何处。所以,程先生对此唯一的建议是:不要在手机上点击陌生号码的链接!

结语

“什么,还要写结语?”“是的,你们程序员难道不Return吗?”“噢。”

作为程序员,我们在设计、开发应用时尽可能利用严谨逻辑及技术手段保障用户的信息和数据安全;
作为用户,有必要对自己的信息及行为负责,提高移动支付的安全意识,多多关注程先生的小卖部。
return true;

(完)

程先生其实不姓程,他是个程序员。
他很乐意与你分享许多硬货和一点软文,并提供善解人意的技术咨询。
欢迎关注,欢迎简信。

你可能感兴趣的:(你的移动支付安全吗?马云爸爸不会告诉你的那些风险。)