世界服装鞋帽网首页 > 正文

余额宝遭盗频发 支付宝安全漏洞被曝光

2014/1/10 10:25:00 来源: 评论(0)792

余额宝遭盗支付宝安全漏洞曝光

  1.对手机过于“依赖”而产生安全隐患


  网上所提到的支付宝有诸如小额免密码支付、绑定银行卡快捷支付等存在漏洞,这些功能确实有问题,但相关功能用户也可以关闭,这个我们待会儿再谈。这里先谈谈很多用户无法改变,但确实很严重的一个问题,就是支付宝对手机过于“依赖”而产生安全隐患。


  对一般用户而言,涉及支付宝安全的关键词有如下几个:用户名、登录密码、支付密码、数字证书。只要在上述几个条件满足的情况下,用户就能完成支付。对不法分子而言,他们如果要盗取用户的支付宝账户,则必须解决上述几个问题,别以为这几个问题很困难,只要用户的手机被植入木马,或者手机卡被复制,不法分子就极有可能盗取用户的支付宝账户。


  用户名相对容易获取,而登录密码、支付密码,也都可以根据短信验证进行修改,注销和安装数字证书也同样如此。一种情况是,用户的手机被植入木马,黑客在操作过程中,通过木马拦截用户短信,获取验证码,而用户全然不知;还有一种情况是直接复制用户的手机卡,如下图所示。



  换言之,只要手机被控制,或者手机卡被复制,不法分子就有可能进行某些设置,比如修改密码、开通无线支付、开通余额支付等等,通过这些手段盗窃用户的钱。当然,一般不法分子还会掌握用户的身份信息,因为在支付宝的某些服务中,需要输入身份证验证,但有的却不需要。总之,对手机过于“依赖”必然会产生极大的安全隐患。


  2.手机号绑定的相关问题


  上面提到的问题是不更改用户绑定到支付宝的手机号可能会产生的风险,还有另外一种情况,则是修改手机号绑定,也就是说,将原来的手机号解绑,不法分子将自己的手机号绑定上去。笔者对这个方面进行了一定的研究,发现其实不法分子要修改手机号绑定,还是比较麻烦的。


  由于笔者是使用邮箱来注册支付宝账号,笔者尝试修改手机号绑定时,系统提示必须根据人工审核来完成修改,其中有以下几个步骤,首先是支付宝会往邮箱发送一份确认链接,然后用户点击之后,会进入一个“自助服务”页面,接下来有几个步骤,如下图所示。应该说整个确认过程还是相对完善,如果用户的信息没有泄露,基本上不法分子想修改绑定手机号还是蛮困难的。不过这一系统仍有漏洞,笔者在不登陆支付宝的情况下,仍然可以访问支付宝所发送的确认链接,而且似乎不存在有效期问题,即便是三天五天之后访问该链接仍然有效,这很令人纳闷儿。



  而对于手机注册用户,问题却要简单一些,因为不含邮箱,系统会提示输入邮箱,接下来,系统会往邮箱发送申请表,整个过程和上面的第3步相同。可以看出,手机注册用户安全性应该不如邮箱用户,不过,手机注册用户仍然可以添加邮箱账号予以完善。



 


  因此,我们不太建议用户使用手机号来注册支付宝,如果使用邮箱注册支付宝,我们也不建议大家开通手机登陆功能。{page_break}


  3.手机钱包的安全隐患


  再来说支付宝手机钱包的安全隐患,笔者最初使用支付宝手机钱包时,发现某些时候居然不用输入支付密码就能转账,这就是小额免密码支付功能,虽然方便,但确实很不安全。尤其是,已经有用户在IOS系统上测试,先关闭网络再登陆手机支付宝,5次划错密码手势,后台关闭支付宝软件,再次打开就可以设置新的手势,连上网后就能进入软件。若该账户设定了小额免密支付就可能存在被盗刷的风险!



  当然,手机钱包的问题还不止于此,笔者之前开通了每月6毛的短信校验服务,开通该功能以后,每笔转账无论大小都必须通过短信进行验证,该功能在PC上使用并无问题,但在手机上却无法使用。也就是说,支付宝并未对手机钱包同步覆盖该功能。


  这也是一大问题,众所周知,支付宝对PC端转账进行收费,其目的就是为了推广移动端,但相比之下,移动端的支付宝钱包在功能、安全性方面仍处于初期阶段,未来支付宝必须加快步伐,对移动端进行完善。当然,对于使用支付盾的用户,我们建议关闭无线支付,否则安全隐患仍可能存在。


  除开这些问题以外,用户在使用支付宝手机钱包时,仍要特别注意定期对手机查杀病毒木马,不能随便访问未知网站,也不能随便扫描二维码,因为这都可能导致用户手机中病毒。


  4.PC中木马导致支付宝钱被盗


  还有一种情况,就是PC中木马,导致支付宝钱被盗,黑客利用木马远程控制用户的电脑,同时他们也可能早已经掌握用户的登陆密码和支付密码,这时候,他们就可以直接在用户电脑上进行操作。当然,如果用户设置了短信验证等功能,在手机未中病毒或者手机号未泄露的情况下,仅仅有这些步骤将无法完成资金盗窃,不过这种情况仍不得不防。


  当然,对大家熟悉的像小额免密码支付功能、快捷支付功能我们就不再赘述,网上已经讲了很多了,希望大家关闭这些功能,确保自己账户安全。

责任编辑:
世界服装鞋帽网版权与免责声明:
1、凡本网注明"来源:世界服装鞋帽网sjfzxm.com"的所有作品,版权均属世界服装鞋帽网所有,转载请注明"来源:世界服装鞋帽网sjfzxm.com",违者,本网将追究相关法律责任。
2、本网其他来源作品,均转载自其他媒体,目的在于传递更多信息,不表明证实其描述或赞同其观点。文章内容仅供参考。
3、若因版权等问题需要与本网联络,请在30日内联系我们,电话:0755-32905944,或者联系电子邮件: 434489116@qq.com ,我们会在第一时间删除。
4、在本网发表评论者责任自负。
跟帖0
参与0

网友评论仅供其表达个人看法,并不表明本网同意其观点或证实其描述,发言请遵守相关规定

相关阅读

Tom Sachs 联名 Mars Yard 2.5 火山鞋款曝光,黑色鞋头

休闲鞋
|
2020/11/15 15:00:00
8

外星人 Blazer Mid GS“Raygun”配色鞋款曝光,可变色 Swoosh

流行鞋款
|
2020/11/14 14:09:00
16

复古白蓝 Air Jordan 1 鞋款实物曝光,心动指数飙升

我要爆料
|
2020/11/11 20:20:00
2

垃圾鞋 Air Max 2090 全新奥利奥配色首次曝光

胡说扒道
|
2020/11/11 20:18:00
2

燕麦摩卡 Dunk SB Low“Wheat Mocha”鞋款实物首次曝光~

流行鞋款
|
2020/11/10 0:41:00
23

中消协曝光直播带货“七大坑”

面料辅料
|
2020/11/10 0:35:00
4

匡威 x Brain Dead 全新联名 Chuck 70 鞋款曝光

胡说扒道
|
2020/11/4 18:32:00
12

Supreme x 耐克联名 Dunk SB Low 鞋款系列实物曝光,4 色可选

休闲鞋
|
2020/11/2 15:07:00
27

专题推荐

阅读下一篇

2014奢侈品类或面临股价暴跌

股票市场上的种种投机行为固然会对商品经济的发展产生很大的负作用,但不可忽视的是,投机活动也是资本集中的一个不可缺少的条件。正是由于投机活动有获得暴利的可能,才刺激了某些投资者,如今,分析师担心2014奢侈品类股可能暴跌。

返回世界服装鞋帽网首页
关注公众号 关注公众号
手机看新闻 手机看新闻
展开
  • 微信公众号

  • 电话咨询

  • 0755-32905944