出门打车、买电影票甚至到便利店买包子都可以用手机付款,智能手机在人们日常生活中的功能越来越多样。不过也有人担心,如果自己的手机丢了,而这部手机又恰好和相关银行卡以及支付宝绑定,那么捡到手机的人是不是就可以通过手机验证码能查找到银行卡和支付宝的密码,从而盗取帐户上的资金。那么这样的风险究竟有多大?手机用户该如何防范?
手机网上银行安全吗?
现在手机端的电子银行绝大多数没有提供修改密码的选项,因此,旁人是无法通过捡到的手机攻击电子银行的。事实上,某公司在移动支付发轫的初期就意识到,随着移动电子商务快速兴起,用户的智能手机将会面临一一个非常巨大的威胁,各种各样的病毒、木马和恶意软件会瞄准用户手机绑定的资金。
如果手机单独的丢失,是对它的移动支付和一些网银的安全是不会造成什么太大的影响,但是如果手机和钱包一起丢失,里边包含自己的身份证号,身份证、银行卡,这样的话可能对手机、对自己的帐号、资金安全造成非常大的影响。
如何防范?
如果手机丢失千万不要慌乱,要在第一时间冻结绑定的银行卡,然后再去补办手机号码,平时养成一些良好的使用习惯也是至关重要的。而在北京市公安局网络安全保卫总队,公安人员给出了具体的防范措施。
北京市公安局网络安全保卫总队四大队民警史志焱:最好先设置一个手机的开机密码,这样的话在别人获取你手机的时候,他是无法进入你的手机操作系统的,如果别人想使用你的手机,必须要进行刷机,这样的话手机里所有的个人信息,包括资料,都会被清除。这样第一别人无法获取你手机里的各类个人信息和隐私之类,这样别人也登录不了你的各种移动支付平台。
干警告诉记者,目前,设置开机密码是对手机信息非常有力的保护,同时他提醒大家,手机开机密码的设置不能过于简单。
温馨提醒:如何尽快减少损失
如果手机丢失、且手机号已经绑定了支付工具,建议用户尽快向支付服务提供方挂失,联系通信运营商挂失SIM卡,并向银行挂失冻结支付工具已经绑定的银行卡。
如果身份证、银行卡等也一并丢失,同样需要尽快进行挂失处理。丢失手机的用户还可以在电脑上登录支付宝账号,关闭无线支付业务总开关。同时,我们建议手机用户尽量从正规渠道下载安装相关软件及应用,避免木马病毒的侵入。而支付软件开发公司和管理部门也应防患于未然,针对可能出现的情况提高防范门槛,加大跟踪打击力度,只有让移动支付更安全,它才有更大的发展前景。
推荐阅读:与研究员一起做移动支付是否安全的实验
微信支付安全测试
申迪:不需要任何手段,只要你拿到手机,并且把开机密码解锁解掉了,进入手机之后,你打开微信,是不需要输入任何密码的。那么看一下这个银行卡界面,下一步他就尝试修改这个密码。
记者看到,真实的测试中,如果你丢失手机里的微信绑定了银行卡的话,别人通过登陆你的微信,确实就能够直接进入你绑定的银行卡界面,第二步,研究人员开始测试能否对于银行卡的资金进行转移。
申迪:就是说他希望把自己的钱,转换成Q币,就是虚拟货币,这时候就需要输入它的这个支付密码才可以,支付密码是微信独有的,那他肯定是不知道这个密码,那这时候输入就会失败,然后他就会想办法去假装成忘记密码,然后去修改。
研究人员首先尝试通过丢失手机上绑定的银行卡,进行购买虚拟货币,但马上碰到的难题,就是需要输入交易密码,这个密码通过手机能否进行修改呢?
申迪:那么它会提供两种方式,这两种方式就是绑定的这两个银行卡,它会要求你重新绑定,这样才能找到密码。其实这里面需要的信息是非常丰富的,比如说它需要你知道本人银行卡号,对于攻击者来说,在通常情况下是不可能知道这个卡号的,所以这个情况下就没有办法输入了。而且下面不仅需要卡号,还需要其它信息,比如说持卡人姓名。然后证件号码,包括手机号,那可能这个手机号是攻击者唯一知道的这个信息。
微信修改支付密码需要的信息
研究人员告诉记者,按照银行通行的惯例,手机持有者提出修改银行卡密码的要求,必须填写正确的身份证号码以及银行的卡号,这对于捡拾手机的人而言通常来说很难实现。但是申迪强调,如果消费者是丢了一个包,你的身份证、银行卡与手机一起丢失的话,就意味着你绑定在手机上的银行卡密码就能够被修改,绑定的资金在理论上有可能被转移。但如果没有这些前提条件,单纯的只是丢失了手机,违法人员是无法仅凭一部手机,盗取你银行资金的。
支付宝支付安全测试
申迪:支付宝一般之前开始的时候,会有这样的一个解锁界面,就是它有一个图形解锁,但是对于攻击者来说,肯定不知道这个界面,第一步就要选择忘记这个手势密码。那比如说对于攻击者来说,肯定就不知道这个界面,所以他选择忘记手势密码,他当然点击这个时候,就会进入到下一步界面。这时候支付宝就提示重新登录。然后这个时候,就可以输入数字类型的密码了,这个密码他当然也不知道了。
相比较微信绑定银行卡的程序,支付宝在一开始登陆的时候,就需要用户输入密码,虽然安全程度和复杂程度更高,但这个密码是否又能够被破解呢?
申迪:比如说需要知道帐户名,你看我们在初始界面的时候,其实这个帐户名是被隐藏了一部分的,并不是一个完整帐户名,那么就需要点击忘记密码,需要一个完整的用户名,当然很有可能是一个手机号,所以这一步是可以绕过的,那比如说我现在输入一个本机的手机号。
研究人员提醒我们,由于在现实操作中,很多消费者将自己的手机号码设定为账户名,因此这次试验就模拟了这种常见的情况,研究人员在账户一栏输入手机号码后,然后发送短信获取手机的验证码。
申迪:验证码会发到这个手机账号本身上,当然在捡到这部手机的情况下,就可以把验证码拿到了,那么进入下一步。但是下一步还有一个验证,就是身份证号。需要知道这部手机机主的身份证号,对于这一步来说,就和微信是同一种情况下,就是说这个身份证号还是很难拿到。等于说攻击者到这一步就没有办法了。
环节测试到这里,如果没有获得正确的身份证号码的话,支付宝的登陆密码也无法进行修改,为了进一步测试,记者假定手机获得者能够得到身份证信息,在修改了登陆密码后,记者成功地登陆了这部手机上的支付宝的界面。账号里的资金情况开始一清二楚。
申迪:资金帐户余额没有,银行卡里面有三张,然后余额宝里有钱。
记者:余额宝里面有多少钱?
申迪: 有三万块钱。
看到了支付宝里有钱,但这样是否就能够消费或者转移这三万多元钱呢?
申迪:在支付宝做任何操作,只要涉及到金钱转出、转入相关的,都会给你这个提示,都会输入这个支付密码。找回是需要条件的,这里面提供两种方式,一种是通过短信,加上这个安保问题,一种就是短信,加上这个你存到的快捷支付的银行卡的信息,那比如说我们现在选择第一种。第一种第一步,需要一个短信的验证码,这个验证码也会发到这个本机手机上,等于这一步就不会有问题了。
在得到验证码之后,还要正确填写一个安保问题,通常这个问题是手机用户自己个性化设定的,有的手机用户设计的就是自己妈妈的名字,而类似这样私密的问题,是捡到手机的人很难找知道,这也就是说修改支付宝密码的可能性几乎为零。在这次测试中,支付宝的安全完全有保障,即使手机丢失,别人也无法从这台手机上盗取资金。
分享
0
