【安防视野】移动支付时代:安全决定未来

点击上方“公众号” 可以订阅哦!随着移动支付的普及,我们过上了“手机在手,天下我有”的便利生活,但关于移动支付安全性的问题也时常见诸报端,昨天一则“支付宝惊现漏洞”的消息一时间充斥头条,如今电信诈骗、盗取账户等新闻可谓是层出不穷,帮尼不禁仰天长叹:究竟如何才能保护我们的财产安全?!
前几天,有网友称支付宝存在安全漏洞,熟人可以用一方的用户名输入其账户后,不输入密码而选择找回密码的方式,在认证环节中输入熟人的相关信息,就可以成功登陆。
根据网友的说法,打开支付宝钱包客户端,输入你想要登录的手机账号,点击“密码登录”,此时会有“忘记密码?”的选项,确认需要重置登录密码的账户,点击“下一步”;如果登录账号的手机不在身边,支付宝还提供了“无法接收短信”的选择,即支付宝会提供其他的验证方式,如“选一个您购买过的商品”的验证页面就出现了,在九张图片中选择出正确答案后,点击下一步,还需要“选一个你可能认识的人”;同样在九张图片中选择出正确答案,完成这两个步骤之后,你就可以修改该账户的密码了,连同该账户关联的淘宝登录密码也会被修改。
对于这一漏洞,网友戏称“一觉醒来,身边的朋友都在体验人人当黑客的感觉。”对此,支付宝方面承认了这一修改密码的方式的存在,但强调,这一方式仅在特定情况下才会实现。
支付宝方面表示,通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。看到这里,帮尼不禁想问难道按照上述方法修改完密码直接登入账户就可以随心所欲支配该支付宝账户的资金甚至是借呗、花被等功能了?
支付宝是这样解释的:这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。虽然支付宝已经紧急高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
身在安防圈,帮尼对任何侵害或可能侵害到大家生命财产安全的行为都异常气愤,但也不得不承认,目前仍然无法做到百分之百的防患于未然,更多的只能是事发后的弥补,在此,帮尼想要提出几个保护手机钱包、手机支付安全性的重点:
国家安全法-全民安全教育日动画-教授海外遇谍记
1. 双重身份验证

喷子傻眼!网信办:网络发帖攻击未成年人将承担刑事责任

双重身份验证的好处在于,即便用户登录了手机支付应用,输入密码后,仍需输入验证码才能完成支付。也就是说,如果有人知道你的支付账户和密码,希望通过网页进行支付,没有验证码依然是无法实现的;而即便手机被盗,小偷基本上也不会知道你的密码,所以无从下手。
2. 使用官方应用商店的支付应用
显然,越狱后的iOS设备及Android设备都存在一定的安全隐患,主要来自于非官方验证的应用。所以,不要从任何非官方应用商店下载安装支付应用,因为它们都可能存在盗取用户信息的恶意代码。
3. 加强设备本身安全性

如果你的手机内置指纹传感器、同时支付应用又支持指纹验证的话,那么一定要开启这项功能;如果不支持,最起码要设置一个额外的锁屏密码。另外,安全专家还建议用户查看手机的隐私设置,确保应用程序访问权限的合理性。
4. 使用信用卡而非借记卡
如果使用手机支付应用购物,在允许的情况下,尽量将信用卡绑定到支付应用中,而非借记卡。主要原因在于,一般银行的信用卡都拥有补偿条例,比如用户遭到盗刷时可补偿一定金额,但借记卡往往没有。
5. 使用可信任的因特网连接
如果是在咖啡厅、餐厅等公共区域,建议不要使用公共WIFI进行支付。因为一些黑客往往喜欢潜伏于此,通过骇入安全性较低的公共无线网络来获取用户信息。即便你的支付信息是加密的,也有可能被手段高超的黑客破解,从而获得支付账户、卡号、密码等信息。

工行枣庄分行以过程管理为抓手稳步提高涉密保密工作水平

6. 设置账户更改警报
通常来说,支付服务都拥有一些账户改变警告的通知设定,比如改变密码、支付行为、绑定手机终端等等,将这些服务都开启,有助于我们即时了解支付账户的变化。同理,信用卡也广泛支持消费短信、微信提醒服务。

上午被曝致命漏洞、下午关键词检索404,支付宝的套路真不懂

7. 确定转账人信息
这个部分其实不仅仅适用于手机支付,任何线上、线下的转账,都应该首选确定好转账人的信息。不要轻信一些所谓“房东”、“好友”,一定要在充分确认对方身份时,再进行转账。
更多精彩:
大部分的安全保障都是在讨论来自企业内部或外部的安全威胁,但有时只是设施的失效。
➢指纹被盗?是时候告别剪刀手了
➢注意!购买接线板也要符合国家标准➢黑科技扎堆亮相CES 安防人应该看点啥➢无人机和客机相撞!忘了设置禁飞区?➢被骗了?年关将至,你可长点心!
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

互联网罪犯开始利用云来发动攻击,安全专家警告说,移动设备在组织中的广泛应用使攻击者不再必要费力直接攻击组织,而只需要攻击您的设备。

猜您喜欢

天业天辰电石强化基层培训提升员工安全操作技能
信息安全意识游戏之密码安全挑战赛
包括安全疏散与逃生等在内的在线EHS视频培训课程
苹果:MacBook电池续航问题已解决
SUPERZAKLAMP BASEUBER
信息安全及保密知识在线