对于快捷支付的攻击方法就更多了,如果用户开通了小额支付免输密码,黑客只需安装先前介绍的伪造身份证SIM开的方法即可直接支付小额付款。不过要盗取大量资金,还需要用户的支付密码方可,这里黑客就采用各种方法攻击用户的支付密码即可。
通常的攻击方法除了在电脑端的木马和钓鱼网站之外,还有通过手机APP应用的攻击方法,黑客可以先将具有盗号功能的恶意应用发布到各个应用商店或论坛里,如果用户使用Android手机下载并安装这类恶意应用(例如假冒的游戏应用),那么恶意应用就在后台拦截用户短信通讯,然后再伪装一笔转账,通过截获用户短信来完成交易,或者通过后台将用户引导到钓鱼网站来截获支付密码,这样就完全避规了银行的USBKEY等令牌系统,从而盗取用户资金。
为了应对这种情况,支付宝还推出了一个手机宝令这样的动态令牌来加强手机支付的安全性,用户启用手机宝令后,即可看到一个每分钟都变化的一次性密码的“动态令牌”,在原有的短信基础不变上,增加上这个动态令牌,这样,恶意应用即使拦截了用户短信和一次性密码也没用,因为无法计算出下次支付所需要的动态密码,所以会使得窃取用户资金会失败。
动态令牌这个方案解决了黑客通过恶意应用盗取用户银行卡资金的威胁,但如果用户手机被偷的话,别人就可以在手机上看到这个“动态令牌”,因此更为理想的方案是,快捷支付再绑定一个动态令牌硬件(非手机动态令牌应用),例如已经停售的宝令,动态令牌可以挂在钥匙链上,这样即使手机丢了,没有动态令牌也无法转账,动态令牌丢了,没有支付宝密码也一样无法转账。这样的方案就能够大幅提高快捷支付的安全性,并且技术上也很容易实现,无需驱动,这样用户就不用害怕自己的手机被盗而引起的资金财务风险了。
总而言之,用户如果能保证自己的手机和短信的绝对安全,快捷支付就是安全的,否则就是不安全的。
如何保证支付安全?
如果用户的资金被盗,银行或支付宝是否会赔付呢?对于银行来说,如果黑客通过密码的方式窃取用户资金,通常银行不会给用户赔付。对于支付宝来说,赔付条件也基本类似,如果是由于用户的原因(例如主动告知他人、被诈骗、被钓鱼等)导致支付宝账户密码、支付宝账户登录及支付密码、校验码泄露的不予赔付。因此,用户为了自己账户内资金的安全,必须要养成良好的安全上网习惯。
常见的安全措施包括:
1、设置安全的支付密码,不要和登录密码相同。
2、不要用手机号做为支付宝的登录帐号,支付宝密码和邮箱密码不要相同,确保邮箱帐号的安全性。
3、开通手机宝令。
4、使用未越狱的iPhone手机,安装iOS 7.1,开启锁屏密码或指纹解锁,开启“查找我的iPhone”,使用安全的Apple密码。(未越狱的iPhone一劳永逸地解决了短信安全问题,因为应用根本没有相关权限,有了锁屏密码或指纹解锁,手机被盗后也无法打开,甚至刷机后也无法打开。)
5、Android手机不要ROOT,不要在第三方网站安装应用,只从Google Play等官方商店安装应用,需要注意的是,未ROOT的Android手机也给APP开放了短信接口,因此对于具有短信权限的应用应该格外小心。
6、手机开通锁屏密码,如果手机被盗,应该及时上网修改动态令牌,并打电话给移动运营商挂失SIM卡,如果是iPhone手机则启用远程锁定功能。
7、消费与存款分开,不要对外公布自己存款银行帐号,在外消费使用信用卡,根据自己的实际情况对信用卡的额度进行设置,不要超过一个月的最高消费水平。这样无论信用卡如何被盗刷,其损失总归有限。并且可以向银行和支付宝主张赔偿。信用卡使用有赔付的信用卡,不开通提现功能,卡被盗后24小时内挂失。
8、帐号内有大量资金最好启用物理硬件安全设备如USBKEY等。
总之,支付宝或网银的安全,关键在于使用者的问题,如果使用者有良好的安全习惯,那么无论用网银还是支付宝都是安全的,对于快捷支付来说,如果用户无法保证手机的安全,无法正确辨认钓鱼网站,那么还是不要使用快捷支付更好一些,USBKey更适合这种用户。
