支付宝相继爆出重大漏洞还安全吗? 教你几招让账户更安全

2017-11-21
字体:
浏览:
文章简介:中国大陆作为全球移动支付成交额最大的国家,移动支付早已走进普通群众的日常生活,也充当着生活不可缺少的支付手段.不知道从什么时候开始,我们已经

中国大陆作为全球移动支付成交额最大的国家,移动支付早已走进普通群众的日常生活,也充当着生活不可缺少的支付手段。不知道从什么时候开始,我们已经很少去银行取钱,很少在出门时带上金额不少的钱包。现在出门我们只要带上手机,不论是哪种娱乐还是吃饭,只需要拿手机一刷就可以完成付款,免去了现金支付的麻烦,大大便利了我们的生活。

支付宝在生活中地位已经相当之高,作为移动支付的领导者,支付宝以支付为入口不断丰富自身的功能,逐渐成为了人们生活不可缺少的应用软件。随着日常使用率的不断提高,很多人都会在支付宝存入一比金额供日常使用,甚至还会绑定各种银行卡开通快捷支付。随着支付宝对个人财产的联系越来越大以及被爆出重大安全漏洞时,,让所有人心头一紧,因为大部分人都选择性的忽视了这个问题,我们的财产放在手机里真的安全吗?

通过手机号可以登陆他人账号甚至修改密码

在1月份,就有网友曝出支付宝可以通过手机号直接登录别人的支付宝,甚至修改密码。

据此,当时我们也进行了验证尝试,最终得出了两种不同的结果。首先说明下,我们的测试经过了当事朋友的同意。第一次尝试时,在输入对方手机号,选择“忘记密码”,并选择“该手机不能接收短信”后,支付宝给出的安全问题是“对方父母的本名”,在一次输入错误后放弃该次尝试。 第二次尝试时,在输入另一位朋友的手机号,选择“忘记密码”,并选择“该手机不能接收短信”后,我们看到了漏洞爆料中的两个问题:“最近购买过的物品”和“他认识的一位朋友”。选择正确后,支付宝跳出的页面是密码修改页面,我们选择了“直接进入支付宝”,成功登陆。

所以,经过亲测,这个问题是存在的,但可能问题随机出现,不一定会刚好抽到这两个问题。大家都知道在过去的2016年支付宝一直往社交方面做努力,甚至在界面上模仿微信,虽然没有什么成效,但对我个人而言,过去这一年我的支付宝多了很多好友。但是没想到支付宝竟然还把社交带进在支付软件密码的修改来,产品经理脑袋真的被驴踢了吗?举一个例子,小编我有一群骑行的小伙伴,大家经常在聊天时互相分享网上体验较好的骑行装备,而且彼此都有着自己的手机号码。在网友曝光这一信息后,小编就立即去尝试了一下,竟然成功回答了“最近购买过的物品”问题让界面转到了修改密码界面!!要是他人具有恶意,那岂不是非常危险!

随后,我们联系了支付宝方面。不久后,我们收到了支付宝的官方回应。简单划下重点:

1.回答安全问题的登陆方式,是在支付宝的风控系统进行评估(比如账户信息完整程度、网络环境等因素)后,在安全系数较高的情况下,才能实现。

2.这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。

3.今日上午支付宝进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备无法实现。

其中重点是目前仅在用户自己的手机上修改密码,要是没有被网友爆出,相信这个安全隐患肯定会被少数人恶意使用。密码是私密信息,手机是个人私密物品。但是身份证号不是私密信息,而是公开信息,很多地方会留身份证,银行卡号也类似;最近购买了什么东西也不是私密信息,从淘宝卖家到送货小哥,从同事到朋友圈的朋友都会知道;认识的人更不是私密信息,特别是支付宝涉足社交的情况下,你认识的人,你的同事同学邻居都可能认识。

关闭免密支付

2014 年,邗江小伙小庞 ( 化名 ) 在玩游戏时,认识了西安女子王某。去年 8 月 30 日,两人约在扬州见面。

去年 8 月 31 日,小庞把王某带到自己家中。次日早上,小庞醒来时,王某称要去扬州市区上网,转身离开了。起初,小庞不以为意,然而,当他登录自己的支付宝后,顿时蒙了——账户内的 4.01 万元,全被转入了王某的账户。他赶紧跑出去找王某,可此时,对方已不知所终。

小庞赶紧通过微信联系王某。经过一番劝说后,王某还了两万元,此后,便没了下文。小庞多次联系王某未果后,向邗江警方报案。

邗江警方经审查后,查明王某的身份情况:1993 年出生,西安。依法将王某上网追逃。去年 12 月 30 日,西安警方在当地一家快递公司,将王某抓获。归案后,王某退出了赃款,取得了小庞的谅解。

在公安机关,王某交代,她作案成功,纯属侥幸——去年 9 月 1 日凌晨,她趁小庞熟睡后,玩起了他的手机。其间,她无意间打开了小庞的支付宝,试着给自己转账 100 元,很快到账,此后,她又试着转了 200 元,也顺利转出。这下,王某明白了,小庞的支付宝开通了免密小额支付功能。她内心窃喜,开始熬夜疯狂向自己账户转账。当晚,王某连续转账 201 笔,向自己支付宝账户转款共计 4.01 万元后,心里害怕,这才停手。

这一案件中,支付宝的小额免密支付功能,扮演着重要角色。小额的免密支付虽然方便但是风险还是很高的。小编建议不要为一时的方便增添自己的账户资金风险,最好是把小额免密账户功能关闭。若是你不想关闭,你可以开启支付宝软件指纹支付功能,这样子在支付时候只能通过自己的指纹确认支付。

常登陆设备及时清空

2016年3月份,一篇名为《我用十天追回支付宝盗刷款25000元的奇葩经历》的文章在微博上传播甚广,文中主人公的支付宝账户莫名出现了两笔大额订单,很不幸他遭遇了盗刷。但奇怪的是,支付宝客服表示这两笔款项均在常用设备上消费出去,账号密码也都正确。

不过在随后的一系列调查之后,结果让主人公大吃一惊,原来他曾经出售过自己的手机,该部手机也曾登陆过支付宝账号,手机售出后盗刷者正是利用开机密码和云账户密码等信息,猜到了支付宝的密码,成功实现盗刷。

虽然最终主人公追回了款项,但这件事却给所有用户敲响了警钟,即使手机在自己手里,即使还处于登录状态,你的支付宝账号可能也不安全。在这里小编教给你一个小小的设置方法,让你及时了解账号登陆设备,保护账号安全。

打开支付宝进入“我的”页面,接着进入账户-设置-安全设置-安全中心-设备管理, 列表中出现的就是你曾经登陆过支付宝账户的设备,赶紧看看有没有陌生的、不认识的设备出现,如果有,赶快把它删除!并及时修改登录密码,如此操作之后,该设备再次登录支付宝时需要重复输入密码,有点强制对方下线的意思。在上述的盗刷事件中,主人公没有将设备及时删除也是造成盗刷的原因之一。

除此之外,用户在安全中心还能看到账户对哪些产品和应用进行了授权,比如代扣,如果你认为不再需要这些服务,可以一并删除。

小编提示,千万不要将支付宝的账户密码用在别的地方,比如屏幕解锁、邮箱、云账号等等,密码重复使用度过高意味着风险也很高。另外,也绝不要使用生日、电话号码、身份证号等数字作为密码,很容易就会被猜到,这些也是盗刷者首先尝试的数字。

一旦出现问题怎么办?如果支付宝账户遭到入侵,请立即在支付宝中挂失,具体操作为:我的-账户-设置-安全设置-安全中心-快速挂失,或者拨打支付宝客服热线,如果数额比较大应当立刻报警,请警方协助调查。用户自身是第一责任人,其实有很多盗刷事件都与用户自己的麻痹大意有关,做好第一道防线,绝不给不法分子留可乘之机。