你的移動支付安全嗎？馬云爸爸不會告訴你的那些風(fēng)險。

mrsh 2016-06-08

展開全文

“由于回復(fù)了一條短信，我的支付寶、銀行卡以及百度錢包里所有資金一夜之間被洗劫一空。那是一種一無所有的絕望?！?br>
　　這是前段時間央視新聞曝光的《起底電信詐騙之“驗證碼”騙局》，剛畢業(yè)工作的北漂“小許”被人進行USIM卡驗證碼誘騙，導(dǎo)致手機卡被遠程注銷并在重新注冊之后，“小許”手機號所關(guān)聯(lián)的支付寶賬號資金被轉(zhuǎn)移，支付寶、百度錢包所關(guān)聯(lián)的銀行卡資金也在一夜之間被洗劫一空。

　　有些事情是不能告訴別人的，有些事情是不必告訴別人的，有些事情是根本沒有辦法告訴別人的，而且有些事情是：即使告訴了別人，你也馬上會后悔的。 —— 羅曼·羅蘭《寂寞的感覺》

　　如果你沒聽說過“羅曼·羅蘭”，那么你的語文肯定不怎么好。這位偉大的思想家，文學(xué)家，批判現(xiàn)實主義作家在20世紀(jì)初就道出了寂寞與不可說的必要性。

　　是的，錢存在手機里是很寂寞的，寂寞得每天只能看看收益。但是，就算再怎么寂寞難耐，你也不能把驗證碼、支付二維碼告訴別人。

　　事實上，這方面的安全意識并不是人人具備。

　　1. 你是否安裝了微信、支付寶等支付APP并且綁定了銀行卡？2. 你知道自己免密支付的限額以及授權(quán)場景嗎？3. 你是否設(shè)置了手勢密碼，或者沒有設(shè)置密碼？4. 你是否用生日作為銀行卡、移動支付等密碼？5. ...

　　并非聳人聽聞，上面任何一個環(huán)節(jié)都有可能產(chǎn)生風(fēng)險。今天，程先生說的也不是技術(shù)失守；現(xiàn)在的網(wǎng)絡(luò)詐騙、盜竊分子在IT技術(shù)領(lǐng)域并沒有高深的造詣（形象公關(guān)：程序員大多都是好人啦?。膊粫卤频刂苯尤ス粑⑿?、支付寶、百度錢包的數(shù)據(jù)庫。某方面比較敏感的他們會利用社會工程學(xué)攻擊來獲取他們的利益（社會工程學(xué)攻擊利用人的弱點如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段，以順從你的意愿、滿足你欲望的方式，讓你上當(dāng)）。

　　畢竟，移動支付領(lǐng)域用戶群體如此之大，他們怎么會輕易放過這么大的一塊肥肉呢。再直觀一點，就算只有萬分之一的上當(dāng)受騙率，每一萬個人當(dāng)中就會有一個人遭受錢財損失。然而移動互聯(lián)網(wǎng)用戶數(shù)目遠不止此，詐騙市場也并非光天化日朗朗乾坤那般透明。想想你平日里接到的覺得“傻子才會上當(dāng)”的奇奇怪怪的電話短信就曉得了。（打電話發(fā)短信也要錢，虧本的生意沒人做嘛~）

　　除了依靠移動支付產(chǎn)品在技術(shù)上加強安保系數(shù)，用戶主觀方面也得加強支付安全意識。今天程先生跟你們聊聊在移動安全支付場景，我們應(yīng)該注意些什么。

　　1. 二維碼（一）

　　之所以是一，是的，因為還有二。（嚴(yán)肅臉）

　　未知來源二維碼跟背影殺手一樣可怕！

　　繼“乘坐扶梯請不要玩手機”的提示之后，上海地鐵安全語音廣播又新增一條“請勿向他人泄露個人信息”的提示，原因是最近地鐵上有陌生人舉著二維碼小牌子向乘客進行宣傳，希望乘客掃二維碼關(guān)注他們的小店或者參與某種活動；又或者，你會在電線桿上看到“掃二維碼贏大獎”等之類讓你覺得自己掃了之后人生就會起飛的廣告；更多見的是，網(wǎng)絡(luò)上在論壇、博客、微信、微博等傳播的各式各樣的誘惑二維碼。

　　無論是何種情形，如果你不確定二維碼來源，那就不要騷，哦不，是別掃！

　　因為你無法預(yù)知二維碼最終會跳向哪個網(wǎng)址，或者又會靜默下載安裝些什么；即使打開了頁面，你也看不到瀏覽器或者APP究竟在傳輸些什么信息（程序員常用的方式是抓包，有興趣的朋友可以下載個WireShark窺探下你的那些APP究竟在跟服務(wù)器交互些什么，說不定還真有驚喜）。

　　天上沒有掉餡餅的好事，就算有，高空墜落物的加速度也肯定把你砸暈。

　　2. 二維碼（二）

　　二來了。

　　支付二維碼就是錢包拉鏈，不能交給別人！

　　這里指的陌生人還包括行為陌生的聯(lián)系人。那些許久不聯(lián)系的朋友突然找你，說TA要結(jié)婚了你看著辦，群發(fā)消息求點贊，他出門忘帶錢包求轉(zhuǎn)賬借點錢……判斷何種行為異常，直覺應(yīng)該會告訴你。

　　此外，為什么程先生說的是二維碼而不是支付二維碼？問得好。因為有些人確實搞不懂什么是“我的二維碼”，什么又是“支付二維碼”，索性都別泄露給陌生人更安全。穿比基尼，就有可能走光是眾所周知的道理。（你笑得好壞）

　　打開微信，“聊天界面右上角+號展開的收付款”里有兩種二維碼，在“我-錢包-付款”里也有一個二維碼，“我-頭像-我的二維碼”還有一個二維碼。這么多二維碼入口保不準(zhǔn)哪天不留神給泄露了~新聞里講有人被忽悠后給對方截屏過去自己的支付二維碼，結(jié)果損失不少錢。新聞里別的可能是假的，這個真的可能性還真不小。

　　從技術(shù)安全性上，支付二維碼會定時更新，并可能根據(jù)掃碼時商戶坐標(biāo)與用戶手機坐標(biāo)做匹配，或者對潛在危險支付做提醒等。但這些手段并不能覆蓋所有風(fēng)險Case，特別是當(dāng)寶寶你都把支付二維碼送人了，你讓馬云爸爸情何以堪？

　　微信支付二維碼

　　支付寶支付二維碼

　　從此刻開始到2106年，你得清楚明了地曉得哪種是支付二維碼并謹(jǐn)慎對待，特別是那些還綁定了銀行卡并開啟了免密支付的朋友。值得一贊的是，在程先生對支付寶二維碼進行截屏操作時，機智的支付寶做出了安全性對話框提示。這個功能技術(shù)難度不大，但對社會工程學(xué)攻擊來說是有效的安防措施。

　　3. 免密支付

　　你清楚自己的快捷支付免密額度嗎？**

　　程先生下班用滴滴打車，從叫車到付款都沒有輸入過密碼；因為程先生的滴滴綁定了信用卡，并通過滴滴的頻繁提Sao醒Rao開通了免密支付功能。細思極恐。

　　利用便捷的支付二維碼進行付款的升級版快捷支付方式是：免密支付（支付時不需要進行二次安全驗證從而直接付款。支付寶：我的-頭像-設(shè)置-支付設(shè)置-免密支付，默認(rèn)2000元免密額度；微信：默認(rèn)1000元免密額度不可更改；百度錢包：默認(rèn)300元免密額度不可更改）；這種支付方式在綁定銀行卡后風(fēng)險也隨著便捷性的提升而提高。產(chǎn)品經(jīng)理為了刺激消費真的想了很多法子，然而默認(rèn)的免密支付設(shè)置及額度并不適合每一個人，需要大家根據(jù)自己情況做調(diào)整。

　　除非你非常清楚明了自己的快捷支付免密支付方的場景及額度，不然還是再次檢查并確認(rèn)這些信息較為妥善，或者設(shè)置一個安全的零花錢**免密**額度。

　　免密支付默認(rèn)限額

　　4. 銀行卡綁定

　　喊你綁卡的APP真的安全嗎？

　　上面所說的二維碼支付、免密支付一般都會打通所綁定的銀行卡。程先生沒什么錢，卻有很多銀行卡，銀行卡里卻又沒什么錢。似乎怕哪天有錢了存不下，程先生如數(shù)家珍地把銀行卡都綁定在支付寶中。寫完這篇文章后，程先生把銀行卡都解綁了。好繞，是的，不要把雞蛋放在一個籃子里是對的。

　　但這里，程先生說的不僅是上面那個Point?，F(xiàn)在很多APP都具備了綁卡支付等功能，告訴你們一個像秘密的秘密，這些CEO都迫不及待地想讓用戶掏出自己的銀行卡并牢牢綁定在他們的APP上，這無論在融資或者產(chǎn)品盈利上，都是一個重要的KPI。且不說這些APP的安全資質(zhì)如何，綁定銀行卡之后，如果進一步授權(quán)免密支付，你仔細想想，會安全么？Uber盜刷的風(fēng)波還沒過多久呢。那可是Uber?。?br>
　　再說一個題外話，APP具備支付功能之后，錢就有可能沉淀到APP中，例如紅包余額，人均10元的話，那得有多大的流動資金~所以，每個用戶都得清楚自己的小白價值。

　　最安全的綁卡

　　5. 手勢密碼

　　你的手勢密碼是大寫的L、M還是N？

　　手勢密碼除非設(shè)置得眼花繚亂（至少也得以假亂真），不然程先生認(rèn)為是雞肋。因為手勢密碼取代數(shù)字密碼的一個原因就是在輸入數(shù)字密碼的時候，1-9數(shù)字鍵位置固定，旁人很容易根據(jù)按鍵位置及順序并在腦海中迅速快照從而記住你的密碼；再細思極恐些，你頭頂無處不在的攝像頭也很容易幫你記住密碼。當(dāng)然，世界還是美好的，程先生只是在闡述手勢密碼的優(yōu)劣而已。

　　如今，替代手勢密碼的更安全的方式是指紋解鎖（或進行支付驗證），Bi~一下就行；這無論從用戶體驗還是安全可靠性上，都是一個極大的提升。

　　所謂的手勢密碼

　　6. 手機驗證碼

　　如果你不想活了，那就把驗證碼給別人吧。

　　在采用二維碼進行人機驗證之前，最流行的方式是通過短信驗證碼對用戶身份進行確認(rèn)。在很多應(yīng)用或者網(wǎng)站中，憑借驗證碼可以還原、獲取所有的用戶信息，所以萬一手機丟了，第一步不是喊“??！”，而是借手機**打客服掛失號碼**，以免不法之徒通過手機及驗證碼完虐你的所有重要信息。

　　看到引文中的反面教材了吧。怎么說呢，驗證碼的水還真比較深，有人通過眼花繚亂的偽基站用眼花繚亂的手段套取你的驗證碼，也會有眼花繚亂的網(wǎng)站給你發(fā)眼花繚亂的驗證碼，這里有五個眼花繚亂。無論你有沒有數(shù)對，程先生唯一的建議是，不要將自己主動獲取的驗證碼告訴別人！

　　7. 短信鏈接

　　短信鏈接，一鍵連接您與噩夢。

　　曾幾何時，短信是多么美好的通訊方式。那時，短信還要收費，那時，短信的每一個字時認(rèn)真的；而如今，除了10086提醒我話費不足趕緊繳費之外，短信列表里只有106X號碼跟我說話。

　　然而根據(jù)數(shù)據(jù)統(tǒng)計，目前短信營銷、短信用戶還是有較大群體。而且短信由于字?jǐn)?shù)的限制，一些網(wǎng)絡(luò)鏈接都會通過短網(wǎng)址進行編碼。你肉眼無法判斷 http:///xxx 究竟會跳往何處。所以，程先生對此唯一的建議是：不要在手機上點擊陌生號碼的鏈接！

　　結(jié)語

　　“什么，還要寫結(jié)語？”“是的，你們程序員難道不Return嗎？”“噢?！?br>
　　作為程序員，我們在設(shè)計、開發(fā)應(yīng)用時盡可能利用嚴(yán)謹(jǐn)邏輯及技術(shù)手段保障用戶的信息和數(shù)據(jù)安全；作為用戶，有必要對自己的信息及行為負(fù)責(zé)，提高移動支付的安全意識，多多關(guān)注程先生的小賣部。return true;

　?。ㄍ辏?