日前,西安一名市民没有消费,银行卡上的9991元却被人转走买了游戏q币。
而在微信朋友圈也流传着,只要装支付宝的手机被人捡到,就可能被轻松攻克支付宝登录密码、干掉数字证书、破解登录密码。
这是真的吗?记者借用朋友装有支付宝的手机进行体验,结果发现,尽管支付宝安全措施有所升级,但只要知道几个关键信息,还是能很容易通过手机或电脑破解登录密码、支付密码、绕过数据证书,还可以把绑定的手机号码改掉。
新闻事件
没有消费
银行卡9991元被转走
听到手机短信提示,傅女士银行卡里先后两次被莫名转走了9991元。傅女士说,这张储蓄卡是她老公的,但短信通知绑定的是她的手机。傅女士和老公都没有消费,她立即向银行客服询问,钱是通过淘宝转走的。给淘宝客服打电话,客服人员说是通过淘宝平台转账购买了游戏q币。因为交易限额不能超过1万元,所以卡上其他的钱还都在。傅女士找到银行换了新卡,之后向派出所报警。
热传网文
装有支付宝的手机
丢了会如何
微信朋友圈里流传《手机丢了,里面装了支付宝,后果会如何》的文章,里面提到,首先,获得手机后如果不知道支付宝登录名,好多人的登录名就是手机号;不知道登录密码,通过点击 忘记密码 ,一个手机验证码就能搞定。也就是说你只要有了手机,账号和登录密码就都有了。
而支付宝账号如果装有数字证书,一个短信就可以解除;接下来,支付密码同样也可以一个短信就搞定。
文中还提到,如果没有开通快捷支付,打通讯运营商客服电话可以免费开通。不仅失主的支付宝可以随便玩,怕失主发现,还可以通过短信验证,把该账号绑定的手机账号改掉。
马上实验
手机身份证银行卡同时丢
支付宝就可能被 随便玩
记者实验发现,支付宝安全措施已经有所升级,若仅仅丢了手机,出现帖子中所述后果可能性较小;但如果不小心连身份证、银行卡一块丢了,又没有及时挂失,帖子中所述的情况却完全可能发生。按照所说程序,凭借身份证号,可顺利重置登录密码,进入支付宝界面,机主的全名、手机号、账户余额、关联的银行卡数量、余额宝、娱乐宝等尽收眼底,就如同在随便玩自己的支付宝账号。而且,和手机短信校验码配合,重置登录、支付密码很简单。
怕短信 打扰 到账号主人?
竟然可直接改绑定别的手机
网帖介绍中,作者还从窃取别人支付宝账户者的心态考虑:这样的频繁的短信骚扰是否会让失主发现?所以,在操作中把绑定的手机号码也改了。
记者再次尝试,在安全页面快速入口下点击 更换手机 ,页面打开后有两个选项:无法接收短信、能接收短信。点击 能接收短信 ,又弹出两个选项:通过证书+手机校验码、通过手机校验码+支付密码。
这两个选项,现在都不是问题。选择第一个,填写收到的手机短信校验码后,再填写新手机号码,和新手机收到的短信校验码,原来绑定的手机就接到了停止服务的提示,短信提醒便转到了新手机上。
再次进入支付宝账户页面,记者发现,朋友支付宝账户的账户名也改成了新的号码。
实验总结
支付宝给手机的权限
是否太大了?
相关帖子总结说,这一切 杯具 的根源在于手机的权限太逆天,居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证,可支付宝居然可以让手机取消数字证书
网帖作者认为,支付宝应该做的有四点:1.提供禁用手机号登陆功能;2.找回密码别这么简单;3.支付密码和数字证书级别应在手机之上,禁止用手机找回支付密码,禁止解除数字证书;4.数字证书和支付密码如果要修改,可以委托给合作银行,或自己在全国开设网点,银行身份证和本人验证,至少目前是最安全的。
记者注意到,尽管支付宝在安全策略上已有所升级,比如找回密码除了要填写短信校验码外,还增加了安保问题或证件号、银行卡号等,但核心的安全权限级别设置方面,手机短信似乎还是最大的。
另有网友在评论介绍,如果银行卡绑定了快捷支付,即便更改了网银密码,支付宝还是可以通支付密码来实现付款、转账等,这也是一个很大的不安全因素。
记住这几点账户更安全
支付宝网页有很多关于账户安全的提示,其中有些在网友的评论中也屡次提及:
1.登录账号最好不要用手机号,可以使用邮箱号;
2.登录密码和支付密码最好用数字和字母组合,最好不要用同一个密码;
3.给支付宝帐户申请手机数字证书或手机宝令等;
4.安装密码安全控件,可对密码进行加密,有效防止木马程序截取键盘记录;
5.平时要多注意电脑安全,安装杀毒软件,不要上不安全网站,牢记支付宝官方网址,警惕欺诈网站;
6.不要出租、出售账户,一旦被不法分子利用,会带来不必要麻烦。
本组稿件由华商晨报华商响网记者马虎振采写
来源: 华商晨报