戳上面的汇海电商关注我们哦!
汇海导读
“扫描二维码,领取购物红包。”对于智能手机用户来说,实在是太平常的事。去年12月13日,朱女士在淘宝网店里看中一件500元的毛衣,拍下后,卖家说要送她“红包”,但要先用手机扫一下他发来的二维码。朱女士欣然同意,用手机扫了码。随后,她再上网时发现,不仅衣服没拍成,自己支付宝账户也少了4万元。以后扫描二维码一定一定要注意了 。
为啥一扫二维码,支付宝账号就被盗?
扫描二维码支付过程
到底二维码是什么?
二维码同一维条形码一样,也是一个信息承载的方式,就是在x轴和y轴都有存储信息的条形码。支付宝可以很便利地完成支付,比如我们到超市采用支付宝付款的时候直接提供一个二维码,店家用扫描枪扫一下顾客的二维码就可以完成支付行为。
同样,我们在网上购物的时候也可以直接进行扫码支付,而不用二次验证。该过程的安全逻辑是操作支付宝账号的用户必须是合法账户,扫描二维码其实就是访问一个应用系统,扫一下二维码,就是访问一个链接,并且这个链接含有可以转帐的参数,当我们的支付宝账号和密码均泄露的话,基于支付宝自身的逻辑安全就失效了,这样帐户就被盗了。
案例解析
警方调查发现,支付宝账户之所以出现问题,是因为朱女士手机扫码后“中毒”。怎么扫描一个二维码就能“中毒”,还让账户被盗呢?
本案犯罪嫌疑人李某接受媒体采访时,揭开了骗术谜底。李某称,几个月前QQ群里一个老乡传给他一个后缀为“apk”的木马程序。他把该木马放到网盘里,然后生成一个二维码。随后李某又花150元买到一个淘宝店铺,然后传上一些时尚漂亮衣服的照片,价格定得较低。
只要顾客有意向购买,他便会发二维码给顾客,承诺“只要手机扫码,便能优惠”。“扫了后,木马便植入手机,我很快就能知道手机号。支付宝账号很多就是手机号,只剩下搞密码了。”李某说。此时,他便会用支付宝密码“手机校验码找回”功能,支付宝会给绑定手机发一个校验码短信。
“这是关键,木马能拦截短信,并自动发到我的手机上来,受害者本人却看不到。”李某说。有了校验码,他就可修改支付宝登录密码,而且能截取淘宝、银行发过来的短信,如验证码等,并迅速绑定各类快捷支付平台,划走账户内的钱。
另外,从各种案件的曝光来看,木马程序都是以“apk”为结尾,这是典型的安卓应用程序。马严认为,安卓应用市场的混乱监管不严,给了犯罪分子可乘之机。与之相比,苹果系统就稍微好点。它应用来源非常单一,只能是官方的App Store。“它的审核非常严格,任何应用胆敢扩大权限,是不可能通过审核的。”当然,越狱的苹果就没有这层保护伞了,因为在破解之后,很多应用的下载方式绕过了App Store。
满足条件才有被盗可能
当然一扫二维码,账号里金额就被盗,还需要前期再“泄露”些个人信息,比如身份证号,手机号码等等才能满足被盗的综合条件。在窃取余额的过程中,黑客需要重新绑定手机,用新的手机号做验证。满足被盗条件依托于个人的帐号、密码、手机号、身份证号、邮箱,甚至密码保护的问题和答案也有可能。
这些习惯你有吗?真是要不得!
见二维码就扫
二维码具有信息存储功能,不能确定您扫描的二维码是否具有木马或者暗链接,若是扫描了具有木马的二维码和随意点击短信链接会产生一样的后果。见二维码就扫和见链接就点击是一样具有危害性的。
随意点击短信链接
随意点击短信链接是强烈不推荐的行为,现在大家经常能收到各种伪造银行官方发送的短信,比如提示您账号即将冻结,可以申请换积分等等。若是用户点击此类短信中的链接,轻则会造成自己的信息泄露,重则就会将自己银行账户的资产轻易送给黑客,这个从专业的角度来讲叫钓鱼攻击。
随意回复短信
紧急扩散!这是最新诈骗短信。图中短信的HK代表的是换卡、后面的数字代表的是新的sim卡卡号(临时号码)!新卡在骗子手里,用户的卡就不能用了,骗子可能就此转走你的银行卡,支付宝或者微信账户资金。后果不堪设想!
(来自公安部微博)
应用程序退出不彻底
应用程序在不用的时候一定要及时关闭,比如大家经常看到的网络银行的key,在大家用完网银退出后,会有程序提示您要拔掉U盾,这也是避免被黑客利用的有效防范措施。若是大家手机正好丢了,丢的手机上支付软件没有完全退出,拿到手机的盗窃者完全可以以合法用户的方式将账户的钱转走!
不加辨别蹭免费网络
蹭网后,自己的网络数据流量都经过提供WiFi的路由器,而这个路由器若是黑客架设的话,您访问的网站,提供的用户名和密码有可能就会落入黑客的手中。
手机支付工具应该怎样安全的使用?
1. 个人信息不要轻易泄露,比如身份证号,信用卡卡背面的三位数字,所有这些信息都可能会给黑客增加攻破支付系统的便利性。
2. 如果是在咖啡厅、餐厅等公共区域,建议不要使用公共WIFI进行支付。因为一些黑客往往喜欢潜伏于此,通过骇入安全性较低的公共无线网络来获取用户信息。即便你的支付信息是加密的,也有可能被手段高超的黑客破解,从而获得支付账户、卡号、密码等信息。
3. 如果使用手机支付应用购物,在允许的情况下,尽量将信用卡绑定到支付应用中,而非借记卡。主要原因在于,一般银行的信用卡都拥有补偿条例,比如用户遭到盗刷时可补偿一定金额,但借记卡往往没有。
4. 一定要设置足够复杂的密码
很多人都习惯在所有的网站用同一个用户名,同一套密码,这样是极其不推荐的。一定不要将所有的账号都设置为同一个密码,否则只要泄露一个账号密码,其他的账号和密码都可以被轻而易举地获取到。
5. 使用官方应用商店的支付应用
显然,越狱后的iOS设备及Android设备都存在一定的安全隐患,主要来自于非官方验证的应用。所以,不要从任何非官方应用商店下载安装支付应用,因为它们都可能存在盗取用户信息的恶意代码。
(资料综合:《知识就是力量》杂志,《科技生活》周刊,腾讯数码)
了解更多微信资讯,请扫码加入我们:
微新纪微信代运营服务团队
品质保证,伴您成长
更多汇海电商资讯,请扫码加入我们:
汇海电商专业的服务团队
品质保证,伴您成长