来源:蜘蛛抓取(WebSpider)
时间:2015-11-16 21:26
标签:
支付宝保护软件
比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
“实名认证惊天漏洞”背后,支付宝搞错了什么?
摘要:本周四,有用户突然发现自己的支付宝账号突然多了五个绑定账号,而这些账号都没有经过他本人的认证。换句话说,他是在完全不知情的情况下,其支付宝账户下就多了5个绑定账户,而他本人也没有收到任何形式的通知消息,包括短信、邮件、或者登录后的站内信息。
这位用户的晒图如下:
用户在电话咨询支付宝客服后发现解绑较为困难,多次沟通无效后,该用户将整个过程发布到网上,随后支付宝针对此次事件作出了澄清。不少用户对支付宝的澄清表示不满,引起了人们的广泛关注。
而实名认证的账户之所以让用户如此担心的原因还有一个,就是贷款也是在实名信息名下的,那么攻击者可以用这些账户来贷款借钱?是否也意味着,别人可以轻易借壳于你的身份来贷款,而最终却由你来还钱?
此次事件的真相和具体技术细节,其实阿里的各位同仁,特别是支付宝的安全团队,会更加清楚,我过去和他们有过一些沟通,他们在技术上颇有自己的独到之处。面向数亿普通用户的金融产品,如何平衡易用性和安全性,如何做好风险监管,相信他们会更有发言权。
但本次事件究竟是如何从一个孤立事件变成了现在的轩然大波,整个处理过程之中有没有值得改进的地方?我想从风险管理的角度谈谈自己的看法。
我们知道是一家科技公司,但是支付宝,则是一家金融公司,虽然使用了大量的IT技术,却不能改变它是一家以支付、借贷、投资管理、信用管理等业务为核心的现代金融公司,IT技术只是承载金融业务的工具和平台。本次事件,是否有支付宝的某些部门对这个定位认识不清,从而造成现在后果的可能性呢?
请先让我们来回顾下历史,因为历史总是惊人的相似。
大概在10多年前,传统的金融行业经历了与今天支付宝事件类似的情况:不少金融从业人员利用职务之便,使用第三方人员的身份信息,大量申请办理信用卡,轻则套取新办卡每张数十到上百元的补贴,重则进行恶意透支套现,给银行带来了重大损失,而信息被盗取者也遇到了不少麻烦。
之所以会出现这种情况,是因为当时信用卡业务的发展尚处于野蛮生长期,各家银行均把圈地发展用户数作为了首要目标,一时之间卡片漫天,甚至出现过一个普通的工薪收入者手上有五六张不同信用卡的情况。
为了给发展用户提供便利,很多银行都降低了申请门槛,可以没有良好的信用记录、可以不需要本人在场、可以不考虑还款能力等等,为后来的各种信用卡违规犯罪开启了方便之门。
而这与如今互联网金融强势崛起的情况何其相似:
由于互联网金融的崛起,各家公司为了扩大用户数,提高交易金额,纷纷降低门槛,申请过程更容易、使用更容易,注销更困难、解绑更困难,一切都是为了快速扩张服务。
就本次事件来看,支付宝,或者说至少是支付宝的某个历史版本,存在着用户身份验证不完全即可绑定账号的潜在风险。这也许是为了提高产品使用体验而作出的妥协,或者是某个历史版本的安全漏洞。用户方也必然存在某种疏忽(比如个人信息泄漏,或者账号密码/邮箱泄漏)才有可能导致这个结果。
作为一家技术公司,当然可以说产品不可能没有安全漏洞,而且也可以清晰地通过找到用户方的责任来对后果进行免责。但是作为一家金融公司,特别是创新型的金融公司,首先要考虑的则是用户的安全体验对新业务推广的正面和负面作用。
新业务的推广需要改变用户的使用习惯,并且克服用户对新技术的恐惧,而问题恰好是其中会起到关键作用的一个点,不解决用户对信息安全的担忧,新业务就很难大规模的推广。上个世纪美国的银行为了推广信用卡所采取的各种安全保障措施就是一个很好的例子。
而在用户投诉阶段,客服人员是否清楚现有产品和历史产品的安全问题?是否能够通过有效的沟通安抚用户的情绪,并且及时地协助用户解决问题?
互联网金融的优势是采用互联网技术能够同时地服务海量的用户,但是在风险管理和用户体验管理上,仅凭的机器,有时是不能满足用户需求的。如果用户的满意度下降,前期辛辛苦苦发展来的用户群就会逐渐流失。
而互联网的特性又使得负面情绪和事件会被无限放大,从而引入了商誉风险,一旦危机公关措施不当,商誉风险的损失将远超过技术风险。
本次事件中,支付宝的危机公关团队虽然响应及时,但是却未能有效地安抚用户的情绪,也未能消除用户对安全问题的疑虑,反而留下了撇清推卸责任的印象,整个沟通过程和方法是否过于以自我为中心?并未能考虑到用户的体验和心理接受程度?这些都是值得我们深思和引以为鉴的。
从监管角度来说,监管措施往往是落后于金融业务创新的。
新兴的互联网金融恰好处于金融监管的灰色地带,现有的监管措施并不能有效地防范互联网金融的风险,这方面对监管机构尽快拿出新的风控措施提出了挑战。同时也更加要求行业龙头担负起责任,为整个产业的健康有序发展作出更大的贡献。
从个人角度来说,应注意以下几点:
1、使用互联网金融产品时要对可能面临的信息安全风险有着充分的认识,对自己的风险承担能力也有着足够的了解。
2、应该要保护好自己的个人隐私,使用拍摄证件时要注意关闭云备份,使用完要及时删除,也不要随便将证件照上传到不可信的网站。
3、尽可能使用复杂密码,定期更换密码,使用双重认证(例如USB KEY)。
4、尽可能使用专用设备进行金融操作,而不是与平时上网或者游的设备混用,特别尽量不要把密保手机用来直接进行交易。用来进行金融操作的手机不要安装非官方的应用。
5、遇到安全问题之后不要恐慌,及时有效地与官方沟通,创新业务的一个好处就是为了确保业务的顺利推广,前期厂商往往会对用户的风险进行兜底,所以良好有效的沟通后,实际损失并不会太严重。如果金额巨大,可以及时取证公证、并向监管机构或者消费者协会和媒体进行投诉。
总的来说,其实支付宝本身安全性挺高,并没有什么问题,主要还是在于用户的使用环境。当然,此次用户个人信息被盗,而支付宝没有拒绝用被盗信息注册的多个账户,目前虽然并不会产生严重后果,但是金融的风险监管问题不容忽视。希望本文能够引起对金融产品安全问题的注意。
相关文章:
[ 责任编辑:小石潭记 ]
为更好推动开放架构发展,打造开…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte内容字号:
段落设置:
字体设置:
精准搜索请尝试:
明天双12,你的支付宝账户安全吗?
来源:新闻晨报作者:王亦菲 裴小`责编:悠悠
“双11”刚走,“双12”又来,在一个接一个的促销诱惑下,网民们不断向支付宝账户充值。而里面大量的资金,正成为不法分子最渴望的猎物。记者经数周调查发现,有一些不法分子通过黑客买来用户数据,再将其输入专门设计的“扫号软件”,便能轻而易举入侵用户的支付宝账户,进而转移资金,或者进行其他类型的犯罪。
“扫号”三步走
1“黑客”盗取数据包
扫号群里叫卖的数据包括淘宝、支付宝、邮箱、百度贴吧、微博、游戏等的账号密码。一名卖家透露,自己数据的终极来源是黑客。
2 “扫”数据获取账密
打开扫号软件,点击“导入账号”,打开买来的数据包后,软件自动进行匹配。运行过程中,账号、密码明文显示。“过滤登录状态”栏显示“淘宝登录成功”,则表示通过了扫号器的验证,是正确的账号密码。
3 登录账户盗取资金
扫号结束,用获取的账号、密码登录淘宝账户。如果被入侵用户还有其他个人信息遭泄露,其账户资金安全可能受到威胁。
□扫号软件可能威胁淘宝、支付宝用户安全/晨报记者肖允
支付宝绑定银行卡被盗刷
家住宝山的周先生就是“扫号软件”的受害者。11月10日23时40分到23时44分,短短4分钟内,他的工商银行储蓄卡被人通过支付宝盗刷3万元。经查,周先生的支付宝账号和密码被不法分子盗取,此后不法分子又通过定向快捷支付方式,将周先生支付宝绑定的工行卡内资金盗刷。
支付宝调查发现,不仅用户的支付宝密码被盗,所绑定的银行卡卡号、户名等相关信息也被盗。而支付宝账户被盗的原因,很可能是周先生在其他网站、论坛使用了同样的账户密码,被不法分子利用了,进行了“扫号”。
与一般点对点的“盗号”直接获取目标账户密码不同,“扫号”是通过曲折迂回方式获得账户密码。打个比方,一个人的账户、密码就好比家里的大门和钥匙,“盗号”就是不法分子盯上了你,一心一意窃取你家的钥匙从而实施盗窃。而“扫号”则不同,不法分子批量窃取成百上千户居民家中的各类钥匙,一旦你家某扇门与批量钥匙中的一把匹配,那么不法分子就能从批量钥匙中试探出开启你家大门的那一把。
实为自动批量登录工具
扫号软件究竟是一个怎么样的软件?安全专家安扬向记者揭开其真实面目。
“说白了,扫号软件其实就是个自动批量登录工具。”安扬解释,“由于很多网站被黑客盗取用户密码库,如此前的CSDN、天涯等多网站用户数据泄露事件,而且有不少网友习惯在不同网站设置相同的注册邮箱和密码,扫号软件就是利用网站泄露的数据库,针对QQ、微博、电商、游戏等平台进行自动批量登录操作,找到能够成功登录的账号。”
举例来说,CSDN网站数据库泄露了600余万个注册邮箱和密码,其中包括很多QQ邮箱注册用户。黑客想知道这些QQ号是否使用了和CSDN相同的密码,逐个手工验证是非常麻烦的,于是就会使用扫号软件自动尝试登录,把能够成功登录的QQ号全部扫出来。
“一般来说,扫号器都是针对某个网站或程序制作的,比如对QQ的扫号器,对微博的扫号器,对淘宝、京东等电商网站的扫号器。”而根据网站防范措施的不同,扫号器的技术含量和制作成本也有很大差别。
[专家建议]
网银、电商账户应单独设密码
安扬呼吁,用户应保持个人电脑系统安全,清除木马等潜在风险。“网银、电商、证券交易、常用邮箱、聊天账户等涉及财产和隐私安全的账户,应单独设置密码,可以避免被扫号软件登录账号。尽量使用‘字母+数字+特殊符号’形式的高强度密码,字母可区分大小写,特殊符号可使用电脑键盘数字键上的那些字符。”
他建议,网友可以按照账户重要程度对密码进行分级管理,密码越重要,强度也要越高,且重要账户应定期更换密码。“避免用生日、姓名拼音、手机号码等与身份相关的信息作为密码,因为黑客针对特定目标破解密码时,往往首先试探此类信息。”
[记者体验]
通过扫号软件真能成功登录他人账户
数据正确但无法登录
为了一窥“扫号软件”的真面目,记者进入名为“扫号器数据互换交流群”的QQ群中,并联系到了卖家“小何”,提出要购买淘宝主题的扫号器,对方开价500元,并附赠一个数据包。
付款后,对方很快通过QQ发来一个近9000个账密的数据包文本文档和“阿里和淘宝晒密1.03”扫号器。按照卖家示范的操作步骤,记者开始亲自“扫号”。几分钟后操作完毕,8971个账号中有183个显示“淘宝登录成功”,并明文显示账户密码。不过记者发现用其中的一些账号并不能成功登录淘宝,而是出现了“您的账户可能被盗用,暂时限制使用,请按步骤自助开通”的页面提示,页面跳转后显示需要手机接收并通过验证码。
购“一手数据”后成功登录
当记者质疑为什么扫号软件显示“淘宝登录成功”的号却不能在淘宝网上顺利登录时,卖家说因为这些数据都是二手数据,“都是我昨天扫过的,淘宝大概是检测到了风险所以被写了保护。”记者于是又以300元的价格从卖家“小何”手中买了1万个“一手数据”。
还是同样的扫号器,同样的方式。这一次,10131个号全部经由扫号器“扫号”,其中112个号显示“淘宝登录成功”并被记录在自动生成的“综合结果”文本文档。
粗览这些数据,记者发现密码大多比较简单,疑似生日密码或是姓名拼音的结合占据了大多数,还有的竟然和登录名相差无几。
记者通过各种方式与其中的一些用户取得联系,在征得对方同意后,当面尝试用账号和密码登录淘宝,结果发现能够成功登录并能查看所有信息,包括个人资料、交易记录、收货地址等。
绑定邮箱、手机都能改
在一位用户的淘宝页面中,记者通过“绑定支付宝设置”选项直接进入其支付宝账号。0元支付宝和数千元的余额宝余额都在主页显眼位置显示,余额数字后面就是“转账”选项。
记者试图点击“转账”,选择转出至其绑定的银行卡,又在“到账时间”的两个选项――“次日到账(使用电脑转出)”和“2小时到账(使用手机转出)”中勾选了前者。页面继而提示“您是数字证书用户,但本台电脑尚未安装证书”。
按提示,记者开始了安装数字证书的第一步操作:需要输入绑定手机上发送的验证码,因为绑定的还是用户自己的手机,记者点击了手机号码后的“更换号码”选项。此时页面跳转到“人工处理”,填写修改手机号码申请单:“我们会将申请单发送至您的邮箱”,并附有该用户绑定的邮箱。
记者修改绑定邮箱。而这次,没有任何验证要求就弹出“修改邮箱地址”对话框,附加提醒“此邮箱仅作为本次联系使用”。当记者填写完自己的邮箱并点击“发送邮件”后,顺利收到发来的验证邮件,点击邮件中的链接便跳转到修改手机号的页面,页面显示“输入新手机号码”。至此,记者只需要输入新的手机号,就能替换掉原本绑定的手机号。
■支付宝解释
“扫号”+其他信息泄露才可能转账成功
通过扫号软件,是否就能成功修改绑定的手机和邮箱,继而转走账户内的资金呢?记者就此联系了支付宝公关部经理朱健。
朱健表示,支付宝被“扫号”的情况确实存在,自己也有所耳闻。他解释:“可能是用户在一些有风险的小网站上泄露了账号密码,并且用同样的账号密码绑定了支付宝,从而被不法分子试验到并企图利用。”他说:“我们的支付宝是双密码设置(登录密码和支付密码),还有层层数字证书、手机校验等关卡,不法分子想要通过‘扫号’转移资金没那么容易。”
对于用户被“扫号”的情况,朱健解释,不法分子虽然能够替换掉用户的绑定手机和邮箱,但在转账时,还需要输入支付宝支付密码,“支付宝是双密码设置,而一些用户被破解的是登录密码,因此支付密码还是相对安全的。除非他其他的个人信息也被骗子掌握了,进一步替换掉了他的个人身份信息及支付密码,才有可能转账成功。”
朱健表示,“我们有一个实时风险监控系统,每天进行1.2亿次行为监控,能够侦测绝大多数非正常行为并予以实时处理,一旦发现异常,会通过发送校验码或冻结账户方式进行确认。”微信搜索“IT之家”关注抢6s大礼!下载IT之家客户端()也可参与评论抽楼层大奖!
相关文章|||||
软媒旗下软件:||||||||
IT之家,软媒旗下科技门户网站 - 爱科技,爱这里。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号支付宝和微信的二维码『刷卡』支付服务够不够安全,有何隐患?
看起来是为了便利牺牲了安全每当点击进入刷卡功能,屏幕上会分别出现一个可供扫描的二维码和条形码。也就是说,经过微信支付认证的商户,可以直接通过线下的扫码设备扫描这两个码,来向顾客收费。这个功能直接与“微信支付”相连接,用户可以选择使用钱包里的“零钱”或绑定的银行卡和信用卡进行支付。
按投票排序
邀~ 先简单回答一下:二维码支付总体而言是足够安全的。金融行业最重要的莫过于“信任”二字,可以相信支付宝、微信、银联等不仅专业,而且会非常认真的对待支付里的任何问题——只是有时候会过于谨慎,以至于在用户体验和风险之间进行平衡时会倾向安全优先:宁可影响用户体验也要确保足够的安全。我试试看用最简单的方式让朋友们理解吧。二维码支付的安全与否,分为二维码部分和支付部分:二维码部分主要看用什么扫码软件:用支付宝钱包、微信基本没问题(除非有漏洞被利用);支付部分,其实与二维码关系不大,还是手机支付领域的老问题。支付部分:以数据传递来说,以银联、支付宝和微信的技术能力是足够安全的(比如商户POS与平台、用户手机与平台的通讯、用户手机APP的安全性等等);从支付模式来说,主要是快捷支付模式,这部分问题是快捷支付是否安全——与二维码无关;从风控角度来说,银联、支付宝的经验比腾讯更为丰富;从对消费者的保障来说,支付宝、微信双方都引入了赔付机制和保险公司;从监管角度来说,还有央妈盯着,不必太担心;从实际操作环境来说:会不会有钓鱼呢?有可能,需要消费者自己特别注意保持警惕——见下文最末提醒;至于其它,例如手机被盗等等:和保管好你的钱包、信用卡的道理是一样的——只是,支付模式(与二维码无关)的设计者还是为这类情况进行了准备:交易金额和频次限制、风控监督。技术方案的特点:——谢谢
讨论提醒,特意补充这一部分说明:条码、二维码、声波这类,不同于带有加密芯片的NFC等方案——信息载体本身不能确保自身防伪造、防篡改、防复制的,因此配套的支付方案基本都采取快捷支付类(控制金额、频次、用途)以进一步控制风险。利益相关:我的创业公司是支付宝授权代理商,为客户提供智能WiFi、支付宝和微信相关的解决方案,同时自己在发展商户做小平台运营。1. 在二维码支付里,二维码是做什么的?简单说:借助二维码生成和识别技术,在商户收银设备、用户手机之间传递交易必要的参数。发起支付:无论是买方、卖方,首先通过支付APP或者收银系统向支付平台服务器请求发起一笔支付;生成支付参数:服务器把支付相关的参数通过二维码图片返回给发起方;交换支付参数:发起方向对方展示二维码;核实支付参数:对方APP或收银设备扫码后,通过支付平台服务器确认该支付的参数、细节;确认支付:随后双方用某种方式表示认可支付;完成:支付平台服务器端完成支付动作,返回信息——二维码最大的作用就是在交换交易参数环节:二维码方便携带参数、方便对方接收和识别。——以上过程中,将二维码换成声波等其它方式,起到的作用也是一样的。——类似的,传统支付POS中也有二维码类似的问题,比如假读卡器(复制磁卡信息)、假密码键盘(复制密码,或未经银联安全认证的普通数字键盘)补充细节:交易必要的参数加密生成二维码:比如当前用户信息(付款方)、商户信息(收款方)、交易流水号、交易时间戳等必要的参数,组合成特定的数据结构并经过一定的加密后,用二维码算法(比如流行的QR)生成二维码图片;扫码、识别、提取参数、自动处理:用户发起交易、生成并出示二维码给商户;反之;——也就是其它朋友回答的主动扫码还是被动扫码2. 其它环节与二维码无关,那么二维码的安全问题在哪里?二维码的内容有不同类型,可能是一段文字,也可能是一个超链接地址 Url,等等问题出在扫码软件(二维码识别软件)对携带内容为超链接的二维码的处理方式一般的扫码软件,遇到内容Url类型的二维码就自动打开浏览器,访问对应的地址。这时候,如果二维码不是支付平台服务器生成的,就有可能被假冒的二维码引导自动访问钓鱼网站等,造成用户、商户的损失。这时,分两种情况:商户侧的系统生成假冒的二维码:用户没有足够的能力防范,这时候就有较大的安全隐患了;用户侧生成假冒的二维码:商户有义务、有能力保障自己的收银系统正确的连接支付平台服务器,不容易被用户侧假冒的二维码所欺骗。所以,日,央行叫停二维码支付主要是针对商户侧生成二维码这种模式。而用户侧生成二维码的模式,至少我们用支付宝一直是可以的。然而,进一步来看:3. 遇到商户侧的系统生成假冒二维码怎么办?其实不必太担心。因为在支付操作中,用户使用的是专用支付工具,不是一般的扫码软件。例如支付宝钱包(支付宝的支付APP)、微信(腾讯APP带支付功能)、银联钱包(银联的支付APP)。而这类专用的支付工具,其内置的扫码功能是不会自动打开浏览器去访问钓鱼网站的。具体原因:二维码采用了特定数据格式:为了防范此类问题、为了竞争,它们采用的二维码算法虽然是公共的,但携带的数据是自己平台特定的数据格式。扫码软件遇到特定数据格式时,才采取后续支付相关的动作,否则视为普通二维码处理;安全地址过滤:即便识别为普通二维码、内容为Url,这些APP也不会打开通用浏览器,而是由内置浏览器来访问特定Url。甚至在内置浏览器访问Url之前,会先经过服务器识别该Url是否在安全地址白名单,或者在黑名单之中。同时,有专门的安全团队负责维护这样的白名单、黑名单。可能的问题来自:那些专用的支付APP有安全漏洞被利用(绕过了上述安全机制);用户使用了其它的扫码软件(脱离了上述安全机制)扫描假冒二维码打开了钓鱼网站。所以,结论是:——使用对应的支付APP扫描对应的二维码(支付宝对支付宝、微信对微信、银联对银联)——并保持支付APP是最新版本4. 额外需要注意的是操作环境安全:免费Wi-Fi作为一个智能WiFi系统平台解决方案和运营服务方,我很负责地提醒消费者——你真正要担心的主要是:假热点:假冒商户免费Wi-Fi钓鱼;泄密:免费Wi-Fi传输不经加密可能存在的泄密(支付APP自己会加密,主要是其它内容如收发电子邮件、论坛和页游登录等等);商户路由器被劫持(植入恶意代码):例如DNS劫持引起的钓鱼、中间人攻击、嗅探密码等——所以,敏感操作暂时还是使用3G/4G吧!
谢邀,俨然已经是支付行业活跃回答者了么=。=昨天微信开始正式推线下二维码支付,用的是微pos的方式打擦边球,二维码支付分正扫和反扫两种模式,微信支付、支付宝都在推广,每一个商户可以选择安装正扫和反扫中其中一种设备,或两种都安装,微信支付目前的重点则主要放在反扫模式布局上;二者的主要方式都是向第三方代理开放接口的方式,布局线下商户。因为财付通在第三方支付的相对弱势,微信基于绑定银行卡的支付比较不容易被各大银行盯上,能做到怎么样,会不会被叫停,还是要拭目以待啊。二维码支付在国内似乎十分新鲜,其实早在上世纪90年代,二维码支付技术就已经形成,韩国与日本是使用二维码支付比较早的国家,在日韩二维码支付已经普及了95%以上。4年前我们在做二维码支付规划的时候就是以乐购在韩国地铁做的二维码超市为愿景,人们可以在地铁站通过扫二维码支付买好当天要吃的菜,下班后菜送到家,方便快捷。现在我们在本省的所有营业厅布放了上千个定额二维码用于小额支付,月交易额也有几十万。从安全性说,二维码支付和在线支付一样,都是基于账户体系搭建的,手机扫二维码的动作就相当于在电脑上输入商品地址,所有在线上支付能遇到的安全问题,用二维码同样能遇到,包括但不限于虚假链接、恶意地址、木马链接等等,同时,由于许多二维码扫码工具并没有有恶意网址识别与拦截的能力,这给了手机病毒极大的传播空间。而且,二维码技术的便利性简直太高,原来在电脑上钓鱼还至少要做个web链接,还得不被杀毒软件屏蔽,现在开个玩笑的说,花几千块做几百张假的二维码像贴老军医一样的贴,还真不知道能骗到多少人。日,央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,暂停支付宝、腾讯的虚拟信用卡产品,同时叫停的还有条码(二维码)支付等面对面支付服务,并要求支付宝、财付通将有关产品详细介绍、管理制度、操作流程等情况上报。同时,二维码支付硬件厂家也从三方面提出了安全解决方案。第一,从硬件方面,微pos的硬件有自我保护的能力,若是被强拆,微pos内的芯片会自行烧毁,防止有人试图篡改pos机系统;第二,微pos的系统是基于Android进行了必要的删减和封装形成,不存在多余的功能,这也保证了系统不被恶意软件侵染;第三,微pos机在处理数据时都会进行信息加密,保证交易数据不外泄。另外,银联也在做二维码支付的相关工作,但是中国银联技术专家徐静雯博士表示“因为发现确实有技术条件无法消除的隐患,所以没有进行商业应用。当研究出技术成熟、业务可行、且安全可控的解决方案,并获得监管部门级合作机构认可后,银联才会推出相关产品和服务。”至于具体是什么安全隐患,至少我们现在已经在做的二维码还没发现,或许银联站得更高,眼光更长远。=====================谢提醒补充一下============================中午本想到天虹实测,发现微信pos还未到位(老区含泪,北上广深估计有了),从软件的使用流程上,确实只需要在首次生成二维码时验证支付密码,如果被扫码时再验证一次就完美了,如不验证,那么请设置手机密码锁屏预防万一,如手机丢失且没锁屏密码的,建议立刻使用其他手机登录自己的微信并及时对原手机号报停/重新开卡,避免损失。软件的支付安全里提到由中国人民财产保险股份有限公司承保并提供全额24小时理赔,但安全tips里写的全是主动扫码的东西,被动扫码的还未提及。
谢谢。在这里我们不谈政策相关的东西,只谈交易本身只能产生和带来的风险。现在我们看到的主流二维码支付本质上是一种点对点的在线交易,而实际的应用场景多见于线下支付,也就是所谓的O2O;所以我们常见的几种在线交易的风险都仍然会存在,但具体的表现形式和风险出现的情况会有所不同。1、账户风险最常见的风险是账户被盗用了的风险。这种风险在依托手机为主体的二维码支付的场景下,会降低很多。手机支付的第一个步骤是授权。在这个阶段,会通过支付密码、手机短信、身份信息和隐私信息等等验证之后,将设备和支付账号做一层绑定。在这种风控逻辑的设定下,你的账户被盗了,如果想通过扫码来支付,那就意味着要同时获取上述信息。一般的拖库造成的账号密码泄漏无法通过首次支付的授权。所以二维码支付对于单纯的拖库和单一的账号密码被盗来说相对更为安全。2、钓鱼风险所谓钓鱼,简单来说就是你认为是A,结果支付的是B。对于这个问题,扫码的风险会相对较大一些。传统的在线支付中我们通常就比较容易比对网址是不是官方网站来做判断,而我们无法通过比对二维码是不是官方二维码来验证支付安全性。另外加之商户的名称大多数都不是你所熟悉的标识名(比如美团的订单,扫完了会发现付款对方是北京三快在线科技有限公司),就更加不容易判断买的东西是不是自己要的那个。但回过头来说,像微信这样的线下的当面支付,这种概率会小的多,在商家店内,商家会维护好自己的二维码不被轻易的做替换,如果商家的收款二维码是逐笔生成的,那么风险程度就会进一步的降低。3、木马风险手机木马是现在基于手机支付的方案中最危险的因素,容易造成设备本身的信息拦截、设备授权窃取等等各种不安全因素。而手机木马的查杀和防范,也是一个刚起步的行业。所以一旦中了有针对性的手机木马,基本上是不安全的占大多数了,360说的再好,也很难对抗这种情况。4、设备风险设备丢失是一个绕不过去的话题。之前轰轰烈烈的手机丢了是不是支付宝账户就被盗了其实说的就是这件事。在线下支付,一张银行卡丢了和一部绑了卡可以做二维码支付的手机丢了,风险还真是不一样的,后者的风险显然高的多了。前几天的对于Apple Pay的讨论里我们其实也可以看到,设备丢失的风险,需要有一个不依赖于账户体系本身的验证方式来做验证(手机短信、密码仍然是账户体系本身的一部分)。苹果的方案是指纹。对于支付公司来说,人脸识别、声音识别等生物技术的附加验证方式,一定会是未来的方向。5、其他基站劫持啊,网络劫持啊这种高科技的风险,也一定会越来越多的出现,但这是所有手机支付包括PC在线支付都会出现的问题,警惕性还是得有。风险归风险,时代的潮流并不可逆,二维码支付、NFC支付等等未来一定会是市场的主风向标。风险这种事,交给支付公司的风控部门来考虑就好了。1、对于风控来说,依托于设备的支付会更加的安全。风险的监控中会获取到更多的信息,比如设备标识,实时的地理位置,按键习惯等等都会成为PC时代不具备的风险识别因子。这种识别条件越多,对于风控来说,也就越好做;2、二维码支付的风险主就是授权阶段的验证信息泄漏、设备丢失和钓鱼木马风险,注意养成良好的安全支付习惯,仍然是大家要做的功课。具体应该注意什么,日报的安全模块里都说的很多了,我就不重复了。总结起来我觉得就是:手机保管好,没事别乱扫,短信不泄漏,隐私心中留,有事先挂失,遇案要报警。反正我自己是能扫就扫,谁愿意去输那么多账号密码呀。
无论是支付宝的付款码,微信的“刷卡”,我认为都是相对安全的。相对安全的意思在于,技术层没有办法保障客户端平台或者服务端一定不出什么0Day,用户自身也没办法保障自己的信息一定不被泄露,密码一定没人能破,社会工程学的玩法是千变万化的。想想最近的iCloud事件,想想不久前CSDN密码泄露事件。但从产品层面,这种支付技术和形式已经将风险从一开始限定到了一个较小的范围内。譬如说支付宝的小额免密,一刷就支付了,不安全吗?不安全,但额度就这么大,损失的范围已经限定得很小,那我认为便是可以接受的。微信做移动支付,一开始推出和银行卡一样的六位密码,不安全吧?和支付宝那么长的密码相比,肯定是不安全的,但细想一下银行不也一直就六位密码吗?这个风险的范围,其实也被限定到一个较小的范围,只是这个范围是由银行验证过罢了。另一个方面,支付宝的付款码,微信的“刷卡”,这种模式要求商家端都是接受认证的或者签约的,也就锁死了资金流动的范围,这又进一步限定了风险的范围。最后,至于各家进一步的风控机制,也从制度和服务层面,把用户的风险控制到了一个更小范围内。这里就不展开了。PS:用付款码吃了很久的早餐,相信我,这种模式的方便程度,会让你忘记安全不安全这码事情。
谢邀。扫码支付国外用了很多年了,大问题是没有的。安全问题多是环境被入侵、密码被破、应用程序自身漏洞等等,其实都是常见的安全问题。一般来说,最好不要root,不要从来历不明的地方下载应用(前几天小米都被爆其应用商店上一些软件体积和官方不一样),还有,尽量不要丢手机…
题主问″够不够安全",这个要看怎么来定义“安全”,如下:1.二维码支付技术是否安全2.支付终端(尤其是手机)等硬件是否安全3.主导的支付机构是否靠谱?主要是涉及用户体验等4.用户本身的自我风险把控意识目前市场参与各方主要是布局阶段,培育市场,培养用户消费习惯,包括不断试错和纠正。所以现阶段重点不是安全,而是更强调方便快捷等用户体验。要我说,现阶段移动手机本身就不是安全系数很高的支付产品载体,绝大多数的用户也不是自我风险管理意识很强所以不要谈安全和风险,现有市场份额都没多少谈安全没意义。
只听说过存银行的钱没了。
我就想说,你自己带个钱包出门不也可能掉了不是?
谢谢邀请。虽然我不是做支付这块的,但很明显问这个问题缺乏基本的常识:二维码本身是一个输入方式,这就和手动输入某个网址道理是一样的真正的支付过程仍然是原生的过程,所以二维码支付的风险 = 原生支付的风险而由于原生支付的前提,是ID被认证,而ID认证的前提是得登记身份证(财付通,支付宝均需要),所以有法律效力。退一万步讲,支付宝和微信支付(财付通)都有银行流水,真要付错,从银行系统或者支付宝/财付通中得流水号也有追回的途径
微信付款安全度简直不能看,经过简训,小学生都可以掌握微信支付的盗窃技巧!以下就是当事人全部受害经过———————————————————————————————————————————13日晚,李先生在回家途中突然发现工行信息提示,您消费xx元,时间xx。顿时天昏地暗晕头转向,经过多方查证,最终锁定犯罪嫌疑人俩名。嫌疑人目前已基本交代整个作案过程,哥已派出一个专门工作组负责该案的审讯和取证工作。嫌疑人李某13日晚,犯罪嫌疑人李某伙同王某,以吃冰激凌为由,蒙骗其善良的表舅。据了解,13日13时50分左右嫌疑人李某用【搂脖法:卖萌技巧的一种】和【观察法:站在别人的身后看着他输入密码。成功率73% 】成功偷窥到其表舅微信支付密码,成功获取6位密码后王某以打游戏为由骗得表舅手机,成功团购了俩份游乐园套票。其心计之深沉,犯罪手法之高明,情节之恶劣,套票之昂贵【关键点】,当事人表示 没什么可说的了。另据了解,嫌疑人年龄最小的9岁,最大的仅11岁。昨日,表舅在现场看到犯罪嫌疑人正在遭受暴打。夏小知工作社记者为您报道!———————————————————————————————————————————
当初美国人发明信用卡的时候,也一堆人觉得不安全,照样挡不住其势如破竹的发展
没密码根本不敢用,至少每次付款你给个手势验证啊,太尼玛危险了
泻药安全不安全老百姓和腾讯说了不算,第三方支付公司某种支付方式是否安全要央行支付结算司等机构判断。今年3月份爆发的二维码风波,腾讯阿里的主动式扫码方案被叫停,一个主要原因是二维码不是用户自己生成的,用户主动扫外来的二维码有被植入木马的风险。今年8月以后,银联、邮储、阿里、腾讯等展示的二维码扫码方案,都是被动式扫码。二维码的生成是用户的设备自己生成的,被植入木马的风险相对较低,就算出岔子,责任也好大部分推到用户身上,目前监管部门对此睁一只眼闭一只眼。当然二维码等都是支付解决方案,真正容易出岔子的是绑定微信支付时候的账户实名验证(使用他人手机号、身份证、卡号绑卡)以及交易数据传输被截取,或者刷卡规则的漏洞被钻(比如年初波及支付全行业的预授权套现风波),客户与商户合谋,使用虚假交易信用卡套现,这些个顽疾,腾讯一家是解决不了的。
位于的不安全来之监管部门觉得他们看不懂搞不明白觉得这个不安全
谢邀!上海的便利店试用过几次,支付宝钱包出示付款二维码,商家一扫钱就刷走,连个验证码都没有。锁屏密码又是一阵哆嗦,丢手机很恐慌。但是就算有验证码还是本手机也没意义,一时间似乎无更优解。
那就是说,你捡到一部手机,如果他的支付宝是默认了密码且没有加密的话,你就可以打开他,然后去商店让店员扫码支付,你甚至不用知道他的支付密码。这里就少了一道关,对不对,那些支付密码手机验证码如同虚设…当然,还得你支付宝有余额。其实说真的,有快捷的同时肯定有这或者那的问题,有隐患的同时肯定有方便。主要是看你怎么使用了…
邀。关于支付宝/微信刷卡支付(以下简称刷卡支付)的安全问题,从以下几个方面讨论以下。刷卡支付没有安全与不安全之分,只有安全程度之分,或者换句话说,只有风险的高低之分。任何支付都不是100%安全的,可以说任何支付方式都是有风险的,只有风险的高低之分,我们所说的安全其实是希望风险比较低的一种支付方式,或者是要做到不安全需要很高的成本才可以破解的支付方式。所以我们首先要在安全的定义上达成一致。与之前被叫停的二维码支付比较之前的二维码支付对于用户来说,是一种主动的支付,用户通过商家(或个人)提供二维码扫描以完成支付,那么在这个过程中,对于二维码的生成用户是没有能力干预或者辨别的,这样机制对于一些别有居心的人就可以方便的植入木马,那么这种支付方式确实存在了很大的安全隐患,而且别有用心的人生成植入木马的二维码几乎没有成本。对比现在的刷卡支付的方式,可以理解为一种被动的支付方式,二维码(或条码)是有用户自己生成,由商家扫描用户的二维码(或条码)以完成支付。这样的一个改动,使整个支付的可控性提高了很多。二维码(或条码)由用户自己生成,每个一段时间刷新,这在源头上控制了二维码(或条码)的生成,大大提高了安全性;商家(或个人)需要有扫码的设备才可以完成扫码,而这些设备是由支付宝/微信提供的,这个环节也增加了安全性;即使用户的手机被挂马或者扫码的设备出了问题,这是需要投入很大的成本才能实现的,从成本上来说,安全性也更加的高。与其他的线下支付的方式比较目前主流的线下支付方式:现金或者线下刷卡。现金这个不用说了,目前还是应用最广泛的支付方式,这种方式最大得隐患是假币和丢失/被盗/抢劫,咱们就不展开说了。线下刷卡(线下刷信用卡或借记卡,区别于我们说的刷卡支付),目前也是一种便捷的线下支付方式,风险在于盗刷。刷卡支付的过程:消费者通过自己的手机App(支付宝/微信)生成付款的二维码/条形码,商家通过扫码设备扫描消费者生成的二维码/条形码,然后生成一个“安全的”交易链接,通过这个链接,消费者完成支付。在整个的交易环节,涉及到了第三方支付、消费者、商家、银行,涉及到了终端设备、网络、服务器的数据交互。那么对于线下的现金或线下刷卡来说,多了交易者(第三方支付)、多了终端设备(手机及App、扫码设备),从安全性上来说,每多一个交易环节的参与者,每多一个设备,风险性肯定是增大的。所以从这个层面来说,刷卡支付比现金或者线下刷卡的风险更高一些。但是,这并不能说明刷卡支付是不安全的,只是相对来说,风险更高一些,但并没有高到不能使用这种支付方式的地步。与其他的在线支付方式比较目前主流在的在线支付方式:网上银行、快捷支付、基于第三方的账户支付。这三种方式的特点:所以交易的链接都是由银行或者第三方支付提供的,可控性高。(假链接或者木马咱们就不讨论了)会有辅助的安全措施,如:短信验证、U盾、数字证书等,提高了安全性。明确的服务提供者,如支付宝、财付通、银联,在交易的过程中如果出现异常,你都可以方便的找到投诉渠道进行申诉。基于以上三点,刷卡支付也具备以上的三个特征,但是交易环节的终端设备不同,交易设备也更多,如果抛开更多的终端设备来说,个人意见是,刷卡支付与其他的在线支付方式从安全角度来说是一致的,风险也是一样的。综上,我们现在应该可以确定的是,这种刷卡支付的方式与其他的在线支付方式并无本质的不同,或者可以称为一种微创新,在安全性上也基本是一致的。如果你能接受在线支付的方式,不妨也接受这种刷卡支付的方式。
谢谢邀请。昨晚竟然把草稿发出去了......
支付类的安全主要是两个方面:技术手段的安全性;业务流程的安全性。目前看,微信新的扫码支付安全性,相当于刷一个小额无密信用卡的安全级别。一、技术上的安全性
本身二维码只是一段索引信息,真正的数据在生成二维码系统的后台,所以二维码本身是安全的。二维码的风险主要体现在两个方面:
1、二维码生成者不安全。即钓鱼风险,这也是传统二维码模式最大的风险点,也是”技术无法规避的风险“。欺骗者生成一个二维码,通过种种手段骗你去扫,扫完后欺骗你做一笔支付。这类风险主要发生在主扫式,即商户生成订单,客户扫描订单二维码。
2、二维码被复制。二维码被复制的成本非常低,但复制能够产生的收益也极低。这类风险主要发生在被扫式,即客户生成二维码,商户扫描。
其他如被劫持替换等,都和以往的WEB安全没有本质区别。
这次微信相当于生成一张实体卡的“影子”,如果在1分钟内,二维码被其他人复制使用,理论上是有风险的,但我估计生成时加入了时间戳+机器设备标识,所以微信通过时间+单点登录+设备识别解决了这个问题。
也就是说,哪怕我可以仿制出所有卡片的信息,但如果我没办法在同样的设备上,在被访者没有登录的情况下使用,也是没有意义的。
二、业务流程的安全性
这个就非常复杂了。现在的支付风险也主要体现于此。简单的跨站、SQL注入经过扫描和渗透测试都可被发现,但业务流程风险就全靠人琢磨了。客户的安全
和二维码支付相关的业务流程有:
1、微信支付的开通;需要验证身份证,手机号,如果是信用卡则要验有效期等,必须和银行预留的一致;如果你的卡相关信息在银行预留的没有问题,手机号不是别人的(我不理解很多人在银行留别人手机号这么危险的行为)等,就保证了开通的安全,当然如果有人知道你的全部信息这个就没安全性可言了。
2、支付时的安全:第一次需要输入微信支付密码,以后每次重登录后需要输入微信支付密码,允许在其他机器登出。微信这次的做法很聪明:客户生成二维码,也就是实体卡的“影子”,商户借助微信POS扫描二维码;信息合法性和双方的身份认证都由微信的后台系统来保证,基本规避了业务流程安全。他的安全手段主要依靠“微信密码+微信支付密码”,当你更换设备或者不更换但重登录后,都会要求重新验证“微信密码+微信支付密码”,所以这两个不丢,就基本保证了客户的安全。
当然如果手机丢了,没有及时登出微信;或者微信被盗号,被人破解了微信登录密码+支付密码,也会有风险;但此类风险就和你丢失了一张无密信用卡,没有及时向银行挂失是一样的。况且,额度和交易次数限制的极低(10笔,300元)。
而商户端的安全如何保证呢?商户也会被骗刷。但被骗刷在微信里几乎很难行的通。因为必须在微信后台找到对应的实体卡,所以即使破解了二维码生成算法,生成一张可以刷过的二维码,在后台也是一样要找到对应的实体卡才可以,所以意义不大。
而配套的后台风控:如可疑交易筛查,可疑用户筛查,可疑商户筛查等等,以及投保,都保证了风险发生后,把风险损失降到最低。
所以说,有风险,但风险是完全可接受的。 但一旦未来微信添加一些其他业务,大概就要重新考虑了。
安全是顿,hacker是茅,安全没有绝对的,相比现金,支付宝和微信更安全本人亲身经历售货机扫支付宝二维码,扣了钱不出货的情况虽然没了解过支付宝和微信支付安全细节,但这种级别公司的技术上来说都比较成熟,被突破概率较低,更多的是行为习惯上被窃取,如熟人偷了你的手机随着手机加入指纹锁,移动支付会变得更简洁也更安全,现金以后兜里可能都不需要揣着百元大钞了
个人理解:二维码几乎约等于银行卡,所谓二维码安全问题,其实是因为支付机构动了银行的奶酪。二维码支付技术安全很容易解决。
