(电子商务研究中心讯) 近日,360安全中心检测发现,招商银行、建设银行、工商银行、浦发银行等多款银行类应用被恶意木马篡改,这绝对算得上网购支付中最严重的安全威胁了。用户手机一旦被感染,并在不知情下输入银行卡账户、密码后,网银支付密码等信息很可能因此泄露,导致银行账户被洗劫一空。很多消费者闻之色变。在360等论坛里,不乏消费者哭诉自己支付时被骗的经历。骗子手段如此狡猾老辣
类型1
银行卡支付
[案例] ATM机旁的“调包术”
前几天,南开区的何女士在家门口的ATM机上存钱,正准备退卡的时候,突然被人猛地拍了一下肩,回头一看,两个男子站在她身后,其中一个气急败坏地说:“你能快点吗?我们都等半天了!”何女士心想,这人怎么这么没素质呢,但考虑到多一事不如少一事,决定还是算了。回过头来,何女士看到银行卡已经从ATM机上的插卡口中出来了一截,也没多想,她取卡就离开了。走着走着,何女士不经意回头张望,看到刚才那两个男子拐到了一个路口的隐蔽处。何女士顿时觉得事有蹊跷,快步走到离家不远的另一个ATM机处查询自己银行卡的余额,发现卡已被调包了!
[提醒]避免泄露个人信息或向不明账户转款
1.在ATM机上操作时要随时注意周围情况,如遇有人故意以各种理由靠近,或制造事端分散自己的注意力时,应要求其与自己保持一定的距离,在输入密码、刷卡消费等过程中注意用身体遮挡键盘。若中途有被干扰的情况,持卡人在完成所有操作环节后,应仔细核对取回的银行卡,确认没有被人趁机掉包。
2.通过自助银行门禁系统时不要输入密码。进入自助银行服务区有时需要在自动门上刷卡开门,但不需要密码。持卡人如遇要求输入密码方可进入时,应及时报警。
3.牢记银行通过网点、网站、媒体、ATM机屏幕等正常渠道公布的统一客户服务电话,一旦有吞钞、吞卡等不正常事件发生,不要急于离开自助设备,也不要轻易相信来历不明的电话号码,而应拨打设备所属银行统一客户服务电话寻求帮助。
4.任何情况下,银行职员、银行监管人员或警方都不会要求持卡人提供银行卡密码或向来历不明的账户转款,如遇此类要求,首先应怀疑其身份的真实性,并及时通过正规渠道报警。
5.凡是发现ATM机外壳和电子显示屏上没有银行名称及银行标识的,使用过程中出现可疑迹象的ATM机具,应立即拨打相关银行客户服务电话进行确认,必要时立即向公安机关报警。
6.尽量开通账户变动短信提醒服务,第一时间了解自己账户金额变动情况。一旦怀疑自己的银行卡信息或资金被盗用,应立刻联系发卡银行查询账户余额、办理止付或将卡内资金转移到属于自己的其他账户中。要保管好自己的身份证,如果为办理某项业务需要留下身份证复印件,最好在复印件上注明用途,如“仅用于招聘”等字样。
[主要风险点]
克隆卡
不法分子将信息采集器安装在ATM机上,盗取用户信息,只需要知道持卡人姓名、身份证号码、账号等信息就可以克隆出一张完全相同的信用卡或银行卡。
证件滥用
身份证明材料也可以成为信用卡办理业务的凭证,比如变更业务通知电话等,如果遗失容易产生安全隐患。
密码丢失
用户将信用卡密码设置为简单的“123456”或“888888”,一旦银行卡被人盗取就会轻易破解。而将密码设置为生日、电话号码、门牌号等也并非万全之策,如果盗卡者同时窃取了用户的个人信息,就可以破解密码。
类型2
移动支付
[案例]免费WiFi+自动登录惹的祸
4月1日愚人节那天,本市西青区某印务公司员工单鹏和几个老同学相约聚会,来到事先说好的咖啡馆,看到时间尚早,单鹏习惯性地掏出手机查看是否有免费的WiFi信号。果然没令他失望,没有密码,单鹏随即欣喜地刷起了微博,还通过一家购物网站的手机客户端购买了一双新款运动鞋。然而几天之后,正在上班的他突然收到一条手机提示信息,说他的账户在上次购鞋的网站刚刚消费了1500元钱。这怎么可能?单鹏又登录到那个购物网站查询,也没有任何刚才消费的记录。难道钱就这么“不着痕迹”地没了?
一位技术人员告诉单鹏,这背后的秘密来自彼时彼刻那诱人的免费WiFi。原来,一些供手机用户登录的免费WiFi其实是不法分子事先准备好的作案平台,用户一旦登录,不法分子就可以通过网络入侵用户的手机盗取信息,尤其是一些用户的手机里设置了自动登录的手机银行账号、购物网站账号、在线支付账号等,无疑成了不法分子眼中的一大块“肥肉”。
[提醒]选择正规渠道进行下载
1.在使用任何应用时,需加强警惕,仔细判断使用中的收费提示,对于应用的协议以及所要求权限要仔细确认。
2.应选择正规渠道进行下载,防止某些明里冠以“免费版”、“汉化版”等名目实则暗含恶意插件和代码的应用进行暗扣。
3.用户应该加强安全意识,选择一些可靠的手机安全软件对下载后的应用进行检测。
4.如果出现不明原因的扣费现象,应该及时与支付渠道和运营商取得联系,通过沟通、投诉乃至法律手段维系自己的权益。
[主要风险点]
手机远程支付类似于网络支付。消费者在购买电商平台上的商品或服务时,登录手机银行网页或者下载登录手机银行客户端,按提示输入账号密码等相关信息,就能进行支付操作。系统平台的开放性为支付安全带来潜在的威胁。
不排除支付渠道或是应用软件本身可能有漏洞出现。
某些应用的协议很长,收费部分很可能放在协议最后,用户容易忽略。还有一些应用会要求一些高危且不必要的权限,普通用户往往不会注意这些,造成无意中的损失。
收费提示的表述和表现形式比较模糊,用户容易在不知情的情况下误点。
某些非正规渠道提供的应用中可能包含恶意插件,这些插件会屏蔽收费服务的确认短信,或是获取root权限后悄悄联网上传用户信息。
类型3
网络支付
[案例]手机验证码泄天机
师大三年级女生王晓喜欢网购服装。3月22日周五的下午,她像往常一样“逛”起了淘宝网,看中一件荧光色的衬衫,不仅样式新颖,39元的价格也让她心中窃喜。王晓随即用网银拍下,过了一会儿,卖家告诉小王店里搞活动,只要再支付1元钱就可以得到一条精美的项链,但这个操作必须要和另一位卖家、QQ名为老陈的人联系。小王觉得1元换购可真值,再说就算损失,也不过1元钱而已。联系后,老陈通过QQ给小王发了一个链接地址,小王打开链接填完卡号后,页面却出现了问题,老陈表示要帮助小王操作。过了一会儿,小王收到了一则手机验证码,在老陈“善意”的问询下,小王没加思索就告诉了他。小王随后收到的短信提示让她如梦方醒她的卡居然一下子支出了800多元钱。本以为占了便宜,结果却陷入了圈套。
在专家的帮助下,小王才明白,原来不法分子以快捷支付的方式划走了卡上的资金。一开始卖家发给小王的链接其实就是事先准备好的钓鱼网站,小王输入信息后,账户就已经被盗了。同时,快捷支付需要手机验证码,小王却忽略了它保护账户安全的重要性,轻易透露给别人,而这也是骗子得手的最关键一步。
[主要风险点]
病毒入侵
刘女士在网上购物时,发现自己已经付款,但店主却没有收到货款。原来她的电脑中了交易劫持木马。这种木马通过劫持篡改网购订单,强行将刘女士在线购物的款项转到自己的账户。近年来,伴随着互联网的发展,病毒不再单纯地以破坏用户系统、炫耀技术为目的,而更多的是来赚取钱财。木马作为计算机病毒集团的主要工具,是黑客实现经济利益的最直接手段。支付宝安全专家观察,支付宝用户网络支付过程中最常见的风险类型就是木马钓鱼,占36.4%。
钓鱼网站
钓鱼网站一般伪装成正常网站、电子银行或者商务的网站。如果用户贸然进入陌生网站,则有被他人植入木马程序的可能。在这种情况下通过银行卡向对方支付,不法分子可以窃取你的银行账号、密码等个人信息。有些骗子要求不通过支付宝等第三方支付,而是通过银行卡支付,目的就是窃取信息。还有的骗子要求利用其他聊天工具聊天,不利用网站提供的聊天工具聊天,目的就是防止留下证据。360公司近日发布的报告指出,消费者受钓鱼网站侵害的比例占所有网购欺诈类型的50%以上。其中,游戏币、手机话费、Q币充值等虚拟商品交易已经成为网购欺诈重灾区。
留意
停用号码
停用手机号被运营商二次放号后,用旧号码注册过的支付平台千万不要忘记修改。否则,号码新主人可以利用手机号码的找回密码功能,查询或者盗用旧主人的网购账号。
[提醒]为支付账户设定高安全级别密码
对于目前大部分的网络支付安全隐患,用户其实都可以通过有效的方式防范避免。知名第三方支付机构支付宝的安全专家子玄建议用户在网上支付的过程中,为自己的网上支付账户设定特别的高安全级别的密码,最好还要通过支付平台的实名认证措施,并使用数字证书、手机动态密码等安全产品。
针对比较常见的网络支付骗局,子玄还特别强调:
1.验证号码切莫泄露,支付客服不会索要。不接受陌生文件,不同网站用户名与密码做区分,网络密码不放在电脑内,最好使用同一台电脑进行网络支付;一定不要随便点击卖家提供的链接,特别是链接中的支付系统。正规的第三方支付平台工作人员以及有诚信的卖家在联系您时,是不会索要您的账户密码信息的。当对方试图询问密码、手机校验码等信息时,您要提高警惕,千万不要透露。
2.登录的手机号如果不使用,要及时修改防盗贼。同时,建议客户开通快捷支付,支付宝等第三方平台对于快捷支付提供了72小时先行补偿的保障,如因账户被盗,被使用了快捷支付发生资金损失,可以获得补偿。
3.账户“裸奔”要不得,安全工具需装备。安装能够提升账户安全等级的数字证书、支付盾、宝令等安全产品之后,即使密码被盗,盗用者在没有证书、支付盾或宝令的情况下也无法操作资金,用户从而避免了资金损失。(来源:《天津日报》 文/岳付玉 刘畅 胡萌伟)
