|
||||
近日,360安全中心檢測發現,招商銀行、建設銀行、工商銀行、浦發銀行等多款銀行類應用被惡意木馬篡改,這絕對算得上網購支付中最嚴重的安全威脅了。用戶手機一旦被感染,並在不知情下輸入銀行卡賬戶、密碼後,網銀支付密碼等信息很可能因此泄露,導致銀行賬戶被洗劫一空。很多消費者聞之色變。在360等論壇裡,不乏消費者哭訴自己支付時被騙的經歷。騙子手段如此狡猾老辣——
類型1
銀行卡支付
[案例] ATM機旁的『調包術』
前幾天,南開區的何女士在家門口的ATM機上存錢,正准備退卡的時候,突然被人猛地拍了一下肩,回頭一看,兩個男子站在她身後,其中一個氣急敗壞地說:『你能快點嗎?我們都等半天了!』何女士心想,這人怎麼這麼沒素質呢,但考慮到多一事不如少一事,決定還是算了。回過頭來,何女士看到銀行卡已經從ATM機上的插卡口中出來了一截,也沒多想,她取卡就離開了。走著走著,何女士不經意回頭張望,看到剛纔那兩個男子拐到了一個路口的隱蔽處。何女士頓時覺得事有蹊蹺,快步走到離家不遠的另一個ATM機處查詢自己銀行卡的餘額,發現卡已被調包了!
[提醒]避免泄露個人信息或向不明賬戶轉款
1.在ATM機上操作時要隨時注意周圍情況,如遇有人故意以各種理由靠近,或制造事端分散自己的注意力時,應要求其與自己保持一定的距離,在輸入密碼、刷卡消費等過程中注意用身體遮擋鍵盤。若中途有被乾擾的情況,持卡人在完成所有操作環節後,應仔細核對取回的銀行卡,確認沒有被人趁機掉包。
2.通過自助銀行門禁系統時不要輸入密碼。進入自助銀行服務區有時需要在自動門上刷卡開門,但不需要密碼。持卡人如遇要求輸入密碼方可進入時,應及時報警。
3.牢記銀行通過網點、網站、媒體、ATM機屏幕等正常渠道公布的統一客戶服務電話,一旦有吞鈔、吞卡等不正常事件發生,不要急於離開自助設備,也不要輕易相信來歷不明的電話號碼,而應撥打設備所屬銀行統一客戶服務電話尋求幫助。
4.任何情況下,銀行職員、銀行監管人員或警方都不會要求持卡人提供銀行卡密碼或向來歷不明的賬戶轉款,如遇此類要求,首先應懷疑其身份的真實性,並及時通過正規渠道報警。
5.凡是發現ATM機外殼和電子顯示屏上沒有銀行名稱及銀行標識的,使用過程中出現可疑跡象的ATM機具,應立即撥打相關銀行客戶服務電話進行確認,必要時立即向公安機關報警。
6.盡量開通賬戶變動短信提醒服務,第一時間了解自己賬戶金額變動情況。一旦懷疑自己的銀行卡信息或資金被盜用,應立刻聯系發卡銀行查詢賬戶餘額、辦理止付或將卡內資金轉移到屬於自己的其他賬戶中。要保管好自己的身份證,如果為辦理某項業務需要留下身份證復印件,最好在復印件上注明用途,如『僅用於招聘』等字樣。
[主要風險點]
●克隆卡
不法分子將信息采集器安裝在ATM機上,盜取用戶信息,只需要知道持卡人姓名、身份證號碼、賬號等信息就可以克隆出一張完全相同的信用卡或銀行卡。
●證件濫用
身份證明材料也可以成為信用卡辦理業務的憑證,比如變更業務通知電話等,如果遺失容易產生安全隱患。
●密碼丟失
用戶將信用卡密碼設置為簡單的『123456』或『888888』,一旦銀行卡被人盜取就會輕易破解。而將密碼設置為生日、電話號碼、門牌號等也並非萬全之策,如果盜卡者同時竊取了用戶的個人信息,就可以破解密碼。
類型2
移動支付
[案例]免費WiFi+自動登錄惹的禍
4月1日愚人節那天,本市西青區某印務公司員工單鵬和幾個老同學相約聚會,來到事先說好的咖啡館,看到時間尚早,單鵬習慣性地掏出手機查看是否有免費的WiFi信號。果然沒令他失望,沒有密碼,單鵬隨即欣喜地刷起了微博,還通過一家購物網站的手機客戶端購買了一雙新款運動鞋。然而幾天之後,正在上班的他突然收到一條手機提示信息,說他的賬戶在上次購鞋的網站剛剛消費了1500元錢。這怎麼可能?單鵬又登錄到那個購物網站查詢,也沒有任何剛纔消費的記錄。難道錢就這麼『不著痕跡』地沒了?
一位技術人員告訴單鵬,這背後的秘密來自彼時彼刻那誘人的免費WiFi。原來,一些供手機用戶登錄的免費WiFi其實是不法分子事先准備好的作案平臺,用戶一旦登錄,不法分子就可以通過網絡入侵用戶的手機盜取信息,尤其是一些用戶的手機裡設置了自動登錄的手機銀行賬號、購物網站賬號、在線支付賬號等,無疑成了不法分子眼中的一大塊『肥肉』。
[提醒]選擇正規渠道進行下載
1.在使用任何應用時,需加強警惕,仔細判斷使用中的收費提示,對於應用的協議以及所要求權限要仔細確認。
2.應選擇正規渠道進行下載,防止某些明裡冠以『免費版』 、『漢化版』等名目實則暗含惡意插件和代碼的應用進行暗扣。
3.用戶應該加強安全意識,選擇一些可靠的手機安全軟件對下載後的應用進行檢測。
4.如果出現不明原因的扣費現象,應該及時與支付渠道和運營商取得聯系,通過溝通、投訴乃至法律手段維系自己的權益。
[主要風險點]
●手機遠程支付類似於網絡支付。消費者在購買電商平臺上的商品或服務時,登錄手機銀行網頁或者下載登錄手機銀行客戶端,按提示輸入賬號密碼等相關信息,就能進行支付操作。系統平臺的開放性為支付安全帶來潛在的威脅。
●不排除支付渠道或是應用軟件本身可能有漏洞出現。
●某些應用的協議很長,收費部分很可能放在協議最後,用戶容易忽略。還有一些應用會要求一些高危且不必要的權限,普通用戶往往不會注意這些,造成無意中的損失。
●收費提示的表述和表現形式比較模糊,用戶容易在不知情的情況下誤點。
●某些非正規渠道提供的應用中可能包含惡意插件,這些插件會屏蔽收費服務的確認短信,或是獲取root權限後悄悄聯網上傳用戶信息。
類型3
網絡支付
[案例]手機驗證碼泄天機
師大三年級女生王曉喜歡網購服裝。3月22日周五的下午,她像往常一樣『逛』起了淘寶網,看中一件熒光色的襯衫,不僅樣式新穎,39元的價格也讓她心中竊喜。王曉隨即用網銀拍下,過了一會兒,賣家告訴小王店裡搞活動,只要再支付1元錢就可以得到一條精美的項鏈,但這個操作必須要和另一位賣家、QQ名為老陳的人聯系。小王覺得1元換購可真值,再說就算損失,也不過1元錢而已。聯系後,老陳通過QQ給小王發了一個鏈接地址,小王打開鏈接填完卡號後,頁面卻出現了問題,老陳表示要幫助小王操作。過了一會兒,小王收到了一則手機驗證碼,在老陳『善意』的問詢下,小王沒加思索就告訴了他。小王隨後收到的短信提示讓她如夢方醒——她的卡居然一下子支出了800多元錢。本以為佔了便宜,結果卻陷入了圈套。
在專家的幫助下,小王纔明白,原來不法分子以快捷支付的方式劃走了卡上的資金。一開始賣家發給小王的鏈接其實就是事先准備好的釣魚網站,小王輸入信息後,賬戶就已經被盜了。同時,快捷支付需要手機驗證碼,小王卻忽略了它保護賬戶安全的重要性,輕易透露給別人,而這也是騙子得手的最關鍵一步。
[主要風險點]
●病毒入侵
劉女士在網上購物時,發現自己已經付款,但店主卻沒有收到貨款。原來她的電腦中了交易劫持木馬。這種木馬通過劫持篡改網購訂單,強行將劉女士在線購物的款項轉到自己的賬戶。近年來,伴隨著互聯網的發展,病毒不再單純地以破壞用戶系統、炫耀技術為目的,而更多的是來賺取錢財。木馬作為計算機病毒集團的主要工具,是黑客實現經濟利益的最直接手段。支付寶安全專家觀察,支付寶用戶網絡支付過程中最常見的風險類型就是木馬釣魚,佔36.4%。
●釣魚網站
釣魚網站一般偽裝成正常網站、電子銀行或者商務的網站。如果用戶貿然進入陌生網站,則有被他人植入木馬程序的可能。在這種情況下通過銀行卡向對方支付,不法分子可以竊取你的銀行賬號、密碼等個人信息。有些騙子要求不通過支付寶等第三方支付,而是通過銀行卡支付,目的就是竊取信息。還有的騙子要求利用其他聊天工具聊天,不利用網站提供的聊天工具聊天,目的就是防止留下證據。360公司近日發布的報告指出,消費者受釣魚網站侵害的比例佔所有網購欺詐類型的50%以上。其中,游戲幣、手機話費、Q幣充值等虛擬商品交易已經成為網購欺詐重災區。
●留意
停用號碼
停用手機號被運營商二次放號後,用舊號碼注冊過的支付平臺千萬不要忘記修改。否則,號碼新主人可以利用手機號碼的找回密碼功能,查詢或者盜用舊主人的網購賬號。
[提醒]為支付賬戶設定高安全級別密碼
對於目前大部分的網絡支付安全隱患,用戶其實都可以通過有效的方式防范避免。知名第三方支付機構——支付寶的安全專家子玄建議用戶在網上支付的過程中,為自己的網上支付賬戶設定特別的高安全級別的密碼,最好還要通過支付平臺的實名認證措施,並使用數字證書、手機動態密碼等安全產品。
針對比較常見的網絡支付騙局,子玄還特別強調:
1.驗證號碼切莫泄露,支付客服不會索要。不接受陌生文件,不同網站用戶名與密碼做區分,網絡密碼不放在電腦內,最好使用同一臺電腦進行網絡支付;一定不要隨便點擊賣家提供的鏈接,特別是鏈接中的支付系統。正規的第三方支付平臺工作人員以及有誠信的賣家在聯系您時,是不會索要您的賬戶密碼信息的。當對方試圖詢問密碼、手機校驗碼等信息時,您要提高警惕,千萬不要透露。
2.登錄的手機號如果不使用,要及時修改防盜賊。同時,建議客戶開通快捷支付,支付寶等第三方平臺對於快捷支付提供了72小時先行補償的保障,如因賬戶被盜,被使用了快捷支付發生資金損失,可以獲得補償。
3.賬戶『裸奔』要不得,安全工具需裝備。安裝能夠提昇賬戶安全等級的數字證書、支付盾、寶令等安全產品之後,即使密碼被盜,盜用者在沒有證書、支付盾或寶令的情況下也無法操作資金,用戶從而避免了資金損失。
-本報記者岳付玉實習生劉暢胡萌偉本版漫畫王宇繪制