互联网为人们提供的便利服务越来越多,如今移动互联网的发展趋势依然非常迅猛,以前我们通过一部电脑可以很快速地完成很多事情,如今大多数人通过一部智能手机就可以完成手机缴费、线下购物、预约出租车等服务,可以说移动互联网已经覆盖人们的衣食住行。
可是任何一个行业在发展过程中总会出现大大小小的BUG,之前阿里巴巴曾号称没有黑客能攻击支付宝的安全体系,但最近有媒体爆料一种新的攻击手段:瞬间克隆你的支付宝账户,然后可以完成线下扫码支付。
羽度非凡之前看到一些网友评论这是谣言,但其实这种技术确实可以实现,不过这种技术也不难防范,你只需要做到3点就可以完全杜绝这种情况的发生。既然要找出解决方法,那么我们就要分析这种攻击手段有什么弊端,利用攻击手段的弊端找出应对的解决方案就很容易了。
首先我们还原整个攻击手段的过程,攻击者首先向被攻击者发送一条带有网址链接的短信,当被攻击者点击短信中的网址链接后,会显示一个抢红包的页面,与此同时攻击者一方的智能手机就已经显示被攻击者支付宝账户的页面信息,而后攻击者可以通过线下购物的“扫码支付”等方式完成支付。
整个过程中共有2个弊端,首先是被攻击者必须打开短信中的网址链接才会被克隆支付宝账户,不过羽度非凡在之前的文章中曾经介绍过,各大银行官方并不会在短信中提供任何网址链接,如果你的收到带有网址链接的银行短信,那么只有两种可能:一种是银行工作人员推广信用卡办理等业务,另一种是伪基站假冒银行发送的钓鱼短信。排除银行的短信之后,其他各种企业公司的短信中如果包含网址链接,大多都是推广业务的广告信息,因此短信中的网址链接我们根本没有必要去点击打开。
第二点是攻击者在克隆支付宝账户之后,只能使用付款码进行支付,因为他并没有获得你的支付密码,而攻击者之所以能够使用付款码完成支付,完全是因为一些人为了省事,开通了小额免密支付的功能,由于受到这次攻击事件的影响,目前支付宝已经不再提供新开启小额免密支付的服务,其他支付工具如微信支付、新浪钱包、滴滴出行等APP也已经找不到免密支付的设置窗口。
关闭支付宝免密支付的方法:依次打开支付宝APP→我→设置→支付设置→免密支付/自动扣款,在这里目前只能调整“付款码、声波免密支付”和“乘车码免密支付”两项功能。
不过虽然攻击者可以克隆支付宝账户,但其实只是获得了一个支付宝账户的外壳,例如支付密码的信息攻击者是没能获取的,由于支付宝的登录密码并不是明文密码,因此即便攻击者获取到支付宝的登录密码,想要从加密密码破解为明文密码也是需要几十年,甚至上百年时间的。
最后需要提醒的是,为了保证账户安全,手机APP一定要更新到最新的版本,因为任何一家负责人的APP商家都会在第一时间弥补自家产品的BUG。
