央視曝出真相:手機丟失銀行卡能否被盜刷?
出門打車、買電影票甚至到便利店買包子都可以用手機付款,智能手機在人們日常生活中的功能越來越多樣。不過也有人擔心,如果自己的手機丟了,而這部手機又恰好和相關銀行卡以及支付寶綁定,那么撿到手機的人是不是就可以通過手機驗證碼能查找到銀行卡和支付寶的密碼,從而盜取帳戶上的資金。那么這樣的風險究竟有多大?手機用戶該如何防范?央視財經《經濟半小時》的記者就此展開了調查。
點開新浪、網易等各大門戶網站的論壇,這篇題目叫“驚悚實驗:支付寶關聯了銀行卡如果手機丟了會發生什么”的網帖隨處可見,對于手機丟失后,移動端的資金安全,這篇文章是這樣描述的:只要按網帖提示操作,很容易就能破解支付寶帳號和密碼,甚至能輕松把支付寶上的金額轉到任意卡上。記者注意到,一些網友在跟帖中表達了這樣的擔心:手機開通支付功能目前確實極不安全,按照網貼提示操作確實可以為所欲為等等,但也有網友表示實驗并不成立。盡管討論得極為熱烈,但記者觀察到,對于手機支付的安全問題,網絡上的言論都集中在了猜測和懷疑上,對于具體手機資金被盜竊的案例,記者翻閱了多篇網頁留言,也通過專業的搜索方式,始終沒有找到。網上在熱炒手機支付安全的話題,現實生活中的消費者,是不是也在討論這個話題呢?2月24日,記者分別在北京的西單、公主墳等商業區進行了街頭調查。
記者隨機采訪的22人中,有20人表示了解移動支付,有14人表示正在使用移動支付。但這些消費者基本都是青年,中年的消費者,記者隨機詢問的老年消費者,基本都表示不了解手機支付的方式,有的甚至根本都沒有聽說過手機支付這個名詞,而在對年輕消費者的采訪中,更多年輕的消費者不僅是在使用手機支付方式,更多的甚至把手機支付視作一種時髦的生活方式在對待。
移動支付業務最早出現于上世紀90年代初的美國,隨著在韓國和日本出現迅速發展,我國移動支付最早出現在1999年,但在2009年中國三大電信運營商大力上馬3G后,移動支付才進入了飛速發展期, 2011年5月18日,中國人民銀行向支付寶等27家機構下發“非金融機構支付業務許可”,首批牌照發放讓移動支付迅猛發展,支付寶迅速成為全球用戶數最多支付平臺。 2013年7月,中國人民銀行發放第七批第三方支付牌照,總計牌照發放達到250張,移動支付進入爆發式增長。中國人民銀行數據顯示,在中國,2009年手機支付交易規模達到19.74億元人民幣,同比增長202%, 到了2013年,共發生電子支付業務257.83億筆,金額1075.16萬億元人民幣,同比分別增長27.4%和29.46%。
網絡上關于手機丟失與移動支付端資金竊取的討論
手機丟失你的錢也會不翼而飛嗎?
對于手機丟失后會發生什么,手機丟失后我們到底該怎么辦,許多手機用戶都心里沒底,那么專業機構和相關部門又是如何看待這種擔心的呢?
在記者查閱的這篇 “支付寶關聯了銀行卡 如果手機丟了會發生什么”的網帖中,作者對于手機支付的安全,始終在進行著含混的描述,文章中描述,在拿到其他人的手機后,只需簡單操作,任何人都有可能破解支付寶密碼,盜空支付寶賬戶。對于作者說的簡單操作,在文章里設計了多項前提條件,而在跟貼中,也有網友稱,在按照網貼所說模擬操作后,確實能夠破解手機的某些功能。那么,手機丟失后,按照文章說的這些方法,是不是就能順利的把手機支付軟件里的資金盜取出來呢?記者找到了國內最為專業的網絡安全公司。
與研究員一起做移動支付是否安全的實驗
這個研究員叫申迪,是某公司專職研究移動支付安全的研究員。在兩年前,某公司公司就對手機支付的安全問題,進行了系統性的研究,隨著各種支付手段在手機上的應用,研究人員現在的工作量成倍的增加,每天展開的內部測試實驗很多,對于記者提出的疑問,申迪表示,公司要求一切的安全問題必須要進行實際測試實驗,有真實的測試,才能得出手機支付安全的報告。經公司同意后,申迪開始協助記者進行模擬手機丟失后,手機支付軟件可能發生的各種情況。
微信支付安全測試
申迪:不需要任何手段,只要你拿到手機,并且把開機密碼解鎖解掉了,進入手機之后,你打開微信,是不需要輸入任何密碼的。那么看一下這個銀行卡界面,下一步他就嘗試修改這個密碼。
記者看到,真實的測試中,如果你丟失手機里的微信綁定了銀行卡的話,別人通過登陸你的微信,確實就能夠直接進入你綁定的銀行卡界面,第二步,研究人員開始測試能否對于銀行卡的資金進行轉移。
申迪:就是說他希望把自己的錢,轉換成Q幣,就是虛擬貨幣,這時候就需要輸入它的這個支付密碼才可以,支付密碼是微信獨有的,那他肯定是不知道這個密碼,那這時候輸入就會失敗,然后他就會想辦法去假裝成忘記密碼,然后去修改。
研究人員首先嘗試通過丟失手機上綁定的銀行卡,進行購買虛擬貨幣,但馬上碰到的難題,就是需要輸入交易密碼,這個密碼通過手機能否進行修改呢?
申迪:那么它會提供兩種方式,這兩種方式就是綁定的這兩個銀行卡,它會要求你重新綁定,這樣才能找到密碼。其實這里面需要的信息是非常豐富的,比如說它需要你知道本人銀行卡號,對于攻擊者來說,在通常情況下是不可能知道這個卡號的,所以這個情況下就沒有辦法輸入了。而且下面不僅需要卡號,還需要其它信息,比如說持卡人姓名。然后證件號碼,包括手機號,那可能這個手機號是攻擊者唯一知道的這個信息。
微信修改支付密碼需要的信息
研究人員告訴記者,按照銀行通行的慣例,手機持有者提出修改銀行卡密碼的要求,必須填寫正確的身份證號碼以及銀行的卡號,這對于撿拾手機的人而言通常來說很難實現。但是申迪強調,如果消費者是丟了一個包,你的身份證、銀行卡與手機一起丟失的話,就意味著你綁定在手機上的銀行卡密碼就能夠被修改,綁定的資金在理論上有可能被轉移。但如果沒有這些前提條件,單純的只是丟失了手機,違法人員是無法僅憑一部手機,盜取你銀行資金的。
支付寶支付安全測試
申迪:支付寶一般之前開始的時候,會有這樣的一個解鎖界面,就是它有一個圖形解鎖,但是對于攻擊者來說,肯定不知道這個界面,第一步就要選擇忘記這個手勢密碼。那比如說對于攻擊者來說,肯定就不知道這個界面,所以他選擇忘記手勢密碼,他當然點擊這個時候,就會進入到下一步界面。這時候支付寶就提示重新登錄。然后這個時候,就可以輸入數字類型的密碼了,這個密碼他當然也不知道了。
相比較微信綁定銀行卡的程序,支付寶在一開始登陸的時候,就需要用戶輸入密碼,雖然安全程度和復雜程度更高,但這個密碼是否又能夠被破解呢?
申迪:比如說需要知道帳戶名,你看我們在初始界面的時候,其實這個帳戶名是被隱藏了一部分的,并不是一個完整帳戶名,那么就需要點擊忘記密碼,需要一個完整的用戶名,當然很有可能是一個手機號,所以這一步是可以繞過的,那比如說我現在輸入一個本機的手機號。
研究人員提醒我們,由于在現實操作中,很多消費者將自己的手機號碼設定為賬戶名,因此這次試驗就模擬了這種常見的情況,研究人員在賬戶一欄輸入手機號碼后,然后發送短信獲取手機的驗證碼。
申迪:驗證碼會發到這個手機賬號本身上,當然在撿到這部手機的情況下,就可以把驗證碼拿到了,那么進入下一步。但是下一步還有一個驗證,就是身份證號。需要知道這部手機機主的身份證號,對于這一步來說,就和微信是同一種情況下,就是說這個身份證號還是很難拿到。等于說攻擊者到這一步就沒有辦法了。
環節測試到這里,如果沒有獲得正確的身份證號碼的話,支付寶的登陸密碼也無法進行修改,為了進一步測試,記者假定手機獲得者能夠得到身份證信息,在修改了登陸密碼后,記者成功地登陸了這部手機上的支付寶的界面。賬號里的資金情況開始一清二楚。
申迪:資金帳戶余額沒有,銀行卡里面有三張,然后余額寶里有錢。
央視財經《經濟半小時》記者:余額寶里面有多少錢?
申迪: 有三萬塊錢。
看到了支付寶里有錢,但這樣是否就能夠消費或者轉移這三萬多元錢呢?
申迪:在支付寶做任何操作,只要涉及到金錢轉出、轉入相關的,都會給你這個提示,都會輸入這個支付密碼。找回是需要條件的,這里面提供兩種方式,一種是通過短信,加上這個安保問題,一種就是短信,加上這個你存到的快捷支付的銀行卡的信息,那比如說我們現在選擇第一種。第一種第一步,需要一個短信的驗證碼,這個驗證碼也會發到這個本機手機上,等于這一步就不會有問題了。
在得到驗證碼之后,還要正確填寫一個安保問題,通常這個問題是手機用戶自己個性化設定的,有的手機用戶設計的就是自己媽媽的名字,而類似這樣私密的問題,是撿到手機的人很難找知道,這也就是說修改支付寶密碼的可能性幾乎為零。在這次測試中,支付寶的安全完全有保障,即使手機丟失,別人也無法從這臺手機上盜取資金。
手機網上銀行安全嗎?
找回支付密碼需要回答的有關機主的私密問題
申迪:我們再看一下這個招行銀行,比如說我們從這個應用里打開之后,那么比如說我們現在通過它轉帳。這個時候提示,這個用戶沒用開通轉帳協議,那么它們下面給出的這個說明,就是說如果要開通這個網銀協議,需要你去通過專業版去開通,那就需要一個U盾,然后在PC上去開通,就不能通過手機去開通。
研究人員為了展開測試,繼續假定手機用戶開通了銀行的轉賬協議,這個環節,銀行卡的支付密碼又能否修改呢?
申迪:包括工行和建行,也有類似的操作,就是在這種手機上,是沒有找回密碼這種操作的,沒辦法通過拿到手機就可以找到這個用戶密碼。
通過剛才三次嚴謹的測試,申迪告訴記者,現在手機端的電子銀行絕大多數沒有提供修改密碼的選項,因此,旁人是無法通過撿到的手機攻擊電子銀行的。事實上,某公司在移動支付發軔的初期就意識到,隨著移動電子商務快速興起,用戶的智能手機將會面臨一一個非常巨大的威脅,各種各樣的病毒、木馬和惡意軟件會瞄準用戶手機綁定的資金,針對支付上的漏洞,做各種各樣的小動作,為此研究人員做了常年的跟蹤研究,手機丟失之后究竟會有怎樣的風險,申迪給出了這樣的判斷。
申迪:對于手機丟失來說,其實并不像其它方式去造成那么大的風險,這個風險其實是可控的。只要用戶保護好自己的隱私,特別是像有身份證號、銀行卡號這些東西只要保護好,其實是不會造成這么大的機率去丟失的。那么現在我們其實也沒有發現說,手機丟失會造成這種銀行卡損害的這種案例,所以說這個風險其實是可控的。
專業的互聯網安全公司得出了這樣的結論,為了進一步驗證測試的可靠性,記者又趕到了北京市公安局網絡安全保衛總隊進行求證。
北京市公安局網絡安全保衛總隊四大隊民警史志焱:如果手機單獨的丟失,是對它的移動支付和一些網銀的安全是不會造成什么太大的影響,但是如果手機和錢包一起丟失,里邊包含自己的身份證號,身份證、銀行卡,這樣的話可能對手機、對自己的帳號、資金安全造成非常大的影響。
專家提醒消費者若整個包一起丟失需引起警惕
史志焱告訴央視財經《經濟半小時》記者,北京市公安局網絡安全保衛總隊成立于2011年2月,主要負責互聯網安全管理、打擊涉網犯罪以及重要信息系統保護等工作,也就是通常所說的網絡警察,對移動支付的犯罪形態,北京市公安局網絡安全保衛總隊常年進行著深入的研究,采訪時史志焱告訴記者,盡管嚴密的檢測每天都在進行,但從總隊成立至今,他們還沒有接到一起因為手機丟失而造成的財產損失的案件,他得出了與某公司公司申迪同樣的結論,但他強調,這不意味沒有其他的財產風險,犯罪分子可以利用你的手機,展開其他的犯罪動作。這一點更需要警惕。
史志焱:但是如果手機丟失后可能會延伸出其它的一些問題,比方說手機里的通訊錄,QQ好友,微信好友,他們的信息可能會對獲取你手機的人,可能被惡意盜用,來騙取你親朋好友的一些財產之類的東西。
手機支付面臨木馬、釣魚、詐騙諸多風險 用戶需加強安全意識
進入2012年,國內手機支付市場開始呈現井噴式增長。中國支付清算協會近日發布的《中國網絡支付安全白皮書》顯示,2013年移動支付市場規模預計超過8000億元,達到2012年規模的5倍以上。而與此同時,2013年針對手機的病毒、木馬明顯增多,直接針對手機應用的支付隱患增加,手機相比PC端更安全的看法已經改變。這使得移動安全問題更顯突出,那么,手機一旦丟失之后應該如何處理呢?
手機支付已然成為新時尚
某公司互聯網安全專家萬仁國:你肯定是要有一個先后順序,看這個風險,比如說你的銀行卡里面有很多錢,或者說你的銀行卡因為綁定了這些快捷消費之后,比較容易把這個錢消費出去。那可以先優先把這個銀行卡先給凍結了。那如果說你的這個第三方支付平臺里面沉淀了很多資金。那么這個時候我覺得,第三方支付平臺也應該先去做一個掛失、凍結處理。
王仁國建議,如果手機丟失千萬不要慌亂,要在第一時間凍結綁定的銀行卡,然后再去補辦手機號碼,平時養成一些良好的使用習慣也是至關重要的。而在北京市公安局網絡安全保衛總隊,公安人員給出了具體的防范措施。
北京市公安局網絡安全保衛總隊四大隊民警史志焱:最好先設置一個手機的開機密碼,這樣的話在別人獲取你手機的時候,他是無法進入你的手機操作系統的,如果別人想使用你的手機,必須要進行刷機,這樣的話手機里所有的個人信息,包括資料,都會被清除。這樣第一別人無法獲取你手機里的各類個人信息和隱私之類,這樣別人也登錄不了你的各種移動支付平臺。
干警告訴記者,目前,設置開機密碼是對手機信息非常有力的保護,同時他提醒大家,手機開機密碼的設置不能過于簡單。
某公司互聯網安全專家萬仁國:一定要養成良好的使用習慣。比如說我這個密碼不要太簡單,比如說4個1、4個2。或者說用自己的生日,或者用這手機號其中的一部分,或者說手機號作為相應的密碼。在我們的手機里面,不要放太多的個人隱私的信息。比如說自己的身份證號,包括可能有些人他會直接把自己的身份證號用相片的形式給拍下來,那么像這些信息最好不要在手機里面留存。如果說有條件,建議安裝一些這種加密軟件。將自己的相片、包括短信之類的做一個加密。
除了養成一些良好的使用習慣以外,一些專家也強調,釣魚軟件和釣魚網址現在才是移動支付面臨的真正挑戰。
北京市公安局網絡安全保衛總隊四大隊民警史志焱:實際上在互聯網日益發達的今天,除了手機丟失造成了風險外,木馬、釣魚、詐騙是手機支付面臨的最大風險,所以建議用戶在使用手機的時候盡量不要去越獄手機,這樣的話,因為越獄的手機會造成手機可以隨意安裝軟件,而一些不法分子就通過手機用戶安裝軟件來竊取用戶的一些大量信息。另外用戶在網上購物的時候,不要輕易點擊不明的鏈接,要盡量按照網站的購物流程來購買商品,這樣盡量使這些不法分子無可乘之機。
【半小時觀察】
全球最權威的IT研究與顧問咨詢公司高德納提供的數據顯示,2013年全球智能手機銷售量達到9.68億部,第一次銷量超過普通手機。現在,依托于智能手機等移動終端的移動支付已展現出巨大的發展空間,在此我們提示,如果手機丟失、且手機號已經綁定了支付工具,建議用戶盡快向支付服務提供方掛失,聯系通信運營商掛失SIM卡,并向銀行掛失凍結支付工具已經綁定的銀行卡。如果身份證、銀行卡等也一并丟失,同樣需要盡快進行掛失處理。丟失手機的用戶還可以在電腦上登錄支付寶賬號,關閉無線支付業務總開關。同時,我們建議手機用戶盡量從正規渠道下載安裝相關軟件及應用,避免木馬病毒的侵入。而支付軟件開發公司和管理部門也應防患于未然,針對可能出現的情況提高防范門檻,加大跟蹤打擊力度,只有讓移動支付更安全,它才有更大的發展前景。
