警方还原嗅探盗刷全过程,这样设置能让支付宝更安全!

  • 内容
  • 相关

前几天,豆瓣网友“独钓寒江雪”的文章《这下一无所有了》以切身经历讲述了自己在毫不知情的情况下,支付宝、京东及关联银行卡被盗刷的全过程,引发全国网民关注,诸多媒体也对这种“短信嗅探+中间人攻击”的手法进行了解读。

由于现在很多网站采取“手机号+验证码”的认证方式,在支付场景下,最多也就会认证姓名、身份证号、银行卡号。因此,要想实现盗刷,只需知道一个人的手机号、姓名、身份证号、银行卡号、验证码就足够了。

先简单回顾一下这次盗刷事件是怎么做到的:
第一步:用伪基站捕获手机号
之前有媒体报道过,要想捕获受害人手机号,只需要在一台伪基站状态下,进行中间人攻击即可。当然,前提是受害者的手机必须处于2G状态下。
第二步:短信嗅探
光知道手机号码其实没太大用,因为很多网站至少需要知道验证码才可以登录。这个时候,短信嗅探设备就要发挥很大作用了。
第三步:社工其他信息
所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。
第四步:实现盗刷
经过前面几步的工作,已经掌握了一个人的姓名、身份证号、银行卡号、手机号,并能实时监测到验证码。这个时候,他就可以去盗刷了。因为很多网站在设计的时候,只需要输入这些就可以完成支付。甚至可以通过这些内容来更改登录、支付密码。
支付宝几乎是人手必备的 app,因此支付宝也成为了嗅探盗刷的重灾区。我们如何进一步提升支付宝的安全性呢?

1.取消支付宝手机号登陆。前往“我的-设置-安全设定”中,关闭“通过手机号登陆”功能,仅保留邮箱登陆。当然邮箱安全也需要多注意,邮箱中相关安全设置也要开启。这里关闭手机号登陆方式,主要是减少针对“嗅探”产生的盗刷风险。
2.取消无关的第三方账号授权。前往“我的-设置-账号授权”,删除取消多余的第三方账号授权。
3.开启支付宝“暗号”功能。支付宝“暗号”功能是 2017 年推出的,可能还有很多人没有留意到这个功能。同步推建议大家可以开启该功能,进一步提升支付宝安全性。
支付宝的暗号功能主要是用于当你的支付宝在非常用的新设备中登录时,除了账号密码,还需要额外再进行一道验证才能够顺利登陆。开启这个功能,可以减少账号被盗的风险。

进入“我的-设置-安全中心-暗号”,可以选择“拍张图”或者“画张图”作为暗号。画的图片或者拍摄的照片将会作为验证图案,在新设备上登录时,需要选出正确的图案或者照片才能够顺利登陆。需要注意的是,图片中不允许包含文字等明显的识别信息。

另外,对于我们普通用户来说,要如何做才能最大程度的降低风险,提高安全系数呢?以下是来自警方的建议:
1.中国移动和中国联通的手机是高风险用户,如无必要,睡觉前直接关机或者开启飞行模式。你无法接收到短信,嗅探设备也无法接收到。
2.如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。
3.关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。
“盗刷”无处不在,作为用户我们能做的只有多留心,保持警惕,学会保护自己的私人信息,尽可能地提升安全性。当然,如果第一时间遇见异常,也要记得立刻报警,冻结账户,以减少损失。

本文标签:

版权声明:若无特殊注明,本文皆为《猫月灵》原创,转载请保留文章出处。

本文链接:警方还原嗅探盗刷全过程,这样设置能让支付宝更安全! - https://www.moonwl.cn/post-137.html

站长之家:90105406,欢迎大佬入驻!点我快速加入

发表评论

电子邮件地址不会被公开。 必填项已用*标注

未显示?请点击刷新

允许邮件通知