第三方支付賬戶也遭殃 網(wǎng)絡安全專家給你支招

責任編輯:zsheng

2018-10-15 11:30:13

摘自:三湘都市報

10月10日凌晨,支付寶官方微博賬號向蘋果手機用戶發(fā)出安全提示稱,在蘋果公司沒有完全解決問題之前,無論Apple ID綁定了哪種支付方式(包括支付寶、微信支付或者信用卡)都可能出現(xiàn)資金損失風險。為保障資金安全,用戶可以選擇關閉蘋果手機上的代扣功能或調(diào)低免密支付額度。

10月10日凌晨,支付寶官方微博賬號向蘋果手機用戶發(fā)出安全提示稱,在蘋果公司沒有完全解決問題之前,無論Apple ID綁定了哪種支付方式(包括支付寶、微信支付或者信用卡)都可能出現(xiàn)資金損失風險。為保障資金安全,用戶可以選擇關閉蘋果手機上的代扣功能或調(diào)低免密支付額度。

盜刷者可能利用免密支付漏洞

單次額度內(nèi)多次扣費

記者登錄蘋果手機賬戶,查看付款方式的設置,發(fā)現(xiàn)目前蘋果提供的付款方式有支付寶、微信支付、銀行卡、快捷支付等。記者綁定的是支付寶賬戶,賬戶下方有一行“如需重新綁定請輕點此處”的選項,但點擊跳轉后,顯示的界面為“同意免密扣款授權協(xié)議并開通”,為何重新綁定賬戶變成了同意免密支付?

而如何控制付款額度?授權額度和次數(shù)默認又是多少?公告又在哪里?不少受害者表示不清楚。

支付寶如此介紹免密支付功能:蘋果設備上充值視頻網(wǎng)站VIP會員、購買游戲道具或其他付費項目時,將通過支付寶自動完成支付,“百萬APP和游戲一觸即得”。這些功能與受害者們的經(jīng)歷頗為重合,比如,被盜刷的付費項目多用于名不見經(jīng)傳的游戲充值,或者受害者此前使用過免密支付/自動扣款的訂閱服務。

從實際損失看,盜刷者的單次盜刷金額基本不會超過2000元,可見極有可能盜刷者是利用免密支付的漏洞,通過單次額度內(nèi)多次扣費進行“盜刷”。

蘋果ID賬號被盜

第三方支付賬戶也遭殃

記者從支付寶方面了解到,目前手機賬號被盜導致關聯(lián)支付賬號被盜刷的情況只發(fā)生在蘋果手機,安卓手機沒有這個問題。

蘋果的商店購買付費APP或產(chǎn)生其他消費,都需要綁定付款方式,目前蘋果的付款方式包含了銀行卡、支付寶、微信支付和快捷支付。

有支付行業(yè)資深從業(yè)人員告訴記者,這次事件因為蘋果ID賬號被盜,進而在蘋果商店(Apple Store)里消費,綁定任何的支付方式,只要是免密的,都可能被盜刷。

這幾年中國的移動支付飛速發(fā)展,用戶喜歡使用移動支付很大的原因是方便,一部手機掃一掃就能完成付款。為了讓這種方便更進一步,支付寶和微信支付都推出了小額免密功能,只要在用戶設定的額度范圍內(nèi),連支付密碼都不用輸入就能自動扣款。

據(jù)支付寶方面解釋,免密支付最初是為了簡化淘寶用戶網(wǎng)購支付的步驟。但隨著移動支付的使用場景越來越多,類似蘋果商城、視頻APP、打車軟件都在接入支付寶和微信作為支付方式,而免密支付在這些軟件中演化為代扣功能,類似打車不用輸密碼就能自動扣款的場景越來越多。

支付寶建議

開啟“雙重認證”+“安全月限額”

一名從事網(wǎng)絡安全與優(yōu)化的業(yè)內(nèi)人士告訴記者:盜刷本質(zhì)上還是賬號、密碼被盜導致。當然,支付平臺和蘋果公司有義務在提供免密支付功能時,給用戶提供明確的支付額度、頻次的選項,在授權前增設一道加密措施,給用戶的財產(chǎn)安全增加一道防線。

“我們有指紋支付和刷臉支付,從目前的交易數(shù)據(jù)上來看,我們的用戶通過支付寶APP完成交易的,一半以上用的是指紋支付。但免密支付/自動扣款目前都是不需要指紋或刷臉的。”支付寶方面說。

支付寶在回應記者時強調(diào),這次蘋果手機用戶的ID賬號被盜,但用戶的支付寶賬號還是完好的,并沒有被破解。“如果是支付寶賬號被盜,我們可以賠償用戶的損失,但這次主要責任不在支付平臺。”

上述支付行業(yè)的專家建議,用戶應當留心各平臺之間賬號信息的授權行為及協(xié)議,盡量減少同賬號密碼的多平臺使用,留意免密支付開通的協(xié)議及更新內(nèi)容,管理好自己的免密支付額度和頻次限額,盡量少用或不用免密支付和代扣。建議用戶,在設置相對復雜的賬號和密碼之外,應當留心各平臺之間賬號信息的授權行為及協(xié)議,盡量減少同賬號密碼的多平臺使用,留意免密支付開通的協(xié)議及更新內(nèi)容,管理好自己的免密支付額度和頻次限額。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號