工行支付存在漏洞,移动支付app安全问题凸显

最近一段时间,工商银行的“e支付”服务备受质疑,原因是从6月中旬到7月上旬,多位北京地区的工行储户遭遇了存款被盗事件。涉案储户大多被犯罪分子强行开通了工行的 “e支付”快捷支付业务,仅凭借短信验证码就能快速交易。对此,工商银行官方也做出了回应:工银e支付业务运营正常,快捷支付业务存在重大漏洞系误解。工行储户账户被盗刷事件最终原因是什么,我们不得而知。虽然快捷支付确确实实给储户带来便利,但也埋下了安全隐患。为安全使用e支付业务等快捷支付方式,金投银行小编提醒卡友们务必保管好个人信息、密码,防止手机被植入病毒,防止认证短信被盗取。

这年头,移动支付是越来越方便了,除了很多人在使用的手机银行之外,手机支付宝、微信支付也成为移动支付的代表作。不过,移动支付虽然方便,但背后的漏洞也不容忽视,以支付宝为例,网上偶尔出现一些资金被盗刷、余额宝被盗刷的报道,且不说这些报道是否客观真实,但里面所提到的一些问题还是客观存在的。所以,我们就想借此分析一下,移动支付究竟有哪些安全问题需要注意?

对手机过于依赖而导致安全隐患

对一般用户而言,涉及移动支付安全的关键词有如下几个:用户名、登录密码、支付密码、数字证书(这个一般是电脑版才有)。只要在上述几个条件满足的情况下,用户就能完成支付。对不法分子而言,如果要盗取用户的钱财,他们会怎么做呢?

众所周知,很多移动支付工具是通过手机短信进行验证的,也可以通过手机短信验证码修改登录密码和支付密码。所以,如果用户的手机被植入木马,或者用户手机卡被复制,或者用户手机丢失,都可能面临资金被盗的情况。当然,后两种情况相对容易防范一些,而对于手机病毒或者木马,在不借助于有效的杀毒软件的情况下,用户基本就无能为力了。

如果手机中木马,不法分子可能远程控制手机,完成转账等相关功能,你或许会问,一些操作需要验证码怎么办?如果中了木马,黑客将直接半路拦截验证短信,神不知鬼不觉。可以看出,移动支付的安全可能会严重受制于手机安全,一旦手机不安全,移动支付也可能存在隐患。

功能太人性化而带来安全隐患

由于手机操作不像电脑操作那么伶俐,因此,移动支付也根据手机的操作特性推出了很多人性化的功能。使用手机支付宝的朋友应该知道,手机支付宝有诸如手势密码进入、小额免密码支付、绑定银行卡快捷支付等功能,这些功能确实很方便,却可能给支付宝安全带来麻烦。首先,手势密码相对于数字符号密码而言显然简单了许多,而且一般用户也不会设置太过复杂的手势,这使得其安全系数并无想象的那么高。至于小额免密码支付,由于缺乏密码保护,支付没有安全保障,当然,鉴于额度较小,不会给用户带来太大的损失。

比较麻烦的是绑定银行卡快捷支付这一项,比如,一个人支付宝里面可能只有1000块,但是绑定快捷支付的银行卡里面可能有几万块,黑客如果能盗取支付宝里面的1000块,它也可以直接盗取银行卡里面的几万块。因为快捷支付绕过了银行的安全防线,少一道防线,安全系数自然弱了很多。而且一旦出问题,银行方面不承担赔偿责任,而至于支付平台是否会赔偿,那就不知道了。

PC端移动端安全功能未同步而造成安全系数不够

再说一点,部分安全功能未同步也可能造成移动支付的安全系数不够。举个例子,笔者的支付宝之前开通了每月6毛的短信校验服务,开通该功能以后,每笔转账无论大小都必须通过短信进行验证,该功能在PC上使用并无问题,但在手机上却无法使用。也就是说,支付宝并未对手机钱包同步覆盖该功能。

当然,还有一些功能是手机支付很难使用的。比如支付宝推出了支付盾用于提升安全性,但该功能如何在手机上使用?手机上又不能插支付盾。也就是说,这道防线可能对手机支付宝也不实用。

上述几个问题只是比较常见的安全隐患,那么针对这几个问题,笔者有如下建议:

1. 由于一些移动支付工具需要手势密码登陆,那么定期更改手势密码就很重要,如果可能,最好不要用手势密码。

2. 关闭小额免密码支付功能,这个功能虽然方面,但不用密码就能支付,想起来就可怕。

3. 如不嫌麻烦,最好设置短信验证功能,比如高于1000块必须发短信验证,另外,使用移动支付工具的手机最好和接收短信的手机分开。

4. 如果不是经常使用,平时可以关闭余额支付和移动支付功能,如果要开通这些功能,则必须有更复杂的操作,比如借助于类似于U盾这种第三方工具来打开。

5. 关闭快捷支付功能,避免移动支付工具跨越银联的这道防线。

6. 不要随便扫描二维码,某些二维码背后暗藏木马病毒,一旦中招,后果不堪设想。

7. 下载强有力的手机安全软件,比如百度手机卫士这种,定期对手机做防护。

8. 在公众场合最好不要用手机支付,尤其是在公开的wifi环境中,可能潜藏着一些安全隐患。

虽然提了一些建议,但相信还远远不够,因为手机支付存在一些固有的安全问题是很难解决的,所以,对企业而言,应当尽全力去完善产品,将产品做得更好,为用户提供安全放心的支付环境。同时,一旦用户资金被盗,企业应该积极协调,如果是自己平台缺陷所致,那就必须赔偿。

 

解读:工银e支付是中国工商银行为满足客户便捷的小额支付需求而推出的一种新型电子支付方式。开通后,无需使用网上银行,只需填写“手机号+银行账号后六位或账户别名”,再根据短信收到的“手机动态密码”完成小额支付的安全认证,即可实现B2C电子商务、交费、小额转账交易。因此,犯罪分子借助非法途径截获短信验证码,轻而易举地盗窃存款。

发表评论