互聯網為人們提供的便利服務越來越多, 如今移動互聯網的發展趨勢依然非常迅猛, 以前我們通過一部電腦可以很快速地完成很多事情, 如今大多數人通過一部智慧手機就可以完成手機繳費、線下購物、預約計程車等服務, 可以說移動互聯網已經覆蓋人們的衣食住行。
可是任何一個行業在發展過程中總會出現大大小小的BUG, 之前阿裡巴巴曾號稱沒有駭客能攻擊支付寶的安全體系, 但最近有媒體爆料一種新的攻擊手段:瞬間克隆你的支付寶帳戶, 然後可以完成線下掃碼支付。
羽度非凡之前看到一些網友評論這是謠言, 但其實這種技術確實可以實現, 不過這種技術也不難防範, 你只需要做到3點就可以完全杜絕這種情況的發生。 既然要找出解決方法, 那麼我們就要分析這種攻擊手段有什麼弊端, 利用攻擊手段的弊端找出應對的解決方案就很容易了。
首先我們還原整個攻擊手段的過程, 攻擊者首先向被攻擊者發送一條帶有網址連結的短信, 當被攻擊者點擊短信中的網址連結後, 會顯示一個搶紅包的頁面, 與此同時攻擊者一方的智慧手機就已經顯示被攻擊者支付寶帳戶的頁面資訊, 而後攻擊者可以通過線下購物的“掃碼支付”等方式完成支付。
整個過程中共有2個弊端, 首先是被攻擊者必須打開短信中的網址連結才會被克隆支付寶帳戶, 不過羽度非凡在之前的文章中曾經介紹過, 各大銀行官方並不會在短信中提供任何網址連結, 如果你的收到帶有網址連結的銀行短信, 那麼只有兩種可能:一種是銀行工作人員推廣信用卡辦理等業務, 另一種是偽基站假冒銀行發送的釣魚短信。 排除銀行的短信之後, 其他各種企業公司的短信中如果包含網址連結,
第二點是攻擊者在克隆支付寶帳戶之後, 只能使用付款碼進行支付, 因為他並沒有獲得你的支付密碼, 而攻擊者之所以能夠使用付款碼完成支付, 完全是因為一些人為了省事, 開通了小額免密支付的功能,由於受到這次攻擊事件的影響,目前支付寶已經不再提供新開啟小額免密支付的服務,其他支付工具如微信支付、新浪錢包、滴滴出行等APP也已經找不到免密支付的設置視窗。
關閉支付寶免密支付的方法:依次打開支付寶APP→我→設置→支付設置→免密支付/自動扣款,在這裡目前只能調整“付款碼、聲波免密支付”和“乘車碼免密支付”兩項功能。
不過雖然攻擊者可以克隆支付寶帳戶,但其實只是獲得了一個支付寶帳戶的外殼,例如支付密碼的資訊攻擊者是沒能獲取的,由於支付寶的登錄密碼並不是純文字密碼,因此即便攻擊者獲取到支付寶的登錄密碼,想要從加密密碼破解為純文字密碼也是需要幾十年,甚至上百年時間的。
最後需要提醒的是,為了保證帳戶安全,手機APP一定要更新到最新的版本,因為任何一家負責人的APP商家都會在第一時間彌補自家產品的BUG。
開通了小額免密支付的功能,由於受到這次攻擊事件的影響,目前支付寶已經不再提供新開啟小額免密支付的服務,其他支付工具如微信支付、新浪錢包、滴滴出行等APP也已經找不到免密支付的設置視窗。關閉支付寶免密支付的方法:依次打開支付寶APP→我→設置→支付設置→免密支付/自動扣款,在這裡目前只能調整“付款碼、聲波免密支付”和“乘車碼免密支付”兩項功能。
不過雖然攻擊者可以克隆支付寶帳戶,但其實只是獲得了一個支付寶帳戶的外殼,例如支付密碼的資訊攻擊者是沒能獲取的,由於支付寶的登錄密碼並不是純文字密碼,因此即便攻擊者獲取到支付寶的登錄密碼,想要從加密密碼破解為純文字密碼也是需要幾十年,甚至上百年時間的。
最後需要提醒的是,為了保證帳戶安全,手機APP一定要更新到最新的版本,因為任何一家負責人的APP商家都會在第一時間彌補自家產品的BUG。