不改密码微信被盗两万 网络热议支付安全
磐安新闻网>生活频道>便民服务
不改密码微信被盗两万 网络热议支付安全
http://www.zjjv.com/ 磐安新闻网 来源:
2015-07-22 10:23
通过微信盗取银行存款早已不是个例,窃贼是如何绕过支付密码利用微信支付平台转走银行钱款?受害者曾经一度忽略的提醒和出现的异常又代表窃贼如何行窃?让我们看看近日水木社区出现的一则热贴:关于一个博士生"微信钱财被盗连载"。
绕过支付密码盗取微信存款
受害者在微信上绑定了银行卡(余额2万余元)的同时绑定了一手机号。某日他发现手机突然没有信号,又注意到自己的微信有一条提示:微信与自己的手机号解绑,此时没有在意。随后得知自己的手机一直处于无人接听而不是无法接通的状态,手机客服人员说其手机SIM卡可能被烧了,让其补卡。去补卡时被告知其手机没有信号期间,在同城异地升级过4G。然后受害者查银行卡才发现银行卡被盗但微信密码、支付密码、银行卡密码等都没有被改过。
网友猜测盗号全过程
该事件在论坛成为热帖并迅速发酵升温后,有网友随即发微博猜测窃贼盗号全程:
小偷会以升级4g为借口,新办一张受害者的手机SIM卡,导致受害者手机突然没有信号。然后用手机号新注册一个微信,此时微信会将该手机号与受害者原有的手机号解绑,接下来窃贼用这个新微信绑定受害者的银行卡,值得注意的是,银行卡与微信支付的绑定并不需要输入银行卡密码,而只是需要输入银行卡卡主的身份证号、手机号即可,然后用银行短信认证的方式实现微信支付与银行卡的绑定。
完成后,小偷用发红包的方式以199元一笔,逐笔将受害者的银行卡内余额转到小偷自己的微信号上,再通过提现到自己的银行卡,然后取钱跑路,盗窃完成。
被质疑的微信登陆安全机制
现有微信的登录安全机制下,窃贼需要掌握微信密码、微信支付密码、用户手机号三个重要数据。首先掌握用户手机号(很容易),然后另辟蹊径,用盗取的手机号注册一个微信号并绑定受害者银行卡。
微信绑定银行卡,大家打开微信试试即知,需要录入的信息很有限,即银行卡号、持卡人姓名、身份证号和手机号,然后输入短信验证码即可绑定微信,这是通常快捷支付都会采取的模式,无需银行卡自身的取款密码。
所以一旦发现自己的微信突然自动退出了,那么一定要察觉,可能是手机号与微信密码都出了问题。一个最大的问题是,用户根本没有登录微信,或者微信根本没有联网--例如在国际漫游未能上网时,或者很多人习惯的不接入wifi就不上网以节省数据流量时,无法看到自己的微信被异地异机登录。如果此时手机号没有信号,根本无法察觉。
微信财产安全在于手机号安全
微信和支付宝的注册都有通过手机号绑定这么一种做法,但是有一个细微的区别决定了微信用户成为被盗用的目标。那就是当手机号被控制的时候,如果用受害者的手机号新注册支付宝,支付宝会提示该手机号已经绑定了其他账号,窃贼要么选择登录被绑定的受害者本人的支付宝账号,要么只能另行更换手机号。因此,在支付宝的安全策略下,窃贼掌握了受害者的手机号,想从支付宝偷出来钱还需要一点技术和运气。
然而,微信的策略完全不同,窃贼用控制的手机号注册微信,微信也会提示这个手机号绑定他人,但是微信会让他继续用这个手机号注册下去,注册完成后,手机号从原有微信解绑,受害者在此期间什么都做不了,也制止不了。这不得不说是微信本身的一个严重bug,微信把所有安全都寄托在手机号上了。
作者: 编辑:陈兆贤
孔海燕
相关新闻