kknews
支付寶真的安全嗎?
分類\科技
時間\2016-09-09
摘要:支付寶自2004年誕生以來到現在已經走過第一個十年!隨着餘額寶的誕生,讓更多人認識到了支付寶!隨着用戶的增多,人們存的錢自然多了。很多不法分子已經盯上了支付寶的各種漏洞來竊取支付寶里或者銀行的錢!
支付寶是一種方便、快速的支付方式。客戶可通過將個人第三方支付賬戶關聯自己的儲蓄卡或者信用卡,每次付款時只需輸入第三方支付賬戶的支付密碼和手機校驗碼即可完成付款,從而繞開了銀行支付網絡,只要綁定了銀行卡,用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉賬。
那麼,支付寶到底安全不安全呢?
工、農、中、建四大行陸續對快捷業務調整了限額,四大行對支付寶的單筆額度和單日累計基本限制在萬元以下,最低的僅為5000元,每月累計也基本不超過5萬元。針對「為何要限制支付寶限額」,工商銀行某處長回應稱,支付寶產生初衷是為了滿足網購客戶小額支付寶資金的便利性,只需要通過手機發送的支付機構的動態驗證碼,就可以從銀行賬戶劃轉資金進行支付。這種方式確實方便,但支付寶安全性存在明顯隱患,交易對手機的依賴性太高,一旦手機丟失、註冊時信息泄露或者手機被植入木馬病毒,綁定支付寶手機號便容易被篡改,用戶的資金很容易被盜。
曾經在一篇文章中討論過支付寶的安全問題,支付寶的安全關鍵在於手機,要保證手機絕對安全,特別是保證短訊安全,那才能保證支付寶的安全。對於支付寶的攻擊方法就更多了,如果用戶開通了小額支付免輸密碼,黑客只需安裝先前介紹的偽造身份證SIM開的方法即可直接支付小額付款。不過要盜取大量資金,還需要用戶的支付密碼方可,這裏黑客就採用各種方法攻擊用戶的支付密碼即可。
通常的攻擊方法除了在電腦端的木馬和釣魚網站之外,還有通過手機APP應用的攻擊方法,黑客可以先將具有盜號功能的惡意應用發佈到各個應用商店或論壇里,如果用戶使用Android手機下載並安裝這類惡意應用(例如假冒的遊戲應用),那麼惡意應用就在後台攔截用戶短訊通訊,然後再偽裝一筆轉賬,通過截獲用戶短訊來完成交易,或者通過後台將用戶引導到釣魚網站來截獲支付密碼,這樣就完全避規了銀行的USBKEY等令牌系統,從而盜取用戶資金。
為了應對這種情況,支付寶還推出了一個手機寶令這樣的動態令牌來加強手機支付的安全性,用戶啟用手機寶令後,即可看到一個每分鐘都變化的一次性密碼的「動態令牌」,在原有的短訊基礎不變上,增加上這個動態令牌,這樣,惡意應用即使攔截了用戶短訊和一次性密碼也沒用,因為無法計算出下次支付所需要的動態密碼,所以會使得竊取用戶資金會失敗。
動態令牌這個方案解決了黑客通過惡意應用盜取用戶銀行卡資金的威脅,但如果用戶手機被偷的話,別人就可以在手機上看到這個「動態令牌」,因此更為理想的方案是,支付寶再綁定一個動態令牌硬件(非手機動態令牌應用),例如已經停售的寶令,動態令牌可以掛在鑰匙鏈上,這樣即使手機丟了,沒有動態令牌也無法轉賬,動態令牌丟了,沒有支付寶密碼也一樣無法轉賬。這樣的方案就能夠大幅提高支付寶的安全性,並且技術上也很容易實現,無需驅動,這樣用戶就不用害怕自己的手機被盜而引起的資金財務風險了。
總而言之,用戶如果能保證自己的手機和短訊的絕對安全,支付寶就是安全的,否則就是不安全的。
支付寶真的安全嗎?
關愛座hunter
30 回覆
11 Like
1 Dislike
an機有八達通淘寶
五毛:你都保證唔到你個實物銀包安全啦,唔通你唔用入面啲錢咩?
重有。用支付寶其實個app有冇back door偷你電話資料去中國其實未知
同wechat噉
同wechat噉
重有。用支付寶其實個app有冇back door偷你電話資料去中國其實未知
同wechat噉
解決左偷錢風險重有個人資料問題
五毛D wade喺推廣支付寶嗰期係噉讚qr code好。而家又有啲五毛出post讚支付寶好過8仔
大家知咩事
大家知咩事
重有速度問題
細鋪同交通工具scan qr code一定唔夠8仔同cash快
大鋪就唔夠visa apple pay 安全
細鋪同交通工具scan qr code一定唔夠8仔同cash快
大鋪就唔夠visa apple pay 安全
準備欣賞五毛精闢見解
細字濃縮試用版
經crosscheck多個post,確信五毛名單臚列如下:三色貓、法國佬巫斯義、極右派政治家、民國復興、群龍共舞、優美開始、Coffee@、JR、RedBaron、Gladiclus、D_Wade、dewi、newlife、bbchu、十卜Ching、侵B、吾系甘開心牙、返六日唔撚易、毛澤東
證據一:五毛極端膠化自爆攬炒
Coffee@:有冇人覺得「濕鳩塞鷗」呢隻隱性五毛好可疑?
https://lihkg.com/thread/461300
Coffee@:好簡單既道理,愈多人反對五毛list,就證明條list愈成功!
https://lihkg.com/thread/459178
Coffee@:五毛係冇言論自由,無發言權,被ban係打死無怨
https://lihkg.com/thread/458982
Coffee@:唔單止5毛!所有玩膠,分化,懷疑挑戰五毛list既人,一律入list!
https://lihkg.com/thread/457567
證據二:五毛一見字眼空群而出
連狗對五毛問題視而不見、置若罔聞,與全連登作對
https://lihkg.com/thread/451623
【枕戈待旦】有關被連狗封鎖禁言之嚴正聲明
https://lihkg.com/thread/442843
刺刀捅向習匪頭 鏟平地獄鬼國
https://lihkg.com/thread/439819
【黑暗】濕鳩塞鷗兄已遭連尼住禁言七日
https://lihkg.com/thread/435231
證據三:五毛擾亂視聽妖言惑眾
JR:(人手置頂) 屈毛黨名單
https://lihkg.com/thread/405731
RedBaron:關愛座呢隻五毛都算高招
https://lihkg.com/thread/451674
Gladiclus:(大踢爆)關愛座hunter係5毛!被bam屈毛派親身指證!
https://lihkg.com/thread/451720
JR:要求admin立即ban左三位會員︰關愛座hunter, 濕鳩塞鷗, 1000歲人瑞
https://lihkg.com/thread/451747
RedBaron(已改名):香港獨立之後一定要實行獨裁
https://lihkg.com/thread/452801
極右派政治家:關愛座底已起, 電話號碼流出
https://lihkg.com/thread/457077
民國復興:幾時開始,連登性無能都可以推上神枱?
https://lihkg.com/thread/460016
細字濃縮試用版
經crosscheck多個post,確信五毛名單臚列如下:三色貓、法國佬巫斯義、極右派政治家、民國復興、群龍共舞、優美開始、Coffee@、JR、RedBaron、Gladiclus、D_Wade、dewi、newlife、bbchu、十卜Ching、侵B、吾系甘開心牙、返六日唔撚易、毛澤東
證據一:五毛極端膠化自爆攬炒
Coffee@:有冇人覺得「濕鳩塞鷗」呢隻隱性五毛好可疑?
https://lihkg.com/thread/461300
Coffee@:好簡單既道理,愈多人反對五毛list,就證明條list愈成功!
https://lihkg.com/thread/459178
Coffee@:五毛係冇言論自由,無發言權,被ban係打死無怨
https://lihkg.com/thread/458982
Coffee@:唔單止5毛!所有玩膠,分化,懷疑挑戰五毛list既人,一律入list!
https://lihkg.com/thread/457567
證據二:五毛一見字眼空群而出
連狗對五毛問題視而不見、置若罔聞,與全連登作對
https://lihkg.com/thread/451623
【枕戈待旦】有關被連狗封鎖禁言之嚴正聲明
https://lihkg.com/thread/442843
刺刀捅向習匪頭 鏟平地獄鬼國
https://lihkg.com/thread/439819
【黑暗】濕鳩塞鷗兄已遭連尼住禁言七日
https://lihkg.com/thread/435231
證據三:五毛擾亂視聽妖言惑眾
JR:(人手置頂) 屈毛黨名單
https://lihkg.com/thread/405731
RedBaron:關愛座呢隻五毛都算高招
https://lihkg.com/thread/451674
Gladiclus:(大踢爆)關愛座hunter係5毛!被bam屈毛派親身指證!
https://lihkg.com/thread/451720
JR:要求admin立即ban左三位會員︰關愛座hunter, 濕鳩塞鷗, 1000歲人瑞
https://lihkg.com/thread/451747
RedBaron(已改名):香港獨立之後一定要實行獨裁
https://lihkg.com/thread/452801
極右派政治家:關愛座底已起, 電話號碼流出
https://lihkg.com/thread/457077
民國復興:幾時開始,連登性無能都可以推上神枱?
https://lihkg.com/thread/460016
強國野 , 連 keyboard都有監察 , 你話呢 ?
keyboard
其實支付寶等於另一家支那銀行,你一用支付寶等於送錢送資料比支那(貪官)
只要綁定了銀行卡,用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉賬。
銀行印幾多錢就買返幾多金,,
支仔就唔洗,,,佢地暗中放200-300億,一蚊牌唔需要買返金
真係撳個制就得
銀行印幾多錢就買返幾多金,,
支仔就唔洗,,,佢地暗中放200-300億,一蚊牌唔需要買返金
真係撳個制就得
印銀紙 不嬲都係電腦做手腳 邊個知
D 人買樓借幾百萬
你估銀行真係扲幾百萬出黎咩
撳個制渣 所以樓價只會gogogo
無樓一世都係做樓奴
起碼都有存款比例標準既...但跟唔跟就唔知喇
中大報告指電子支付系統存保安漏洞 「支付寶」問題最嚴重
中文大學信息工程學系教授張克環的研究團隊,對現今流動支付的相關技術,作出研究報告,指出部份流動支付方式背後存有保安漏洞,不法分子能夠利用來盜取用戶金錢。研究發現 Apple Pay 與 Android Pay 等以 NFC 技術為核心的交易方式較為安全,而使用二維 QR Code 作為付款方式的支付寶,存有保安漏洞,有機會被不法份子有機可乘。
根據報告指出,在眾多電子付款技術之中,以 NFC 技術為基本的 Apple Pay 與 Android Pay 並未有發現保安問題,在保障用戶資料方面最為周全。但另一方面就發現「支付寶」存有保安漏洞,用戶容易被不法份子取得付款資料,造成金錢上的損失。中大研究報告發現以「支付寶」問題較嚴重,該系統以 QR Code 作為收費認證,用戶需要把 QR 條碼傳遞給店員掃瞄。不法份子可侵入用戶手機,控制手機前置鏡頭,在店員掃瞄時,拍下掃瞄器倒影下的 QR 條碼,再傳到不法分子手上。張克環解釋,倒影被拍下之後,可修復並複製成與原本一樣的條碼。不法分子可利用此條碼在另一地方即時作收款用途。
▲左圖為用戶原有的支付寶畫面,但駭客可在畫面加手腳(右圖 QR 條碼右上角的空白位置),令商家掃瞄器不能正常掃瞄,買家不能正常付款,但條碼就送到駭客手上作不法用途
由於資料傳送只是單向溝通,用戶無法識別交易提否成功,出現問題時,用戶只會被通知再傳送多一次,其實可能是不法分子利用干擾器令 QR 條碼失靈,同時間不法分子可在背後利用該條碼取代了商家獲得用戶的款項。另外不法份子亦可在智能電話暗中安裝誘導程式,彈出提示問用戶是否更新 QR 條碼,但無論如何都會自動更新,而舊條碼則會送到不法分子手中。中大研究團隊已將報告交給支付寶,而支付寶聲稱已修復有關系統。報告建議手機用戶不要安裝不明來歷的程式,以免遭不法分子攻擊。
unwire.hk
中文大學信息工程學系教授張克環的研究團隊,對現今流動支付的相關技術,作出研究報告,指出部份流動支付方式背後存有保安漏洞,不法分子能夠利用來盜取用戶金錢。研究發現 Apple Pay 與 Android Pay 等以 NFC 技術為核心的交易方式較為安全,而使用二維 QR Code 作為付款方式的支付寶,存有保安漏洞,有機會被不法份子有機可乘。
根據報告指出,在眾多電子付款技術之中,以 NFC 技術為基本的 Apple Pay 與 Android Pay 並未有發現保安問題,在保障用戶資料方面最為周全。但另一方面就發現「支付寶」存有保安漏洞,用戶容易被不法份子取得付款資料,造成金錢上的損失。中大研究報告發現以「支付寶」問題較嚴重,該系統以 QR Code 作為收費認證,用戶需要把 QR 條碼傳遞給店員掃瞄。不法份子可侵入用戶手機,控制手機前置鏡頭,在店員掃瞄時,拍下掃瞄器倒影下的 QR 條碼,再傳到不法分子手上。張克環解釋,倒影被拍下之後,可修復並複製成與原本一樣的條碼。不法分子可利用此條碼在另一地方即時作收款用途。
▲左圖為用戶原有的支付寶畫面,但駭客可在畫面加手腳(右圖 QR 條碼右上角的空白位置),令商家掃瞄器不能正常掃瞄,買家不能正常付款,但條碼就送到駭客手上作不法用途
由於資料傳送只是單向溝通,用戶無法識別交易提否成功,出現問題時,用戶只會被通知再傳送多一次,其實可能是不法分子利用干擾器令 QR 條碼失靈,同時間不法分子可在背後利用該條碼取代了商家獲得用戶的款項。另外不法份子亦可在智能電話暗中安裝誘導程式,彈出提示問用戶是否更新 QR 條碼,但無論如何都會自動更新,而舊條碼則會送到不法分子手中。中大研究團隊已將報告交給支付寶,而支付寶聲稱已修復有關系統。報告建議手機用戶不要安裝不明來歷的程式,以免遭不法分子攻擊。
unwire.hk
Content farm 黎架...