最近一段時間,工、農(nóng)、中、建四大行陸續(xù)對快捷業(yè)務(wù)調(diào)整了限額,四大行對支付寶快捷支付的單筆額度和單日累計基本限制在萬元以下,最低的僅為5000元,每月累計也基本不超過5萬元。
針對“為何要限制快捷支付限額”,工商銀行某處長回應(yīng)稱,快捷支付產(chǎn)生初衷是為了滿足網(wǎng)購客戶小額快捷支付資金的便利性,只需要通過手機(jī)發(fā)送的支付機(jī)構(gòu)的動態(tài)驗(yàn)證碼,就可以從銀行賬戶劃轉(zhuǎn)資金進(jìn)行支付。這種方式確實(shí)方便,但快捷支付安全性存在明顯隱患,交易對手機(jī)的依賴性太高,一旦手機(jī)丟失、注冊時信息泄露或者手機(jī)被植入木馬病毒,綁定快捷支付手機(jī)號便容易被篡改,用戶的資金很容易被盜。
那么,快捷支付到底安全不安全呢?和網(wǎng)銀相比,哪個更安全呢?
在探討快捷支付的安全性之前,我們需要先討論一下支付寶和網(wǎng)銀的安全性對比。
支付寶和網(wǎng)銀安全對比
支付寶的安全只要依靠數(shù)字證書、支付盾(價格58元)、寶令(價格33元,已停止銷售)、手機(jī)寶令。銀行網(wǎng)銀有些特殊,不同銀行的網(wǎng)銀使用不同的安全策略,但原理基本差不多,主要是USBKey和動態(tài)密碼鎖。
從原理上看,USBKey相當(dāng)于支付盾,動態(tài)密碼鎖相當(dāng)于寶令,其安全性基本相當(dāng)。數(shù)字證書相當(dāng)于將USBKey里的私鑰存儲在電腦上,安全性不如USBKey,但使用起來更方便一些。
黑客對于USBKey的攻擊大多使用木馬病毒程序控制并攻擊USBKey的驅(qū)動層,這種安全策略也并非萬無一失,提高安全的方法是改造USBKey本身,我見過的一種比較好的改造方法是工行的USBKey,其在USBKey上增加了一個顯示屏和確認(rèn)按鈕,交易的時候會顯示金額在USBKey上,用戶點(diǎn)USBKey的確認(rèn)按鈕后才能完成交易,這讓基于電腦的木馬病毒難以對交易進(jìn)行篡改和攻擊。
值得一提的是,不同銀行的網(wǎng)銀安全性也不一樣,有的銀行網(wǎng)銀具有較高的安全性,但有的銀行網(wǎng)銀會有一些非常低級的漏洞,媒體上也經(jīng)常會有網(wǎng)銀賬戶被盜的新聞報道,因此用戶應(yīng)該將資金放在安全性較好的銀行里。
而對于支付寶的攻擊,大多是通過手機(jī)端,未綁定支付盾的支付寶,絕大多數(shù)安全驗(yàn)證依賴支付寶綁定的手機(jī),黑客可以通過移動運(yùn)營商的漏洞來掌控用戶的手機(jī),以此攻擊支付寶賬戶,例如,如果黑客通過一定途徑獲得了某用戶的身份證號碼和手機(jī)號碼,使用偽造的身份證就可以通過某些移動運(yùn)營商成功申請到該手機(jī)的SIM卡,通過這個SIM卡和身份證號即可重置支付寶密碼,還可以申請數(shù)字證書,好在支付寶的支付密碼需要通過“安全保護(hù)問題+電子郵箱”的方式才能重置,從一定程度上緩解這種威脅。對于支付寶里存有大量金額的用戶來說,還是啟用支付盾更為安全。
快捷支付安全嗎?
由上述分析可見,開通了支付盾的支付寶,其安全性并不必網(wǎng)銀差,那么,支付寶的快捷支付是否也一樣安全呢?
快捷支付是一種方便、快速的支付方式?蛻艨赏ㄟ^將個人第三方支付賬戶關(guān)聯(lián)自己的儲蓄卡或者信用卡,每次付款時只需輸入第三方支付賬戶的支付密碼和手機(jī)校驗(yàn)碼即可完成付款,從而繞開了銀行支付網(wǎng)絡(luò),只要綁定了銀行卡,用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉(zhuǎn)賬。我早先曾經(jīng)在一篇文章中討論過快捷支付的安全問題,總的來說,快捷支付的安全關(guān)鍵在于手機(jī),要保證手機(jī)絕對安全,特別是保證短信安全,那才能保證快捷支付的安全。
對于快捷支付的攻擊方法就更多了,如果用戶開通了小額支付免輸密碼,黑客只需安裝先前介紹的偽造身份證SIM開的方法即可直接支付小額付款。不過要盜取大量資金,還需要用戶的支付密碼方可,這里黑客就采用各種方法攻擊用戶的支付密碼即可。
通常的方法出了在電腦端的木馬和釣魚網(wǎng)站之外,黑客還可以通過手機(jī)APP密碼的方式進(jìn)行攻擊,黑客可以先將具有盜號功能的惡意應(yīng)用發(fā)布到各個應(yīng)用商店或論壇里,如果用戶使用Android手機(jī)下載并安裝這類惡意應(yīng)用(例如假冒的游戲應(yīng)用),那么惡意應(yīng)用就在后臺攔截用戶短信通訊,然后再偽裝一筆轉(zhuǎn)賬,通過截獲用戶短信來完成交易,或者通過后臺將用戶引導(dǎo)到釣魚網(wǎng)站來截獲支付密碼,這樣就完全避規(guī)了銀行的USBKEY等令牌系統(tǒng),從而盜取用戶資金。
為了應(yīng)對這種情況,支付寶還推出了一個手機(jī)寶令這樣的動態(tài)令牌來加強(qiáng)手機(jī)支付的安全性,用戶啟用手機(jī)寶令后,即可看到一個每分鐘都變化的一次性密碼的“動態(tài)令牌”,在原有的短信基礎(chǔ)不變上,增加上這個動態(tài)令牌,這樣,惡意應(yīng)用即使攔截了用戶短信和一次性密碼也沒用,因?yàn)闊o法計算出下次支付所需要的動態(tài)密碼,所以會使得竊取用戶資金會失敗。
動態(tài)令牌這個方案解決了黑客通過惡意應(yīng)用盜取用戶銀行卡資金的威脅,但如果用戶手機(jī)被偷的話,別人就可以在手機(jī)上看到這個“動態(tài)令牌”,因此最后還要用戶確保自己的手機(jī)不會被盜。
因此,用戶如果能保證自己的手機(jī)和短信的絕對安全,快捷支付就是安全的,否則就是不安全的。
如何保證支付安全?
如果用戶的資金被盜,銀行或支付寶是否會賠付呢?對于銀行來說,如果黑客通過密碼的方式竊取用戶資金,通過銀行不會給用戶賠付。對于支付寶來說,賠付條件也基本類似,如果是由于用戶的原因(例如主動告知他人、被詐騙、被釣魚等)導(dǎo)致支付寶賬戶密碼、支付寶賬戶登錄及支付密碼、校驗(yàn)碼泄露的不予賠付。因此,用戶為了自己賬戶內(nèi)資金的安全,必須要養(yǎng)成良好的安全上網(wǎng)習(xí)慣。
常見的安全措施包括:
1、設(shè)置安全的支付密碼,不要和登錄密碼相同。
2、不要用手機(jī)號做為支付寶的登錄帳號,支付寶密碼和郵箱密碼不要相同,確保郵箱帳號的安全性。
3、開通手機(jī)寶令。
4、使用未越獄的iPhone手機(jī),安裝iOS 7.1,開啟鎖屏密碼或指紋解鎖,開啟“查找我的iPhone”,使用安全的Apple密碼。(未越獄的iPhone一勞永逸地解決了短信安全問題,因?yàn)閼?yīng)用根本沒有相關(guān)權(quán)限,有了鎖屏密碼或指紋解鎖,手機(jī)被盜后也無法打開,甚至刷機(jī)后也無法打開。)
5、Android手機(jī)不要ROOT,不要在第三方網(wǎng)站安裝應(yīng)用,只從Google Play等官方商店安裝應(yīng)用,需要注意的是,未ROOT的Android手機(jī)也給APP開放了短信接口,因此對于具有短信權(quán)限的應(yīng)用應(yīng)該格外小心。
6、手機(jī)開通鎖屏密碼,如果手機(jī)被盜,應(yīng)該及時上網(wǎng)修改動態(tài)令牌,并打電話給移動運(yùn)營商掛失SIM卡,如果是iPhone手機(jī)則啟用遠(yuǎn)程鎖定功能。
7、消費(fèi)與存款分開,不要對外公布自己存款銀行帳號,在外消費(fèi)使用信用卡,根據(jù)自己的實(shí)際情況對信用卡的額度進(jìn)行設(shè)置,不要超過一個月的最高消費(fèi)水平。這樣無論信用卡如何被盜刷,其損失總歸有限。并且可以向銀行和支付寶主張賠償。信用卡使用有賠付的信用卡,不開通提現(xiàn)功能,卡被盜后24小時內(nèi)掛失。
8、帳號內(nèi)有大量資金最好啟用物理硬件安全設(shè)備如USBKEY等。
總之,支付寶或網(wǎng)銀的安全,關(guān)鍵在于使用者的問題,如果使用者有良好的安全習(xí)慣,那么無論用網(wǎng)銀還是支付寶都是安全的,對于快捷支付來說,如果用戶無法保證手機(jī)的安全,無法正確辨認(rèn)釣魚網(wǎng)站,那么還是不要使用快捷支付更好一些,USBKey更適合這種用戶。