华成网论坛

标题: 如何掉进网上支付黑洞? 揭秘盗取账号密码手法 [打印本页]

作者: 陈浩海    时间: 2012-3-25 13:59
标题: 如何掉进网上支付黑洞? 揭秘盗取账号密码手法
2012年03月5 15:57 来源:羊城晚报 
   专家表示识破骗子手法一点不难

  去年底的互联网大规模资料泄露事件后遗症渐显。3月20日,当当网宣布,于3月19日至21日紧急冻结该网所有账户的余额及礼品卡,原因就是个别消费者账户出现被盗、余额被盗用等情况,怀疑和去年底的数据泄露有关。当当网称,国内不少B2C网站也面临着用户数据泄露的风险。支付宝方面则表示,支付账户相当于银行账户,用户一定要将其安全级别提高到和银行卡一样的高度。

  羊城晚报记者请支付宝的安全专家为网购一族们搜罗了一些网购时常见的骗局和案例,专家表示,识破骗子手法其实一点也不难。

  手法一:


  木马

  经典案例:最近的两笔交易让张女士百思不得其解,明明是付了钱,却还是“等待买家付款”。联系卖家,说钱还没有收到,查看网上银行消费记录,钱却已汇出。在民警和有关工作人员调查下,发现原来问题出在几天前的一笔交易上,当时张女士在与卖家沟通时,卖家通过QQ发给了她一个名为“宝贝详情” 的文件,而这个文件是一个病毒文件。张女士电脑中了病毒,在她使用浏览器到网银付款的时候病毒发作,更改了浏览器的信息,将收款账户改为另一个支付平台,致金钱受损。

  安全专家提醒

  支付环境是否安全,可遵照以下几点确认:

  1.电脑环境安全保证。建议使用正版操作系统、正版杀毒软件并及时更新病毒库、稳定浏览器,使用正规的第三方支付平台进行支付;

  2.树立网络安全意识。不接受陌生文件,不点开不明链接,不同网站用户名与密码做好区分,网络密码不要放在电脑内,最好使用同一台电脑进行网络支付等;

  3.支付基础安全。在资金账户使用“数字+英文+符号”的高强度密码、分别设置登录与支付密码,同时注意网银的密码安全;

  4.建议用网购网站的专用聊天工具沟通。在使用支付宝时建议安装数字证书、手机验证等免费安全产品,可保障万一密码被盗,也能使资金不损失。

  手法二:

  盗取校验码

  经典案例一:半个月前,小陈想充话费,便在搜索引擎输入话费充值,搜索到一家折扣力度很大的卖家。卖家在QQ上说因为要改价格,就要小陈接收链接。小陈打开链接,紧接着输入支付宝账户名、登录密码、支付密码,在最后一步,却弹出了“系统升级,无法支付”的对话框。

  就在这时手机来了短信,是支付宝的确认信息:“您申请取消数字证书,校验码:123456。”正疑惑着电话就响了,对方自称是“客服小二”,说账户存在安全问题,需要小陈报出刚刚接收到的手机校验码,小陈以前拨打过支付宝客服热线,一看来电显示,确实是客服电话没错,就把校验码报给了对方。

  挂掉了电话,小陈正打算继续充值,突然觉得有点儿不对劲,于是赶紧查看账户,结果账户里的余额全没了!

  在工作人员帮助下小陈才知道,原来自己连中两招。第一招钓鱼链接,卖家给小陈发的链接其实就是事先准备好的钓鱼网站,小陈输入的信息都会被骗子获取,小陈的账户就已经被盗了。但是由于小陈申请了数字证书,所以骗子暂时无法盗走支付宝账户里的资金。所以第二招扮演假客服,套取校验码。原来骗子利用某种软件,把来电显示更改为支付宝客服热线的号码,又自称是“客服小二“,骗取了小陈的信任。而校验码正是安全产品数字证书在保护账户时发送到用户手机上的6位数字,它如同密码一样用于保护账户的安全。泄露了校验码,就卸载了数字证书,所以小陈才遭受了损失。

  经典案例二:广州妈妈网用户pototo发帖称,自己遭遇支付宝新型骗局,呼吁大家一定要小心。“当你的支付宝邮箱收到邮件,说支付宝被监管,同进客服收到客人说无法付款的信息,还截图出来,然后你就会直接相信那个邮件,按提示解除‘监管’,链接打开,很自然你要输入登录密码、支付密码,然后输入手机验证码,全完了。”

  记者看到pototo给出的截图显示,首先客服收到骗子“买家”提示,称无法付款,还附上截图,接着邮箱又收到邮件称可解除监管,并有一个链接。如果此时点进去,骗局也就开始了。先是登录密码,接着是支付密码泄露,当输入页面验证码后,骗子就申请了用户的数字证书,用户收到手机验证码后输入,骗子也就安装了用户的数字证书,就可以大摇大摆地将账户余额盗取了。

  安全专家提醒

  数字证书是支付宝提供的一种免费安全措施,只要将证书下载在电脑里,那么就默认这台电脑可以完成支付,没有证书的其他电脑是没有办法动用账户资金的,数字证书可同时安装在多部电脑上,但必须是要用户绑定手机号输入动态验证码才可以申请的,因此保护好支付宝账户、登录密码、支付密码、手机验证码就显得至关重要。其实要做到这一点很简单,就是不要随便点击不明链接,防范钓鱼网站,认清支付宝的正规网址。有网友就支招:“每次付款前都要看清楚网址,即使网页模仿得再相似,骗子让你点击的页面网址肯定不会是xxx.ali-pay.com结尾的。大家养成检查网址的习惯,就不怕了。”

支付宝方面提醒说,正规的第三方支付平台工作人员,以及有诚信的卖家在联系用户时,是不会索要账户密码信息的。当对方试图询问密码、手机校验码等信息时,就一定要提高警惕,千万不要透露。

  手法三:

  低价陷阱

  经典案例:网购新手小菜童鞋看到了一个7.5折的点卡卖家,十分高兴,马上联系。但卖家要求用QQ联系才有优惠。小菜于是通过QQ和卖家再次联系后,卖家发过来一个链接,点击后进行了支付。可是,支付页面显示:“支付失败!支付宝支付功能升级维护中,请您使用网上银行进行支付!”几次支付失败后,小菜取消了购买。


  实际上,小菜点击的链接进入的就是骗子事先做的虚假页面,当进行支付操作的时候,密码信息就被骗子掌控到。幸运的是小菜使用了数字证书,骗子在得不到手机确认时,就无法动用账户里的资金。

  安全专家提醒

  不少骗子会用极优惠的价格先吸引来一些用户,然后想办法让对方点击自己的虚假支付链接,由于旺旺等聊天工具具备一定的安全鉴别功能,他们通常会选用其他一些聊天工具做手脚。建议用户最好用购物网站的专用聊天工具进行沟通,并尽量选择手机动态口令、数字证书等安全措施保护账户安全。

  手法四:

  “短信转移”盗取账号

  经典案例:去年8月4日晚上10时56分,正准备入睡的周晨收到一条来自10086的短信称:您已开通“短信转移”,每月收费3元……周晨此前从未听说过这类业务,没有多加注意就关机睡觉了。结果第二天早上,周晨一开机,就收到这样一条短信:支付宝在7月15日0:00时消费500元。周晨这下才知道,自己的支付宝被盗刷了。此后经过查询,周晨一共被盗刷了两笔共1000元。根据查询,这1000元全部被用于向一家网络公司充值。

  周晨的支付宝账户内并没有存钱,怎么会被盗刷1000元呢?原来她选择了支付宝的快捷支付。根据快捷支付规定,当用户第一次使用“快捷支付”时,通过银行卡资料验证和手机动态口令校验即可完成支付,之后再次购物时,只要输入支付宝支付密码,绑定银行卡的“快捷支付”便可以直接付款,而无需重新输入银行卡资料或跳转到网上银行。

  但是,在密码和手机校验码这样的双重保障下,为何账号还是会被盗?在多方查询后,周晨终于弄清了账号被盗的整个流程:先是支付宝密码被盗,盗用者从其账户内找到绑定的手机号码,由于周晨的手机网上营业厅密码与支付宝密码相同,盗用者随即登录网上营业厅,开通短信转移业务,这便是周晨收到的那条莫名短信。此后在短信转移业务尚未关闭的几分钟内,利用转移到盗用者手机上的校验码短信,盗用者迅速利用快捷支付盗刷了1000元。

  事件发生后,周晨和支付宝方面取得联系,客服人员表示,让他先上传身份证,3个工作日内会有工作人员联系他完成赔付。果然,周晨被盗刷的1000元钱就由支付宝全额赔付了。经客服人员提醒,他也修改了支付宝密码,并查杀了木马病毒。

  安全专家提醒

  利用移动运营商提供的一些业务进行犯罪还是一种新型手法。这类支付宝账号被盗事件也给出了警示:正是因为周晨的手机网上营业厅密码与支付宝密码相同,才让不法分子有机可乘,开通了短信转移,盗取了账号和资金。为防止账号被盗,设置好自己的密码非常重要。像是支付宝、网银、手机网上营业厅等涉及资金和个人隐私的账号,一定要分别单独设置高强度的密码。

  此外,使用数字证书、支付盾、宝令等安全产品也能够帮助提升账户的安全等级。像周晨这样账户内少留或者不留余额,尽量通过支付宝快捷支付付款,如果出现风险,支付宝会给予全额赔付,这也不失为避免资金损失的好方法。

  知多D

  如何识别假冒支付宝的虚假邮件?

  1.正确的支付宝系统邮箱地址为service@mail.alipay.com">service@mail.alipay.com或alipay@mail.alipay.com">alipay@mail.alipay.com;

  2.支付宝已经与国内主流邮件厂商合作,正常的支付宝邮件发件人栏会有支付宝盾牌标志;

  3.在不能辨别邮件真假时,不要点击邮件中的任何链接和附件,并致电支付宝24小时客服热线,如需查询账户信息最好亲自登录支付宝官方网站www.alipay.com进行查询,在确认真实情况前,先不要点击邮件中的任何链接和附件,以防中木马病毒。

  此外,在买(卖)家表示你的账户存在安全问题并给予截图时,勿轻信,应及时联系支付宝客服确认截图显示的情况是否属实。

  刘薇




欢迎光临 华成网论坛 (http://kaseisyoji.com/) Powered by Discuz! X3.2