不改密码微信被盗两万 网络热议支付安全

 通过微信盗取银行存款早已不是个例,窃贼是如何绕过支付密码利用微信支付平台转走银行钱款?受害者曾经一度忽略的提醒和出现的异常又代表窃贼如何行窃?让我们看看近日水木社区出现的一则热贴:关于一个博士生"微信钱财被盗连载"。

绕过支付密码盗取微信存款

受害者在微信上绑定了银行卡(余额2万余元)的同时绑定了一手机号。某日他发现手机突然没有信号,又注意到自己的微信有一条提示:微信与自己的手机号解绑,此时没有在意。随后得知自己的手机一直处于无人接听而不是无法接通的状态,手机客服人员说其手机SIM卡可能被烧了,让其补卡。去补卡时被告知其手机没有信号期间,在同城异地升级过4G。然后受害者查银行卡才发现银行卡被盗但微信密码、支付密码、银行卡密码等都没有被改过。

网友猜测盗号全过程

该事件在论坛成为热帖并迅速发酵升温后,有网友随即发微博猜测窃贼盗号全程:

小偷会以升级4g为借口,新办一张受害者的手机SIM卡,导致受害者手机突然没有信号。然后用手机号新注册一个微信,此时微信会将该手机号与受害者原有的手机号解绑,接下来窃贼用这个新微信绑定受害者的银行卡,值得注意的是,银行卡与微信支付的绑定并不需要输入银行卡密码,而只是需要输入银行 卡卡 主的身份证号、手机号即可,然后用银行短信认证的方式实现微信支付与银行卡的绑定。

完成后,小偷用发红包的方式以199元一笔,逐笔将受害者的银行卡内余额转到小偷自己的上,再通过提现到自己的银行卡,然后取钱跑路,盗窃完成。

被质疑的微信登陆安全机制

现有微信的登录安全机制下,窃贼需要掌握微信密码、微信支付密码、用户手机号三个重要数据。首先掌握用户手机号(很容易),然后另辟蹊径,用盗取的手机号注册一个并绑定受害者银行卡。

微信绑定银行卡,大家打开微信试试即知,需要录入的信息很有限,即银行卡号、持卡人姓名、身份证号和手机号,然后输入短信验证码即可绑定微信,这是通常快捷支付都会采取的模式,无需银行卡自身的取款密码。

所以一旦发现自己的微信突然自动退出了,那么一定要察觉,可能是手机号与微信密码都出了问题。一个最大的问题是,用户根本没有登录微信,或者微信根本没有联网--例如在国际漫游未能上网时,或者很多人习惯的不接入wifi就不上网以节省数据流量时,无法看到自己的微信被异地异机登录。如果此时手机号没有信号,根本无法察觉。

微信财产安全在于手机号安全

微信和支付宝的注册都有通过手机号绑定这么一种做法,但是有一个细微的区别决定了微信用户成为被盗用的目标。那就是当手机号被控制的时候,如果用受害者的手机号新注册支付宝,支付宝会提示该手机号已经绑定了其他账号,窃贼要么选择登录被绑定的受害者本人的支付宝账号,要么只能另行更换手机号。因此,在支付宝的安全策略下,窃贼掌握了受害者的手机号,想从支付宝偷出来钱还需要一点技术和运气。

然而,微信的策略完全不同,窃贼用控制的手机号注册微信,微信也会提示这个手机号绑定他人,但是微信会让他继续用这个手机号注册下去,注册完成后,手机号从原有微信解绑,受害者在此期间什么都做不了,也制止不了。这不得不说是微信本身的一个严重bug,微信把所有安全都寄托在手机号上了。

更多相关文章
  • AllJoyn开源物联网协议框架,官方描述是一个能够使连接设备之间进行互操作的通用软件框架和系统服务核心集,也是一个跨制造商来创建动态近端网络的软件应用.高通已经将该项目捐赠给了一个名为“AllSeen联盟”的组织,该组织由Linux基金会监督,这是迄今为止推动家庭和工业物联网应用与创新的最广泛的跨 ...
  • 3月28日清晨六时许,广州市棠安路,出租车司机陆续出车开始工作.因房租便宜,很多司机选择住在这附近.南都记者 林宏贤 摄跳槽之前,他觉得开出租车越来越难做,份子钱高.城市道路拥堵,新出租车数量越来越多.但开专车两个月之后,他重新回到出租车公司继续开出租车--专车去年年初在广州出现,开了16年出租车的 ...
  • 前言 首先发一点牢骚,互联网公司变化就是快,我去一个团队往往就一年时间该团队就得解散,这不,公司居然把无线团队解散了,我只能说,我那个去!!! 我去年还到处让人来呢,一个兴兴向荣的团队说没就没了啊!我找谁哭去...... 于是我们团队一个大哥说他去哪哪就解散,我老大说他去哪哪就倒霉,如此看来,不是我 ...
  • 在编写前端JavaScript代码时,最痛苦的莫过于代码的智能感知(Intelli Sense). 追其根源,是因为JavaScript是一门弱类型的动态语言.对于弱类型的动态语言来说,智能感知就是IDE工具的一个“软肋”.IntelliJ等IDE所用智能感知方式,是一种折中的方式:全文搜索,然后展 ...
  •    /**      * MD5 加密      */      private String getMD5Str(String str) {          MessageDigest messageDigest = null;            try {              me ...
  • 文/默尔索Secret即将关闭了,这是4月30日这天早上我读到的第一条新闻.其实这并没有什么可惜.媒体们今天将"昙花一现"这样的词放在Secret身上,与他们数月之前大肆吹捧匿名社交时的热情相比,中间产生了一个解读空间颇大的讽刺漩涡.但错不在媒体,他们只是在做一种舆论的投射,20 ...
一周排行
  • SERV-U FTP SERVER和SERV-U MFT SERVER的区别 SERV-U FTP SERVER SERV-U MFT SERVER MAXIMUM USAGE Domains 3 unlimited ...
  • 刚接触mysql,今天接到任务要对数据库进行备份.从网上找了半天资料,但是还是一直报错: mysqldump: unknown option '--no-beep' .网上有很多人说了解决问题的办法,但是都没作用.最 ...
  •  一.什么是三层架构?   1.概念   三层架构(3-tier architecture) 通常意义上的三层架构就是将整个业务应用划分为:表现层(UI).业务逻辑层(BLL).数据访问层(DAL).区分层次的目的即 ...
  • 易网科技讯 7月19日消息,正式上线刚1个月多的旅游租房网站--爱日租(airizu.com),近日宣布获得200万美元天使投资,A轮融资也正在进行中.通过帮助用户将闲置房屋信息发布到网站上,面向旅行者提供短期租赁交 ...
  • 在安装了WinCE的开发工具以后提示虚拟设备不能用?怎么办?
  • 1 // 七位终端号转十位 例: "EAU001" --> "1410291" 2 KYLib::KYString TDevObj::GetTerminalIDByDev ...
  • 网上资源汇总学习: jquery的选择器是CSS,xpath的结合物.JQuery提取了这二种查询语言最好的部分,创造出了最终的jquery表达式查询语言. xpath是一门在xml文档里查找信息的语言,xpa ...
  •         #region 获取部门列表树集合        /// <summary>        /// 获取部门列表树集合        /// </summary>        ...
  • 首次浏览<构建之法>,正如此书给我们授予的概念——做中学 (Learning By Doing).在实践中出真知,书中多次强调 模拟实战,用客观数据来评分 在大学偏向理论化的教学模式中,我认为这样的教学理 ...
  • 在Web2.0的浪潮中,各种页面技术和框架不断涌现,为服务器端的基础架构提出了更高的稳定性和可扩展性的要求.近年来,作为开源中间件的全球领导者,JBoss在J2EE应用服务器领域已成为发展最为迅速的应用服务器.在市场 ...