不改密码微信被盗两万 网络热议支付安全

 通过微信盗取银行存款早已不是个例,窃贼是如何绕过支付密码利用微信支付平台转走银行钱款?受害者曾经一度忽略的提醒和出现的异常又代表窃贼如何行窃?让我们看看近日水木社区出现的一则热贴:关于一个博士生"微信钱财被盗连载"。

绕过支付密码盗取微信存款

受害者在微信上绑定了银行卡(余额2万余元)的同时绑定了一手机号。某日他发现手机突然没有信号,又注意到自己的微信有一条提示:微信与自己的手机号解绑,此时没有在意。随后得知自己的手机一直处于无人接听而不是无法接通的状态,手机客服人员说其手机SIM卡可能被烧了,让其补卡。去补卡时被告知其手机没有信号期间,在同城异地升级过4G。然后受害者查银行卡才发现银行卡被盗但微信密码、支付密码、银行卡密码等都没有被改过。

网友猜测盗号全过程

该事件在论坛成为热帖并迅速发酵升温后,有网友随即发微博猜测窃贼盗号全程:

小偷会以升级4g为借口,新办一张受害者的手机SIM卡,导致受害者手机突然没有信号。然后用手机号新注册一个微信,此时微信会将该手机号与受害者原有的手机号解绑,接下来窃贼用这个新微信绑定受害者的银行卡,值得注意的是,银行卡与微信支付的绑定并不需要输入银行卡密码,而只是需要输入银行 卡卡 主的身份证号、手机号即可,然后用银行短信认证的方式实现微信支付与银行卡的绑定。

完成后,小偷用发红包的方式以199元一笔,逐笔将受害者的银行卡内余额转到小偷自己的上,再通过提现到自己的银行卡,然后取钱跑路,盗窃完成。

被质疑的微信登陆安全机制

现有微信的登录安全机制下,窃贼需要掌握微信密码、微信支付密码、用户手机号三个重要数据。首先掌握用户手机号(很容易),然后另辟蹊径,用盗取的手机号注册一个并绑定受害者银行卡。

微信绑定银行卡,大家打开微信试试即知,需要录入的信息很有限,即银行卡号、持卡人姓名、身份证号和手机号,然后输入短信验证码即可绑定微信,这是通常快捷支付都会采取的模式,无需银行卡自身的取款密码。

所以一旦发现自己的微信突然自动退出了,那么一定要察觉,可能是手机号与微信密码都出了问题。一个最大的问题是,用户根本没有登录微信,或者微信根本没有联网--例如在国际漫游未能上网时,或者很多人习惯的不接入wifi就不上网以节省数据流量时,无法看到自己的微信被异地异机登录。如果此时手机号没有信号,根本无法察觉。

微信财产安全在于手机号安全

微信和支付宝的注册都有通过手机号绑定这么一种做法,但是有一个细微的区别决定了微信用户成为被盗用的目标。那就是当手机号被控制的时候,如果用受害者的手机号新注册支付宝,支付宝会提示该手机号已经绑定了其他账号,窃贼要么选择登录被绑定的受害者本人的支付宝账号,要么只能另行更换手机号。因此,在支付宝的安全策略下,窃贼掌握了受害者的手机号,想从支付宝偷出来钱还需要一点技术和运气。

然而,微信的策略完全不同,窃贼用控制的手机号注册微信,微信也会提示这个手机号绑定他人,但是微信会让他继续用这个手机号注册下去,注册完成后,手机号从原有微信解绑,受害者在此期间什么都做不了,也制止不了。这不得不说是微信本身的一个严重bug,微信把所有安全都寄托在手机号上了。

更多相关文章
  • AllJoyn开源物联网协议框架,官方描述是一个能够使连接设备之间进行互操作的通用软件框架和系统服务核心集,也是一个跨制造商来创建动态近端网络的软件应用.高通已经将该项目捐赠给了一个名为“AllSeen联盟”的组织,该组织由Linux基金会监督,这是迄今为止推动家庭和工业物联网应用与创新的最广泛的跨 ...
  • 3月28日清晨六时许,广州市棠安路,出租车司机陆续出车开始工作.因房租便宜,很多司机选择住在这附近.南都记者 林宏贤 摄跳槽之前,他觉得开出租车越来越难做,份子钱高.城市道路拥堵,新出租车数量越来越多.但开专车两个月之后,他重新回到出租车公司继续开出租车--专车去年年初在广州出现,开了16年出租车的 ...
  • 前言 首先发一点牢骚,互联网公司变化就是快,我去一个团队往往就一年时间该团队就得解散,这不,公司居然把无线团队解散了,我只能说,我那个去!!! 我去年还到处让人来呢,一个兴兴向荣的团队说没就没了啊!我找谁哭去...... 于是我们团队一个大哥说他去哪哪就解散,我老大说他去哪哪就倒霉,如此看来,不是我 ...
  • 在编写前端JavaScript代码时,最痛苦的莫过于代码的智能感知(Intelli Sense). 追其根源,是因为JavaScript是一门弱类型的动态语言.对于弱类型的动态语言来说,智能感知就是IDE工具的一个“软肋”.IntelliJ等IDE所用智能感知方式,是一种折中的方式:全文搜索,然后展 ...
  •    /**      * MD5 加密      */      private String getMD5Str(String str) {          MessageDigest messageDigest = null;            try {              me ...
  • 文/默尔索Secret即将关闭了,这是4月30日这天早上我读到的第一条新闻.其实这并没有什么可惜.媒体们今天将"昙花一现"这样的词放在Secret身上,与他们数月之前大肆吹捧匿名社交时的热情相比,中间产生了一个解读空间颇大的讽刺漩涡.但错不在媒体,他们只是在做一种舆论的投射,20 ...
一周排行
  • IL介绍 通用中间语言(Common Intermediate Language,简称CIL,发音为"sill"或"kill")是一种属于通用语言架构和.NET框架的低阶(lo ...
  • 一.集合接口和迭代器 在Java类库中,Collection接口是所有集合类的基本接口.这个接口有两个基本方法:add和iterator. add方法用于向集合中添加元素.如果结果改变返回true,否则返回false ...
  •      本文讨论针对大型数据表(记录数2千万以上)进行数据查找与分页的可行的高效方案.      首先,恰当的索引是必须的.      没有索引的支持,在大数据表中进行查询是不可思议的.关键点在于如何创建索引? 1 ...
  • 问题在本机硬盘上有一个HTML文件,需要对它进行解析从中抽取数据或进行修改.办法可以使用静态 Jsoup.parse(File in, String charsetName, String baseUri) 方法:F ...
  •                                              ---9月22日,人人校招笔试题 1.给定一个有序数组a,长度为len,和一个数X,判断A数组里面是否存在两个数,他们的和为X ...
  • c++defensive programming  C++防御性编程(异常处理). jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址.HTML文本内容. android 修改系统时间及时区   ...
  • 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出版.作者信息和本声明.否则将追究法律责任.http://blog.csdn.net/topmvp - topmvpStart building Ja ...
  • 现在很多网站都用到Cookies,特别是用户的登陆以及购物网站的购物车. Cookies 通常用来存储用户信息和用户在某应用系统的操作,当一个用户使用Cookies 访问了某一个应用系统时,Web 服务器将发送关于用 ...
  • 思路:一个坐标的level和它的y坐标是无关的,因为x和y都是升序leve给出的,一个坐标的level只和前面所有的x有关,那么可以抽象这么一个a数组(实际上是不存在的,只是抽象出来),每输入一个x,就对a[x+1] ...
  • 移动互联网合并案例分析:宜搜UC合并必将实现双赢 文/王易见       互联网行业已经很久没看到经典的合并案例了,最近有业内人士爆料,宜搜和UC将合并,目前正在洽谈合并事宜.如果两者合并,很可能成为2013年移动互 ...