不改密码微信被盗两万 网络热议支付安全

 通过微信盗取银行存款早已不是个例,窃贼是如何绕过支付密码利用微信支付平台转走银行钱款?受害者曾经一度忽略的提醒和出现的异常又代表窃贼如何行窃?让我们看看近日水木社区出现的一则热贴:关于一个博士生"微信钱财被盗连载"。

绕过支付密码盗取微信存款

受害者在微信上绑定了银行卡(余额2万余元)的同时绑定了一手机号。某日他发现手机突然没有信号,又注意到自己的微信有一条提示:微信与自己的手机号解绑,此时没有在意。随后得知自己的手机一直处于无人接听而不是无法接通的状态,手机客服人员说其手机SIM卡可能被烧了,让其补卡。去补卡时被告知其手机没有信号期间,在同城异地升级过4G。然后受害者查银行卡才发现银行卡被盗但微信密码、支付密码、银行卡密码等都没有被改过。

网友猜测盗号全过程

该事件在论坛成为热帖并迅速发酵升温后,有网友随即发微博猜测窃贼盗号全程:

小偷会以升级4g为借口,新办一张受害者的手机SIM卡,导致受害者手机突然没有信号。然后用手机号新注册一个微信,此时微信会将该手机号与受害者原有的手机号解绑,接下来窃贼用这个新微信绑定受害者的银行卡,值得注意的是,银行卡与微信支付的绑定并不需要输入银行卡密码,而只是需要输入银行 卡卡 主的身份证号、手机号即可,然后用银行短信认证的方式实现微信支付与银行卡的绑定。

完成后,小偷用发红包的方式以199元一笔,逐笔将受害者的银行卡内余额转到小偷自己的上,再通过提现到自己的银行卡,然后取钱跑路,盗窃完成。

被质疑的微信登陆安全机制

现有微信的登录安全机制下,窃贼需要掌握微信密码、微信支付密码、用户手机号三个重要数据。首先掌握用户手机号(很容易),然后另辟蹊径,用盗取的手机号注册一个并绑定受害者银行卡。

微信绑定银行卡,大家打开微信试试即知,需要录入的信息很有限,即银行卡号、持卡人姓名、身份证号和手机号,然后输入短信验证码即可绑定微信,这是通常快捷支付都会采取的模式,无需银行卡自身的取款密码。

所以一旦发现自己的微信突然自动退出了,那么一定要察觉,可能是手机号与微信密码都出了问题。一个最大的问题是,用户根本没有登录微信,或者微信根本没有联网--例如在国际漫游未能上网时,或者很多人习惯的不接入wifi就不上网以节省数据流量时,无法看到自己的微信被异地异机登录。如果此时手机号没有信号,根本无法察觉。

微信财产安全在于手机号安全

微信和支付宝的注册都有通过手机号绑定这么一种做法,但是有一个细微的区别决定了微信用户成为被盗用的目标。那就是当手机号被控制的时候,如果用受害者的手机号新注册支付宝,支付宝会提示该手机号已经绑定了其他账号,窃贼要么选择登录被绑定的受害者本人的支付宝账号,要么只能另行更换手机号。因此,在支付宝的安全策略下,窃贼掌握了受害者的手机号,想从支付宝偷出来钱还需要一点技术和运气。

然而,微信的策略完全不同,窃贼用控制的手机号注册微信,微信也会提示这个手机号绑定他人,但是微信会让他继续用这个手机号注册下去,注册完成后,手机号从原有微信解绑,受害者在此期间什么都做不了,也制止不了。这不得不说是微信本身的一个严重bug,微信把所有安全都寄托在手机号上了。

更多相关文章
  • AllJoyn开源物联网协议框架,官方描述是一个能够使连接设备之间进行互操作的通用软件框架和系统服务核心集,也是一个跨制造商来创建动态近端网络的软件应用.高通已经将该项目捐赠给了一个名为“AllSeen联盟”的组织,该组织由Linux基金会监督,这是迄今为止推动家庭和工业物联网应用与创新的最广泛的跨 ...
  • 3月28日清晨六时许,广州市棠安路,出租车司机陆续出车开始工作.因房租便宜,很多司机选择住在这附近.南都记者 林宏贤 摄跳槽之前,他觉得开出租车越来越难做,份子钱高.城市道路拥堵,新出租车数量越来越多.但开专车两个月之后,他重新回到出租车公司继续开出租车--专车去年年初在广州出现,开了16年出租车的 ...
  • 前言 首先发一点牢骚,互联网公司变化就是快,我去一个团队往往就一年时间该团队就得解散,这不,公司居然把无线团队解散了,我只能说,我那个去!!! 我去年还到处让人来呢,一个兴兴向荣的团队说没就没了啊!我找谁哭去...... 于是我们团队一个大哥说他去哪哪就解散,我老大说他去哪哪就倒霉,如此看来,不是我 ...
  • 在编写前端JavaScript代码时,最痛苦的莫过于代码的智能感知(Intelli Sense). 追其根源,是因为JavaScript是一门弱类型的动态语言.对于弱类型的动态语言来说,智能感知就是IDE工具的一个“软肋”.IntelliJ等IDE所用智能感知方式,是一种折中的方式:全文搜索,然后展 ...
  •    /**      * MD5 加密      */      private String getMD5Str(String str) {          MessageDigest messageDigest = null;            try {              me ...
  • 文/默尔索Secret即将关闭了,这是4月30日这天早上我读到的第一条新闻.其实这并没有什么可惜.媒体们今天将"昙花一现"这样的词放在Secret身上,与他们数月之前大肆吹捧匿名社交时的热情相比,中间产生了一个解读空间颇大的讽刺漩涡.但错不在媒体,他们只是在做一种舆论的投射,20 ...
一周排行
  • (易网科技特派编辑郑兰 9月16日发自伦敦)2010年度诺基亚大会落下帷幕,此次发布的新机早前已有曝光,因此没有太多惊喜.不过,诺基亚表示未来会在S40投入较大力度,为新兴市场提供高性价比的手机倒引起了我的注意. 诺 ...
  • centos 6.4中,运行matlab时图形界面整一片空白:打开文件时中文显示为方框 似乎是java的问题,先在系统里装好sun的java,然后在命令行运行 export MATLAB_JAVA=/usr/lib/ ...
  • package com.hbsi; import java.awt.*; import java.awt.event.*; import javax.swing.*; import java.util.*; //Ma ...
  • Python版本:3.4.3 安装Lib库:pymysql   代码结构树:   主函数代码片dbcheck.py #!/usr/bin/python # -*- coding: utf-8 -*- import c ...
  • 一.FrameLayout布局概述 在这个布局中,所有的子元素都不能被指定放置的位置,他们统统放于这块区域的,并且后面的子元素直接覆盖在前面的子元素之上,将前面的子元素部分和全部遮挡  如下面的效果: <Fra ...
  •     翻看着五月随笔--<心情随笔:五月随笔满满的正能量>,回眸六月:不仅感慨时光飞逝.看着学校大四学长学姐的一个个的离去,忽感压力山大,自己成为大四了!!!从初出茅庐的大一年轻小伙儿,转眼间变为一名大 ...
  •         技术方面以前一直是在扩张自己的领土,暑期想趁这个a block of time的机会提升一下,所以从这个熟悉又陌生的"汤姆猫"下手.然专研未几,满头大包.偶遇此佳作,如获珍宝,字字 ...
  • netsh interface ip set address name="Local" static 192.168.1.55 255.255.255.0 192.168.1.1 auto # u ...
  • 我们定制特殊的系统盘,就不需要,一遍遍的安装驱动,软件了,安装好就是一个现成的模子.省时方便.现在的大部分软件,其安装都具备一定的智能性,换句话说,许多软件的安装都能采取全自动或半自动的方式进行.  下面以不同的安装 ...
  • 直接上代码,子串的长度可自己设置(比如连续4个字符的或5个字符的).   $str ='我是中国人我是外国人我是韩国人我是美国人我是中国人我是英国人我是中国人我是外国人'; Count_string($str,5); ...