不改密码微信被盗两万 网络热议支付安全

 通过微信盗取银行存款早已不是个例,窃贼是如何绕过支付密码利用微信支付平台转走银行钱款?受害者曾经一度忽略的提醒和出现的异常又代表窃贼如何行窃?让我们看看近日水木社区出现的一则热贴:关于一个博士生"微信钱财被盗连载"。

绕过支付密码盗取微信存款

受害者在微信上绑定了银行卡(余额2万余元)的同时绑定了一手机号。某日他发现手机突然没有信号,又注意到自己的微信有一条提示:微信与自己的手机号解绑,此时没有在意。随后得知自己的手机一直处于无人接听而不是无法接通的状态,手机客服人员说其手机SIM卡可能被烧了,让其补卡。去补卡时被告知其手机没有信号期间,在同城异地升级过4G。然后受害者查银行卡才发现银行卡被盗但微信密码、支付密码、银行卡密码等都没有被改过。

网友猜测盗号全过程

该事件在论坛成为热帖并迅速发酵升温后,有网友随即发微博猜测窃贼盗号全程:

小偷会以升级4g为借口,新办一张受害者的手机SIM卡,导致受害者手机突然没有信号。然后用手机号新注册一个微信,此时微信会将该手机号与受害者原有的手机号解绑,接下来窃贼用这个新微信绑定受害者的银行卡,值得注意的是,银行卡与微信支付的绑定并不需要输入银行卡密码,而只是需要输入银行 卡卡 主的身份证号、手机号即可,然后用银行短信认证的方式实现微信支付与银行卡的绑定。

完成后,小偷用发红包的方式以199元一笔,逐笔将受害者的银行卡内余额转到小偷自己的上,再通过提现到自己的银行卡,然后取钱跑路,盗窃完成。

被质疑的微信登陆安全机制

现有微信的登录安全机制下,窃贼需要掌握微信密码、微信支付密码、用户手机号三个重要数据。首先掌握用户手机号(很容易),然后另辟蹊径,用盗取的手机号注册一个并绑定受害者银行卡。

微信绑定银行卡,大家打开微信试试即知,需要录入的信息很有限,即银行卡号、持卡人姓名、身份证号和手机号,然后输入短信验证码即可绑定微信,这是通常快捷支付都会采取的模式,无需银行卡自身的取款密码。

所以一旦发现自己的微信突然自动退出了,那么一定要察觉,可能是手机号与微信密码都出了问题。一个最大的问题是,用户根本没有登录微信,或者微信根本没有联网--例如在国际漫游未能上网时,或者很多人习惯的不接入wifi就不上网以节省数据流量时,无法看到自己的微信被异地异机登录。如果此时手机号没有信号,根本无法察觉。

微信财产安全在于手机号安全

微信和支付宝的注册都有通过手机号绑定这么一种做法,但是有一个细微的区别决定了微信用户成为被盗用的目标。那就是当手机号被控制的时候,如果用受害者的手机号新注册支付宝,支付宝会提示该手机号已经绑定了其他账号,窃贼要么选择登录被绑定的受害者本人的支付宝账号,要么只能另行更换手机号。因此,在支付宝的安全策略下,窃贼掌握了受害者的手机号,想从支付宝偷出来钱还需要一点技术和运气。

然而,微信的策略完全不同,窃贼用控制的手机号注册微信,微信也会提示这个手机号绑定他人,但是微信会让他继续用这个手机号注册下去,注册完成后,手机号从原有微信解绑,受害者在此期间什么都做不了,也制止不了。这不得不说是微信本身的一个严重bug,微信把所有安全都寄托在手机号上了。

更多相关文章
  • AllJoyn开源物联网协议框架,官方描述是一个能够使连接设备之间进行互操作的通用软件框架和系统服务核心集,也是一个跨制造商来创建动态近端网络的软件应用.高通已经将该项目捐赠给了一个名为“AllSeen联盟”的组织,该组织由Linux基金会监督,这是迄今为止推动家庭和工业物联网应用与创新的最广泛的跨 ...
  • 3月28日清晨六时许,广州市棠安路,出租车司机陆续出车开始工作.因房租便宜,很多司机选择住在这附近.南都记者 林宏贤 摄跳槽之前,他觉得开出租车越来越难做,份子钱高.城市道路拥堵,新出租车数量越来越多.但开专车两个月之后,他重新回到出租车公司继续开出租车--专车去年年初在广州出现,开了16年出租车的 ...
  • 前言 首先发一点牢骚,互联网公司变化就是快,我去一个团队往往就一年时间该团队就得解散,这不,公司居然把无线团队解散了,我只能说,我那个去!!! 我去年还到处让人来呢,一个兴兴向荣的团队说没就没了啊!我找谁哭去...... 于是我们团队一个大哥说他去哪哪就解散,我老大说他去哪哪就倒霉,如此看来,不是我 ...
  • 在编写前端JavaScript代码时,最痛苦的莫过于代码的智能感知(Intelli Sense). 追其根源,是因为JavaScript是一门弱类型的动态语言.对于弱类型的动态语言来说,智能感知就是IDE工具的一个“软肋”.IntelliJ等IDE所用智能感知方式,是一种折中的方式:全文搜索,然后展 ...
  •    /**      * MD5 加密      */      private String getMD5Str(String str) {          MessageDigest messageDigest = null;            try {              me ...
  • 文/默尔索Secret即将关闭了,这是4月30日这天早上我读到的第一条新闻.其实这并没有什么可惜.媒体们今天将"昙花一现"这样的词放在Secret身上,与他们数月之前大肆吹捧匿名社交时的热情相比,中间产生了一个解读空间颇大的讽刺漩涡.但错不在媒体,他们只是在做一种舆论的投射,20 ...
一周排行
  • 微软现正在敦促Windows Vista和Windows 7用户禁用操作系统的侧边栏和小工具功能.桌面小工具从Windows Vista开始引入,是一个基于HTML的迷你程序,当中信息全由网上所得.虽然微软在Wind ...
  • SQL SERVER 系列(2)数据库的创建.修改和删除 上篇SQL SERVER系列文章中我们介绍了SQL SERVER 2005的安装与介绍.有了它,我们当然要让它给我们干活了,现在我就介绍介绍数据库这一方面的知 ...
  • J2SE5.0新特性之可变长参数 晁岳攀 [email protected]   有时候,我们传入到方法的参数的个数是不固定的,为了解决这个问题,我们一般采用下面的方法: 1.  重载,多重载几个方法,尽可能的满足参 ...
  • 定义一个长度为5的字符串数组 type str_array is varray(5) of varchar2(30); v_str_array str_array := expr_key_array('aa','bb ...
  • 前段时间,有几个研究ESFramework的朋友对我说,ESFramework有点庞大,对于他们目前的项目来说有点“杀鸡用牛刀”的意思,因为他们的项目不需要文件传送.不需要P2P.不存在好友关系.也不存在组广播.不需 ...
  • Description It is always very nice to have little brothers or sisters. You can tease them, lock them in the ...
  • 写了个类想让其作为某种数据集合,还可以自动销毁,所以就直接继承了最底层的CCObject,所以并不属于视图,也就不会被addChild到显示列表里,于是就造成了接下来遇到的一个情况:其所有的成员变量被访问时数值都乱掉 ...
  • 使用手机的朋友都知道手势感应是一个灰常实用的功能.不过很多朋友发现,有时候三星Galaxy S5手势感应会莫名其妙的失灵,这可怎么办呢?下面小编这就为大家带来三星Galaxy S5手势感应不能用的解决方法 三星Gal ...
  • 新快报讯 一年一度的China- Joy拉开了帷幕,搜狐董事长张朝阳在论坛期间不光唱好网游今年的前景,还抽空炮轰了一下国内互联网大公司挖人的"陋习".
  • 首先感谢各位大大的分享. 我感觉对于新手来说看Demo是提高水平的最快方式,下面我将贴上一些我研究过的一些Demo,希望和我一样的菜鸟分享. 1.官网上的Demo 从  官网Demo大全  可以下载到官网上的完整事例 ...