最近两天,一则支付宝被盗转的问答,引爆知乎论坛,一时间人人自危。支付宝出问题本身并不少见,用户往往有访问钓鱼网站,或者手机丢失,或者访问了不安全的WIFI之类的比较明确的原因,也往往有一定的警示通知。
而这则被盗的诡异之处在于用户的iPhone手机一直在身边,但是没有任何警示,用户在家用Wifi,报警后支付宝方面也认为是盗取者所在地点是用户自己家。
支付宝认为是熟人作案而拒绝赔付,用户损失了5万余元,在支付宝和天涯发帖求助。
这则支付宝被盗案相当诡异,警方没有结论前还难以找到原因,但是有一些被忽视的漏洞却是我们不得不警惕的。
一、无线路由器密码最大
这则案件经过推理,我个人认为是从Wifi密码被盗开始的,因为支付宝方探测到的是信息是被盗者和盗窃者使用了同一地点的同一Wifi,用户又是在家中连接Wifi,所以盗窃者很可能是破解了用户的Wifi密码。
众所周知,目前无线路由器的厂商只有几家,而且用户普遍对无线路由器的加密不太重视,认为只有周围邻居能够接受,而且即使破解了蹭蹭网也没什么。
其实,无线路由器恰恰是最危险的,因为无线路由器破解了以后,不仅仅是一个蹭网的问题。而是你所有明文传输的数据,包括账户名,密码都有可能被抓包破解。
虽然现在大多数网页和APP都是加密传输的,但是一些用户有不同网站共用ID和密码习惯。
破解了无线路由器密码的人,实际上也就掌握了用户不同网站的用户名和ID密码,这是非常危险的。
被盗者的支付宝密码,很可能就是这样泄漏的。
二、危险的iPhone
其实,支付宝还有一些网银,对于单纯密码被破解是有一定防范的。银行有各种“盾”,也有短信验证。短信随机码,你总解决不了吧。
但是,iPhone的用户则要面对更多的危险。因为iPhone安全的核心不是用户的手机号,而是用户的Apple iD,如果用户开启了备份功能和imessage,那么在同一Wifi下的同Apple ID设备可以共享短信。
当用户的Wifi被破解以后,Apple ID如果与非加密的网站共用用户名,密码,那么Apple ID也就被破解了。
这样,盗窃者可以看到任何一条验证短信,原本验证短信这个防范也就被绕过去了。
iPhone作为智能手机有云备份,信息共享本来是方便用户,但是一旦核心的Apple ID被破解,那就意味着所有信息的泄漏,这对以短信验证作为最后手段的金融服务是致命的。
支付宝密码被盗取,短信验证被绕过,钱自然就不知不觉的没有了。
三,被忽视的漏洞
至此,我们已经可以发现一些被忽视的漏洞。
首先,Wifi是非常不安全的。一些增强蹭网设备,可以连到数百米之外的Wifi,密码太简单,被暴力破解以后。对方就可能获得无线路由器的管理权,进而抓包获取非加密的数据。
而很多人的无线路由器密码都是简单的,长期不更换的,24小时在线的,这就给破解提供了很大便利。
这还是家里的路由器,到了公共场所,各种免密码的路由本来就目的不纯,那就更危险了。
所以,安全第一要义。尽可能不用不信任的Wifi,家里的无线路由器,用强密码,定期更换,不给暴力破解者机会。
支付的时候尽量用运营商的3G、4G网络。
其次,支付也好,Apple ID这种重要的登录名也好,一定要独立密码。
重要密码独立是非常非常非常重要的。重要密码一方,苹果或者阿里也都有足够的加密机制,被抓了包也不容易破解,他们也不容易被黑客攻破,大面积泄漏密码。而小网站就不一定了。就是用户自己不出问题,也有可能因为网站的问题被撞库。你在一个小网站留下了用户名或者密码被破解,一旦密码通用,你的所有密码都被破解了。
第三,收验证的短信手机别用智能手机
这次支付宝出问题,用户用的是iPhone手机,iPhone手机的云端备份,信息共享可以造成短信验证码泄漏。
而安卓手机也不保险,有太多的木马截留用户的短信并转发,然后删除用户短信。安卓手机用户不会有任何察觉。
给短信验证留一个专用的手机号,买一部功能手机,专门打电话,发短信,不开通数据流量,没有Wifi,黑客得黑了中国移动,才能知道你的验证码,这就安全多了。
此外,对于银行账户和网络支付要分清楚,快捷支付别没事绑定那么多银行卡。绑定一张信用卡,支付随时有短信通知,这样支付宝,银行双重通知,有了问题也能及时发现。
网络世界没有绝对的安全,但是我们可以提升黑客破解的成本,黑客如果有能力破解阿里,破解苹果,破解中国移动,它是不会盯上你那几万元的。
作者:maomaobear | 来源:iDoNews专栏