作为最大的网购支付平台自然首当其冲。最近在某平安网站开展的一项针对支付宝用户的调查结果显示,网络交易已经成为黑客作祟重灾区。针对网络交易和金融证券类的钓鱼网站占到全部钓鱼欺诈的86.38%,有38%网友在网购过程中遭遇过钓鱼类欺诈。支付宝会员已超过1.5亿户。认为很不安全和不太安全的用户占到调查人数的71%只有不到5%用户感到平安,可以放心使用。面对用户的损失,商家倾向于把全部责任推给用户,报警也经常枉费工夫。任何人只要花5块钱即可查询到其他人的身份证信息,造假技术足以以假乱真。网奇表示,现有法律法规和机制不健全,个人隐私被滥用现象普遍,尚找不到万全解决之道。对于普通用户而言,除了首先充分使用支付宝提供的所有平安防护手段外,尽量不要图省事,支付宝中存粮多多,而应该只将其作为银行账户网络交易的接口和临时“钱包”多一层银行防护就多一分安全。
支付宝引入了业界幼稚并广为采用的手机短信确认机制。其假定前提和技术原理是每个手机号码指向一个合法用户个人账户若干关键操作环节,作为支付宝安全认证的一种二次确认手段。除采用证书、口令、提问等一般性维护措施外,更引入手机二次激活确认,如果黑客攻破第一道防线,进一步操作的时候就会自动激活用户事先设置好的短信确认,如果不是事主自己在操作,就会起到报警作用。应该说这在相当大水平上有效地发挥了最后屏障作用,保证了绝大多数用户的账户平安。
案发经过:
账户被盗这段时间,自己的手机提示SIM卡显示无服务,这通常是由于SIM卡接触不良或者SIM卡被注销。意识到自己的手机卡可能被克隆了立即来到营业厅核实,发现当天下午3点许,犯罪嫌疑人在浙江省台州市黄岩区横街东路某营业厅,进行了换卡操作。后经进一步查实线索清楚了嫌犯使用假身份证,该营业厅操持了SIM注销和换卡手续,登录淘宝网的IP地址在海口,可能是异地联动作案。盗贼利用支付宝的手机确认机制,找回支付宝的登录和支付密码,同时注销偏重新申请新的用户数字证书,找回淘宝登录密码,再用你淘宝绑定的手机号全权接管和控制你淘宝与支付宝,疯狂洗钱,购买充值卡,一切操作直如探囊取物。淘宝利用手机验证码建立的整套平安防御体系被窃贼瞬间秒杀。黑客动作娴熟麻利,操作行云流水,完成全部交易只用了20多分钟,这么短时间,用户根本来不及反应和做维护性操作。
