盜刷者可能利用免密支付漏洞
單次額度內多次扣費
記者登錄蘋果手機賬戶,查看付款方式的設置,發現目前蘋果提供的付款方式有支付寶、微信支付、銀行卡、快捷支付等。記者綁定的是支付寶賬戶,賬戶下方有一行“如需重新綁定請輕點此處”的選項,但點擊跳轉后,顯示的界面為“同意免密扣款授權協議并開通”,為何重新綁定賬戶變成了同意免密支付?
而如何控制付款額度?授權額度和次數默認又是多少?公告又在哪里?不少受害者表示不清楚。
支付寶如此介紹免密支付功能:蘋果設備上充值視頻網站VIP會員、購買游戲道具或其他付費項目時,將通過支付寶自動完成支付,“百萬APP和游戲一觸即得”。這些功能與受害者們的經歷頗為重合,比如,被盜刷的付費項目多用于名不見經傳的游戲充值,或者受害者此前使用過免密支付/自動扣款的訂閱服務。
從實際損失看,盜刷者的單次盜刷金額基本不會超過2000元,可見極有可能盜刷者是利用免密支付的漏洞,通過單次額度內多次扣費進行“盜刷”。
蘋果ID賬號被盜
第三方支付賬戶也遭殃
記者從支付寶方面了解到,目前手機賬號被盜導致關聯支付賬號被盜刷的情況只發生在蘋果手機,安卓手機沒有這個問題。
蘋果的商店購買付費APP或產生其他消費,都需要綁定付款方式,目前蘋果的付款方式包含了銀行卡、支付寶、微信支付和快捷支付。
有支付行業資深從業人員告訴記者,這次事件因為蘋果ID賬號被盜,進而在蘋果商店(Apple Store)里消費,綁定任何的支付方式,只要是免密的,都可能被盜刷。
這幾年中國的移動支付飛速發展,用戶喜歡使用移動支付很大的原因是方便,一部手機掃一掃就能完成付款。為了讓這種方便更進一步,支付寶和微信支付都推出了小額免密功能,只要在用戶設定的額度范圍內,連支付密碼都不用輸入就能自動扣款。
據支付寶方面解釋,免密支付最初是為了簡化淘寶用戶網購支付的步驟。但隨著移動支付的使用場景越來越多,類似蘋果商城、視頻APP、打車軟件都在接入支付寶和微信作為支付方式,而免密支付在這些軟件中演化為代扣功能,類似打車不用輸密碼就能自動扣款的場景越來越多。
支付寶建議
開啟“雙重認證”+“安全月限額”
一名從事網絡安全與優化的業內人士告訴記者:盜刷本質上還是賬號、密碼被盜導致。當然,支付平臺和蘋果公司有義務在提供免密支付功能時,給用戶提供明確的支付額度、頻次的選項,在授權前增設一道加密措施,給用戶的財產安全增加一道防線。
“我們有指紋支付和刷臉支付,從目前的交易數據上來看,我們的用戶通過支付寶APP完成交易的,一半以上用的是指紋支付。但免密支付/自動扣款目前都是不需要指紋或刷臉的。”支付寶方面說。
支付寶在回應記者時強調,這次蘋果手機用戶的ID賬號被盜,但用戶的支付寶賬號還是完好的,并沒有被破解。“如果是支付寶賬號被盜,我們可以賠償用戶的損失,但這次主要責任不在支付平臺。”
上述支付行業的專家建議,用戶應當留心各平臺之間賬號信息的授權行為及協議,盡量減少同賬號密碼的多平臺使用,留意免密支付開通的協議及更新內容,管理好自己的免密支付額度和頻次限額,盡量少用或不用免密支付和代扣。建議用戶,在設置相對復雜的賬號和密碼之外,應當留心各平臺之間賬號信息的授權行為及協議,盡量減少同賬號密碼的多平臺使用,留意免密支付開通的協議及更新內容,管理好自己的免密支付額度和頻次限額。
京公網安備 11010502049343號