请务必警惕微信支付的安全隐患

近日本人注意到一微信支付用户被盗近2万元人民币,仔细研究后发现过程是这样的。

1、用户状态:
该微信用户(以下简称“受害者”)的微信绑定了银行卡(大家首发红包乃至支付都需要绑定银行卡,而且必须是储蓄卡的)银行卡有2万余元存款余额,同时绑定了一手机号。

2、被盗过程:
(1)某日受害者发现手机突然没有信号,但是没有提高警惕,期间也没有打电话

(2)受害者注意到自己的微信有一条提示就是微信与自己的手机号解绑(应当是在wifi下),此时没有重视这一信息

(3)受害者过了好几个小时借别人的电话和其老婆通话才知道自己的手机一直处于无人接听而不是无法接通的状态,被骂了一顿才想起来去手机运营商问问怎么回事

(4)手机运营商客服人员说其手机sim卡可能烧了,让其补卡

(5)受害者去补卡被告知在其手机没有信号期间,在同城异地(天通苑)升级过4g

(6)受害者查银行卡才发现银行卡被盗

(7)受害者的微信密码、支付密码、银行卡密码等都没有被改过

(8)受害者上网吐槽微信不安全,引发网友讨论

3、盗窃过程分析

分析上述整个流程,我理解盗窃过程是这样的

(1)小偷在某运营商天通苑营业厅以升级4g为借口,新办了一张受害者的手机sim卡,该手机sim卡取代了受害者正在使用的手机sim卡,导致受害者手机突然没有信号,等于盗取了受害者的手机号

(2)小偷用受害者的手机号新注册了一个微信,在此情况下微信会将该手机号与受害者原有的手机号解绑,因此受害者正在使用的微信提示微信与自己的手机号解绑——这是微信和支付宝最大的区别,支付宝只能选择登录现有账户或者更换手机号码

(3)小偷用这个新微信绑定受害者的银行卡
值得注意的是,银行卡与微信支付的绑定并不需要输入银行卡密码,而只是需要输入银行卡卡主的身份证号、手机号即可,然后用银行短信认证的方式实现微信支付与银行卡的绑定

(4)小偷用发红包的方式199元一笔,逐笔将受害者的银行卡内余额转到小偷自己的微信号上

(5)小偷从自己的微信号上提现到自己的银行卡,然后取钱跑路

盗窃完成

4、风险点分析

(1)现有微信的登录安全机制

大家用微信都知道,本人的微信号很难被盗,原因是微信号无论是PC登录、ipad登录还是另一个手机登录,就一定会同时注销现有的手机的登录或者提示同时有另外的账号登录,因此如果受害者发现自己的微信突然自动退出了,那就一定是微信号密码被盗了。

但是这个还不够,因为如果是在从来没有登录过本人微信号的手机登录微信,微信的安全机制还要求用手机短信作为验证。因此,即便手机号也被复制,那么只要微信突然被自动退出,那么微信用户一定能察觉出了问题,而且是手机号与微信密码都出了问题

这里面最大的问题是,用户根本没有登录微信,或者微信根本没有联网——例如在国际漫游未能上网时,或者很多人习惯的不接入wifi就不上网以节省数据流量——时,无法看到自己的微信被异地异机登录。如果此时手机号没有信号,就两眼一抹黑了。

但是小偷即便登录微信,还要面对微信支付密码等几个关口。

所以现有微信的登录安全机制下,小偷需要掌握微信密码、微信支付密码、用户手机号三个重要数据。

这其中,掌握用户微信密码和微信支付密码是个技术活,掌握用户手机号则是个社交活——搞定电信营业厅

(2)小偷的策略

对于大多数小偷来说,盗取用户微信密码和微信支付密码难度较大,且容易被发现,因此小偷的策略是绕开现有的技术上的微信安全机制,从人上突破,即搞定电信营业厅,掌握用户手机号。

然后,另辟蹊径,用盗取的手机号注册一个微信号并绑定受害者银行卡。

大家有兴趣可以用自己的手机号注册一个新的微信试试。很简单的就可以让自己的手机号绑定一个新的微信号。

至于绑定银行卡,大家打开微信试试即知,需要录入的信息很有限即银行卡号、持卡人姓名、身份证号和手机号,然后输入短信验证码即可绑定微信,这是通常快捷支付都会采取的模式,无需银行卡自身的取款密码。

小偷需要知道受害者的姓名、储蓄卡号、身份证号并控制受害者手机号这一前提。而这里面最不应该发生的,就是受害者的手机号被小偷控制。

反应快的人立刻就看出来了,在如今信息被大肆贩卖的今天,即使运营商营业厅没有内鬼配合,小偷要知道受害者的身份证号、银行卡号和手机号易如反掌,而营业厅如果把关不严,不核查身份证原件并与本人对应就补卡的话,所有的安全机制就失效了。

因此,小偷把重点放在攻克运营商营业厅上,控制受害者的手机号,只要这一步成功,受害者就成了小偷的提款机。

那么实践中受害者的手机号好控制么,从制度上很难,我曾经因为手机丢失,让秘书帮我补卡,中国移动明确要求本人带身份证现场读取才能补卡,我自己去中国联通也是类似。因为这都是制度的规定。

但是,如果有运营商不严格执行这一制度,成功的让坏人补到卡,就麻烦了。而如果运营商工作人员和小偷里应外合,那么内鬼完全可以筛出客户记录,把所有曾经用储蓄卡在运营商消费的客户筛选出来,收集其储蓄卡号,接下来就很简单了,因为客户姓名、身份证号本来就在运营商系统里,小偷就缺一个储蓄卡号,拿到储蓄卡号,再让内鬼配合着控制手机号,等于集齐了七颗龙珠,小偷就可以实现自己的愿望。这种事儿会不会发生呢?一定会,我就亲身经历过电信运营商工作人员盗用我身份证复印件给别人办了个手机号,然后大肆消费欠费的事儿,只不过幸好我整整一年人在国外,又是律师,才避免了损失。而上文中的被盗案例,八成也是运营商内鬼和小偷的联手作案。

5、防范风险的措施

(1)一定要注意自己的手机信号,如果发现周边人都有信号,自己却没有信号,打不通电话,一定要高度警惕

(2)注意微信的异地登录、手机号被别的微信绑定等提示信息,不要不当回事儿

(3)在运营商消费用信用卡,不要用储蓄卡

(4)国际漫游的特殊风险

当然即使这么做了,在运营商内鬼的情况下,还是防不胜防。

道高一尺,魔高一丈,运营商内鬼完全可以采取的措施是盯着开国际漫游的人下手。他们从系统里一定知道哪些用户国际漫游了。而国际漫游用户最大的特点是为了避免发生高额漫游费,于是停掉数据漫游——大量时候上不了网,微信通知失效。而又因为国际漫游经常信号不好,短信通知也不一定能及时收到,甚至手机号被盗了,用户还以为是国际漫游信号不好,几个小时后发现出问题了也不能及时补救。所以国际漫游是高风险期。

那么在国际漫游时候能补救的就是实时上网,例如在首都机场租用移动wifi等。

此外,还有一点最重要的,就是银行卡尽量少一点现金。大额现金最好转成安全的准活期的投资品,例如银行保本的理财等。

我分析来分析去,只要运营商出了内鬼,风险就是极大的,基本上防不胜防,唯一能提升安全措施的,只能靠运营商和微信了

第一,微信应当改变手机号绑定策略

微信和支付宝的注册都有通过手机号绑定这么一种做法,但是有一个细微的区别决定了微信用户成为被盗用的目标

那就是当手机号被小偷控制的时候,如果小偷用受害者的手机号新注册支付宝,支付宝会提示该手机号已经绑定了其他账号,小偷要么选择登录被绑定的受害者本人的支付宝账号,要么只能另行更换手机号。而前面说过,小偷即使登录了受害者的支付宝或微信账号,只要受害者上网,受害者就会收到异地登录提示,小偷就没法进行下去了。因此,在支付宝的安全策略下,小偷掌握了受害者的手机号,想从支付宝偷出来钱还需要一点技术和运气。然而,微信的策略完全不同,小偷用控制的手机号注册微信,微信也会提示这个手机号绑定他人,但是微信会让小偷继续用这个手机号注册下去,注册完成后,手机号从原有微信解绑,受害者在此期间什么都做不了,也制止不了小偷。这不得不说是微信本身的一个严重bug,微信把所有安全都寄托在手机号上了,但是忽略了运营商可能有内鬼或管理不严这两个问题,正确的策略是,手机号解绑只能在现有微信账号上操作,甚至一旦微信账号绑定手机号并发生过微信支付等,就根本不能解绑,也不能用该手机号注册其它微信号,这才能最低限度的保证安全。

第二,运营商应当加强内控

这恐怕只能靠工信部投诉和诉讼来推动运营商解决了。

第三,用户高度的警惕

不要错过任何一个短信或涉及金钱的手机软件通知,因为这个通知可能值很多钱

第四,用户要舍得花钱

前面我说过,微信登录密码、支付密码之类的是有意义的,它增加了小偷偷钱的成本,哪怕是6位数字密码,看似简单,对于一个和用户完全没有交集的千里之外的小偷来说,想黑出来也不容易。然而,这些密码很容易都会被所谓免费的wifi盗窃。这个也是315曝光过的事。所以,对于大多数经济条件不那么困难的人来说,尤其是通常是小偷盗窃目标的月薪数万却喜欢电子产品和互联网服务的中产阶级(很多土豪手机还用三星翻盖呢,用iphone也就是打电话,微信支付根本不懂怎么开通)来说,我的建议是,尽量还是整一些流量,在外面别省那点流量到处去找wifi,密码被盗,哭都来不及。

特此提示

未经允许不得转载:博海拾贝 » 请务必警惕微信支付的安全隐患