余額寶遭盜頻發(fā) 支付寶安全漏洞被曝光

　　1.對手機過于“依賴”而產(chǎn)生安全隱患

　　網(wǎng)上所提到的支付寶有諸如小額免密碼支付、綁定銀行卡快捷支付等存在漏洞，這些功能確實有問題，但相關(guān)功能用戶也可以關(guān)閉，這個我們待會兒再談。這里先談?wù)労芏嘤脩魺o法改變，但確實很嚴重的一個問題，就是支付寶對手機過于“依賴”而產(chǎn)生安全隱患。

　　對一般用戶而言，涉及支付寶安全的關(guān)鍵詞有如下幾個：用戶名、登錄密碼、支付密碼、數(shù)字證書。只要在上述幾個條件滿足的情況下，用戶就能完成支付。對不法分子而言，他們?nèi)绻I取用戶的支付寶賬戶，則必須解決上述幾個問題，別以為這幾個問題很困難，只要用戶的手機被植入木馬，或者手機卡被復(fù)制，不法分子就極有可能盜取用戶的支付寶賬戶。

　　用戶名相對容易獲取，而登錄密碼、支付密碼，也都可以根據(jù)短信驗證進行修改，注銷和安裝數(shù)字證書也同樣如此。一種情況是，用戶的手機被植入木馬，黑客在操作過程中，通過木馬攔截用戶短信，獲取驗證碼，而用戶全然不知;還有一種情況是直接復(fù)制用戶的手機卡，如下圖所示。

　　換言之，只要手機被控制，或者手機卡被復(fù)制，不法分子就有可能進行某些設(shè)置，比如修改密碼、開通無線支付、開通余額支付等等，通過這些手段盜竊用戶的錢。當然，一般不法分子還會掌握用戶的身份信息，因為在支付寶的某些服務(wù)中，需要輸入身份證驗證，但有的卻不需要。總之，對手機過于“依賴”必然會產(chǎn)生極大的安全隱患。

　　2.手機號綁定的相關(guān)問題

　　上面提到的問題是不更改用戶綁定到支付寶的手機號可能會產(chǎn)生的風(fēng)險，還有另外一種情況，則是修改手機號綁定，也就是說，將原來的手機號解綁，不法分子將自己的手機號綁定上去。筆者對這個方面進行了一定的研究，發(fā)現(xiàn)其實不法分子要修改手機號綁定，還是比較麻煩的。

　　由于筆者是使用郵箱來注冊支付寶賬號，筆者嘗試修改手機號綁定時，系統(tǒng)提示必須根據(jù)人工審核來完成修改，其中有以下幾個步驟，首先是支付寶會往郵箱發(fā)送一份確認鏈接，然后用戶點擊之后，會進入一個“自助服務(wù)”頁面，接下來有幾個步驟，如下圖所示。應(yīng)該說整個確認過程還是相對完善，如果用戶的信息沒有泄露，基本上不法分子想修改綁定手機號還是蠻困難的。不過這一系統(tǒng)仍有漏洞，筆者在不登陸支付寶的情況下，仍然可以訪問支付寶所發(fā)送的確認鏈接，而且似乎不存在有效期問題，即便是三天五天之后訪問該鏈接仍然有效，這很令人納悶兒。

　　而對于手機注冊用戶，問題卻要簡單一些，因為不含郵箱，系統(tǒng)會提示輸入郵箱，接下來，系統(tǒng)會往郵箱發(fā)送申請表，整個過程和上面的第3步相同。可以看出，手機注冊用戶安全性應(yīng)該不如郵箱用戶，不過，手機注冊用戶仍然可以添加郵箱賬號予以完善。

　　因此，我們不太建議用戶使用手機號來注冊支付寶，如果使用郵箱注冊支付寶，我們也不建議大家開通手機登陸功能。{page_break}

　　3.手機錢包的安全隱患

　　再來說支付寶手機錢包的安全隱患，筆者最初使用支付寶手機錢包時，發(fā)現(xiàn)某些時候居然不用輸入支付密碼就能轉(zhuǎn)賬，這就是小額免密碼支付功能，雖然方便，但確實很不安全。尤其是，已經(jīng)有用戶在IOS系統(tǒng)上測試，先關(guān)閉網(wǎng)絡(luò)再登陸手機支付寶，5次劃錯密碼手勢，后臺關(guān)閉支付寶軟件，再次打開就可以設(shè)置新的手勢，連上網(wǎng)后就能進入軟件。若該賬戶設(shè)定了小額免密支付就可能存在被盜刷的風(fēng)險!

　　當然，手機錢包的問題還不止于此，筆者之前開通了每月6毛的短信校驗服務(wù)，開通該功能以后，每筆轉(zhuǎn)賬無論大小都必須通過短信進行驗證，該功能在PC上使用并無問題，但在手機上卻無法使用。也就是說，支付寶并未對手機錢包同步覆蓋該功能。

　　這也是一大問題，眾所周知，支付寶對PC端轉(zhuǎn)賬進行收費，其目的就是為了推廣移動端，但相比之下，移動端的支付寶錢包在功能、安全性方面仍處于初期階段，未來支付寶必須加快步伐，對移動端進行完善。當然，對于使用支付盾的用戶，我們建議關(guān)閉無線支付，否則安全隱患仍可能存在。

　　除開這些問題以外，用戶在使用支付寶手機錢包時，仍要特別注意定期對手機查殺病毒木馬，不能隨便訪問未知網(wǎng)站，也不能隨便掃描二維碼，因為這都可能導(dǎo)致用戶手機中病毒。

　　4.PC中木馬導(dǎo)致支付寶錢被盜

　　還有一種情況，就是PC中木馬，導(dǎo)致支付寶錢被盜，黑客利用木馬遠程控制用戶的電腦，同時他們也可能早已經(jīng)掌握用戶的登陸密碼和支付密碼，這時候，他們就可以直接在用戶電腦上進行操作。當然，如果用戶設(shè)置了短信驗證等功能，在手機未中病毒或者手機號未泄露的情況下，僅僅有這些步驟將無法完成資金盜竊，不過這種情況仍不得不防。

　　當然，對大家熟悉的像小額免密碼支付功能、快捷支付功能我們就不再贅述，網(wǎng)上已經(jīng)講了很多了，希望大家關(guān)閉這些功能，確保自己賬戶安全。