月光博客 » 软件应用 » 快捷支付的安全风险

快捷支付的安全风险

  电子商务离不开网上支付,在第三方支付出现以前,传统网上支付业务一直是银行提供的网上支付服务,非银行金融结构和非金融企业尚未介入。但随着电子商务的发展,几家大的第三方支付企业均通过各种方式开展网上支付、快捷支付等服务,其中最主要的形式是“快捷支付”。

  快捷支付是一种方便、快速的支付方式。客户可通过将个人第三方支付账户关联自己的储蓄卡或者信用卡,每次付款时只需输入第三方支付账户的支付密码和手机校验码即可完成付款,从而绕开了银行支付网络。目前,支付宝、财付通等主要支付公司都推出了这项服务。用户使用广泛,但对于快捷支付及其安全方面措施,很多人都会想到这样一个问题,快捷支付会不会对自己银行卡里的资金造成风险?

  银行的网上支付通常采用USB KEY等物理硬件设备来保障交易的安全性,我在早先的一篇文章中也讨论过USB KEY的安全性,这种设备通过数字证书和认证的方式来保障交易的安全性,用户只要使用得当,总的来说是较难破解的。

  快捷支付的安全关键在于手机,要保证手机绝对安全,特别是保证短信安全,那才能保证快捷支付的安全。如果有人知道了用户的支付宝或财付通帐号,同时又掌握了用户的手机,那就意味着该用户帐号里绑定银行卡的资金就很容易被盗用,即使用户修改了银行卡的密码也无法阻止。

快捷支付的安全风险

  随着越来越多的中国用户使用Android智能手机,“快捷支付”的风险就越来越明显,因为Android手机上的恶意应用非常多,黑客可以先将具有盗号功能的恶意应用发布到各个应用商店或论坛里,如果用户使用Android手机下载并安装这类恶意应用(例如假冒的游戏应用),那么恶意应用就在后台拦截用户短信通讯,然后再伪装一笔转账,通过截获用户短信来完成交易,或者通过后台将用户引导到钓鱼网站来截获支付密码,这样就完全避规了银行的USB KEY等令牌系统,从而盗取用户资金。

  我觉得更安全的“快捷支付”是这样的,提供一个“快捷支付”的客户端,该客户端提供一个每分钟都变化的一次性密码显示,即“动态令牌”,在原有的短信基础不变上,增加上这个动态令牌,这样,恶意应用即使拦截了用户短信,因为无法拦截到手机动态密码,所以窃取用户资金会失败。而动态令牌的解密,需要破解私钥,并不容易。

  这个方案解决了黑客通过恶意应用盗取用户银行卡资金的方法,但如果用户手机被偷的话,别人就可以在手机上看到这个“动态令牌”,因此用户如果手机被盗,应该及时上网修改动态令牌,并打电话给移动运营商挂失SIM卡。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    PetryZhao   说道:
    现在快捷支付有支付宝证书,支付宝密码验证!
    支持(24反对(8回复
  1. 2
    Youmu_Linux   说道:
    不用快捷支付飘过
    支持(16反对(6回复
  1. 3
    miss蜜橘   说道:
    所以我就说android的安全性好低……
    支持(19反对(9回复
  1. 4
    YouCanCc   说道:
    现在有些应用可以直接读取发来的短信内容
    支持(14反对(5回复
  1. 5
    itswonderful   说道:
    91啊,安智啊,之类的市场,就像小商品市场一样,便宜却充满山寨。
    支持(19反对(10回复
  1. 6
    哈哈   说道:
    你是说用类似于google 身份验证 的动态密码吗?
    可是问题来了,既然智能手机的恶意程序可以盗取短信,怎么就不能盗取智能手机的上的动态验证码呢...
    支持(18反对(9回复
  1. 7
    東經--北緯   说道:
    太有才了,这也能想到。。
    支持(14反对(6回复
  1. 8
    你这是病你知道吗   说道:
    这种功能好像很早就走了,网易的将军令,qq的动态密码
    支持(14反对(7回复
  1. 9
    额不会   说道:
    一个手机装应用,另一个手机收短信
    支持(21反对(14回复
  1. 10
    Hayes_   说道:
    现在很多网站都把手机作为验证身份的重要工具,如果手机黑客泛滥起来,很多用户都会损失惨重,包括网银用户.
    支持(17反对(10回复
  1. 11
    拖延小明   说道:
    所以乱七八糟的应用不能下。
    支持(14反对(7回复
  1. 12
    jimbinc   说道:
    现在貌似不能直接回复短信来确认转账了吧
    支持(16反对(10回复
  1. 13
    小懒孩_程序员   说道:
    1. 动态令牌根据什么生成? 2. 即便可以生成仍可以对“客户端” 反编译,加入拦截短信和获取动态密码,重新签名。
    支持(13反对(7回复
  1. 14
    SprintNext   说道:
    支付宝密码也需要啊。
    支持(14反对(9回复
  1. 15
    Wadily   说道:
    没事。支付宝它信誓旦旦地说会全保的。
    支持(18反对(13回复
  1. 16
    游戏打折情报   说道:
    这样又造成了支付障碍了吧
    支持(16反对(11回复
  1. 17
    ImCola   说道:
    核心问题在短信校验上,动态令牌听上去不错,但第一次初始化时,如何确认账户授权?除非是独立硬件,不然还是短信鉴权~
    支持(11反对(6回复
  1. 18
    Je_ta_ime   说道:
    如果用户使用Android手机下载并安装这类恶意应用。。。请不要废话,你干脆说如果用户把银行卡和密码交给了黑客。。。
    支持(19反对(14回复
  1. 19
    xxx   说道:
    我还是用网银。个人用电脑还是很方便的,没有说马上要付钱找不到电脑的时候。
    支持(16反对(11回复
  1. 20
    周长欣   说道:
    是的,只要APP拥有短信权限,那么不仅可以截获快捷支付的校验码短信,消费交易通知短信一样可以截获,包括用手机号收校验码的二次验证安全登陆和密码找回一样面临这样的问题。事实上你阅读或输入时,所经过的应用程序、浏览器、输入法、操作系统、路由器、服务器…全都可以知道你做了什么。用你相信的
    支持(15反对(11回复
  1. 21
    小洋葱008   说道:
    暂时还木有用过动态密码。。。我的快捷支付就一个支付密码。。。
    支持(15反对(11回复
  1. 22
    草根闰土   说道:
    除了楼主说的,黑客还可收集肉机联系人,SMS,手机日常cook。然后录下用户声音小样,前置摄像头采样,未来配合体感功能还能采集用户肢体语言。然后一个虚拟克隆人就出生了,这可比任何手段更危险。。。。
    支持(15反对(11回复
  1. 23
    晓--清   说道:
    只用电脑支付不用手机可以不?还有密码
    支持(14反对(10回复
  1. 24
    六月第四天   说道:
    我也用快捷支付,我掌握着支付宝帐号和密码,老婆掌握着手机和银行卡,付款时必须两人参与。我都没法单独购物,黑客能行?
    支持(17反对(13回复
  1. 25
    游戏打折情报   说道:
    快捷支付漏洞多了去了,这只是支付网站为了提高支付率丢弃安全性的方法。
    支持(16反对(13回复
  1. 26
    chenyouhp   说道:
    交易前,我会看是不是陌生交易
    支持(12反对(9回复
  1. 27
    fish   说道:
    我也来此sofa
    支持(12反对(9回复
  1. 28
    白开水_fooduo   说道:
    快捷支付都的绑定账号的!知道也无妨!
    支持(18反对(15回复
  1. 29
    进击小猪   说道:
    我觉得有这个可能,但是至少我的支付宝这么做是不行的
    支持(15反对(12回复
  1. 30
    Ashura   说道:
    支付宝app的短信只是一个验证机制不是吗?被拦截,顶多我这笔支付不成功…
    支持(14反对(11回复
  1. 31
    熠熠生辉1024   说道:
    本来就有,手机宝令
    支持(12反对(9回复
  1. 32
    小雨淋漓_落   说道:
    博主看了外国应用货其他类似应用,把支付宝还停留在以前思维,没认真调查。
    支持(8反对(5回复
  1. 33
    季真旸   说道:
    我觉得,用俩手机比较好,一个专门用来绑定,而且是最原始的黑白屏非智能机,就安全了。
    支持(15反对(12回复
  1. 34
    小包子-考研fighting   说道:
    苹果上的支付宝有这个功能
    支持(11反对(8回复
  1. 35
    soyer   说道:
    坑爹的是有时候支付宝自行判断你上网环境,它认为安全的,连短信提示都没有,直接用支付密码支付
    支持(17反对(14回复
  1. 36
    枥枥Chip   说道:
    .那个..这个完全不算什么好吧,丢手机,然后你的支付宝是qq邮箱,同时手机又登陆了qq,这时候只要向你的支付宝申请代付,回两条短信就能把钱全部转走了
    支持(13反对(10回复
  1. 一直在使用快捷支付,还很喜欢快捷支付,太方便了!怕损失,专门办了张卡,平日就两三百在里面,快光了继续冲几百,反正用不到大额支付~~
    支持(13反对(10回复
  1. 38
    Teddy   说道:
    其实现在短信只是起身份唯一性确认的效果,如果要防止客户端黑客拦截,加一个防止机器拦截或者识别的方法就好了。比如发送的短信要求输入的验证码是“一加二等于?”的结果。这样黑客软件拦截下来无法自动识别,就无法完成自动交易了。
    支持(12反对(9回复
  1. 39
    秋杉   说道:
    这是在给支付宝的手机宝令做广告吗……
    支持(14反对(11回复
  1. 40
    XieFaner   说道:
    越狱iOS也有这个风险!
    支持(13反对(11回复
  1. 41
    资深屌丝李学明   说道:
    支付宝也可以开手机宝令啊
    支持(10反对(8回复
  1. 42
    火志溟   说道:
    我的支付宝快捷支付,就是动态令牌的!
    支持(15反对(13回复
  1. 43
    mb小新   说道:
    短信验证应该只对用户看到的页面session有效吧
    支持(12反对(10回复
  1. 支付宝不放钱不就得了,网银都是u盾
    支持(11反对(9回复
  1. 45
    海辰   说道:
    另外ios和wp没这个风险,我是在android上从不进行任何交易
    支持(12反对(10回复
  1. 46
    Con30   说道:
    QQ令牌不就是这样吗?
    支持(15反对(13回复
  1. 47
    寂静的1984   说道:
    这个东西不就是手机宝令吗??
    支持(11反对(9回复
  1. 48
    斯雯倪嘉   说道:
    我覺得以後手機會造成很多損失的工具。
    支持(11反对(9回复
  1. 49
    UltraPixel   说道:
    从不用手机支付
    支持(15反对(13回复
  1. 50
    吉米丶metro   说道:
    我从来不用快捷支付,我始终相信越简单越不安全,还是老老实实用网银吧。虽然复杂,但是比快捷支付好多了
    支持(14反对(12回复
  1. 51
    娶个名字叫恩诺   说道:
    如果怕不安全就把 未知来源那个勾去掉吧~~~~
    支持(13反对(11回复
  1. 52
    支付宝   说道:
    你说的太过了,第一要知道支付宝登陆账号密码 ,不是知道用户名 和能看到手机短信 就行的 真不知道你有没有使用快捷支付,这个加密是支付宝用户名 登陆密码 加上手机验证短信
    支持(9反对(7回复
  1. 53
    null   说道:
    支付宝的宝令带这个功能,拿张废卡装安卓手机里,应用钛备份过来,就可以独立不联网运行宝令了
    支持(12反对(10回复
  1. 54
    Anarchy   说道:
    貌似可以。。。。。。
    支持(12反对(11回复
  1. 55
    Hedwig__薇   说道:
    一直都不敢开快捷支付。。。
    支持(15反对(14回复
  1. 56
    faerry   说道:
    对于保险公司来说,只要他们有你的身份证信息及银行卡信息,就可以直接从你的银行卡上扣款,我现在就遇到这样的事情,而且银行方面没有任何措施来避免这一事件发生
    支持(11反对(10回复
  1. 57
    教你识数码   说道:
    支付宝的快捷支付无所谓,支付宝承诺被盗全额赔偿,腾讯的就不说了,没意思
    支持(14反对(13回复
  1. 58
    筱枫夜   说道:
    不是需要用验证码来完成网页上的交易么,就算劫持了短信验证码,那也还需要在电脑上设陷阱啊,要是电脑安全性较好那还是可以避免这样的事情发生的吧
    支持(11反对(10回复
  1. 59
    hemlocks   说道:
    手机宝令不就是这样么
    支持(8反对(7回复
  1. 60
    晨希veve   说道:
    网络的世界那会有绝对的安全。
    支持(12反对(11回复
  1. 61
    o0慢节奏0o   说道:
    支付宝的安卓客户端已经有动态令牌了
    支持(9反对(8回复
  1. 62
    HarlemLoo   说道:
    现支付宝app的宝令就提供这功能
    支持(15反对(14回复
  1. 63
    BiAo碧池伊斯苏碧池   说道:
    支付宝现在就是这个流程。。。 (
    支持(13反对(12回复
  1. 64
    小雨淋漓_落   说道:
    简易快捷支付是有每天额度限定的,安全等级高的支付额度高,
    支持(11反对(10回复
  1. 65
    UnluckyNinja   说道:
    云服务当然是好的,短信这种伪云就是上个世纪的古董
    支持(15反对(14回复
  1. 66
    阳光的沙angel   说道:
    我靠,这么危险,龙大师,肿么预防
    支持(13反对(12回复
  1. 67
    太阳花刺   说道:
    冏。。。。。赶快取消支付宝快捷支付。。。。。。
    支持(8反对(7回复
  1. 68
    233534654   说道:
    动态口令可以通过手机短信取消的 短信被拦截不完蛋了 就算手机没被偷
    支持(10反对(9回复
  1. 69
    英语口语精选MrJIMMY   说道:
    现在已经停止了短信支付
    支持(8反对(8回复
  1. 70
    天使_撒旦   说道:
    问题是,怎么让电脑上中毒的人手机上也正好有那个应用?
    支持(8反对(8回复
  1. 71
    睡在落叶里的猪   说道:
    双手机可以一定程度减少风险,所以我一直是数据手机和通话手机分离的。
    支持(8反对(8回复
  1. 72
    查理任   说道:
    不要用安卓最好了
    支持(19反对(19回复
  1. 73
    ExSser_In_SYSU   说道:
    支付宝没钱,网银必须U盾...无忧了...
    支持(11反对(11回复
  1. 74
    BenzLeung   说道:
    支付宝现在真有这个动态口令功能
    支持(11反对(11回复
  1. 75
    逸天   说道:
    IOS就不用担心了吧
    支持(8反对(8回复
  1. 76
    LAMP_Developer_w50   说道:
    貌似4.3之后,在权限控制上,可以逐项设置,这要对比较细心的人而言,或许会在安全上有所改善。。
    支持(11反对(11回复
  1. 77
    YY是个好筒子   说道:
    你是在提供思路吧
    支持(8反对(8回复
  1. 78
    LIS-九筒大叔   说道:
    所以安卓系统终将完结!
    支持(12反对(12回复
  1. 79
    昨夜风雨独上西楼   说道:
    早就预感不安全,只要能获取验证短信,就可以绑定别人的银行账号,
    支持(15反对(15回复
  1. 80
    西红柿和炒米饭   说道:
    注意软件渠道什么的。
    支持(14反对(14回复
  1. 81
      说道:
    千万别用快捷支付,它是把你银行卡的所有资料交给支付商,完全由支付商来掌握,漏洞很多,而且支付商本身就有问题
    支持(9反对(9回复
  1. 82
    李虹铭   说道:
    不知道支付宝说的“你敢用,我敢赔”是否可以抵御此类灾害
    支持(8反对(9回复
  1. 不安全,没敢开快捷支付……
    支持(8反对(9回复
  1. 84
    海口飞猪   说道:
    如果中招,连手机短信提示都收不到,只能查信用卡帐单,而很少人会关注自己的每月帐单明细。
    支持(9反对(10回复
  1. 85
    AaronMU   说道:
    ios是不是没有此风险呢?
    支持(10反对(11回复
  1. 86
    行者_缽仔糕   说道:
    对于快捷支付的安全验证一直不胜了然,网银盾依然是第一选择
    支持(8反对(9回复
  1. 87
    Swimmmmmmmmmmmmmmm   说道:
    最好自己设定一下额度限制,小额支付快捷方便一点,大额快捷支付目前还是免了。我的建行快捷支付单笔最高200。
    支持(12反对(13回复
  1. 88
    部兴喳   说道:
    确实是这样的,我被盗过4000多块,是从hiapk的论坛上下载的应用,从此论坛分享的app再也不敢碰了,快捷支付也不敢再开
    支持(12反对(13回复
  1. 89
    老三儿   说道:
    支付宝有 宝令 实现了你说的功能
    支持(12反对(13回复
  1. 90
    許要二零一三順利   说道:
    两部验证,手机密码跟动态密码,是现在能想到的最安全的方式了
    支持(12反对(13回复
  1. 91
    每日是好日   说道:
    现在的支付宝用的就是类似这种每隔30s不停变化数字的验证方式,个人感觉还是很方便的。其实其他银行也有,但是网站体验做的那个惨不忍睹啊。
    支持(10反对(11回复
  1. 92
    zx0009   说道:
    Android也有类似的应用 是google自己的动态密匙 不过好像也只见过google有
    支持(11反对(12回复
  1. 93
    iDereck   说道:
    哪有那么复杂,听说快捷支付出过问题?
    支持(10反对(11回复
  1. 94
    闹够了没有xxx   说道:
    我用财付通付款交易都需要支付密码,他怎么能通过截获短信来伪装成转账,难不成恶意软件还能知道我的支付密码,这什么跟什么啊
    支持(8反对(9回复
  1. 95
    吕侯   说道:
    必须把住手机安全关,只从官方或可信市场下载应用。
    支持(11反对(12回复
  1. 96
    何阿兰   说道:
    请问支付密码怎么破解
    支持(8反对(9回复
  1. 97
    shell909090   说道:
    还有伪装用户寻回密码,这个早就和支付宝说过了。
    支持(8反对(10回复
  1. 98
    英语口语精选MrJIMMY   说道:
    上次的STRUTS后就停止了
    支持(13反对(15回复
  1. 99
    Skin先生   说道:
    问题是黑客如何伪装那一笔转账!也需要登录用户的支付宝才可以吧~IOS的支付宝快捷支付更加简便,短信都不用,只需登录后画一个图形。。。瞬间感觉快捷支付不安全。。。
    支持(12反对(14回复
  1. 100
    蜀黍的碗快进来   说道:
    动态口令卡貌似不需要这样
    支持(8反对(10回复
  1. 101
    于是我闻   说道:
    这个早有了。宝令 35块钱一个。
    支持(10反对(12回复
  1. 102
    安医生官方微博   说道:
    是的,确实有这个风险,这种截取短信的情况还出现在恶意应用私自定制增值服务的时候,安卓手机安装安医生,通过主动防御禁止其读取短信的权限是可以预防这种情况的。
    支持(11反对(13回复
  1. 103
    tidzhang   说道:
    自动授时怎么解决?
    支持(11反对(13回复
  1. 104
    test   说道:
    方便和安全不可兼得,只能找一个平衡点
    支持(9反对(11回复
  1. 105
    神秘的disciple   说道:
    幸亏不用,连微信也不装,感觉给程序的权限太大了,国内一些应用程序下载的地方对风险提示不够,有的根本就没有。
    支持(9反对(11回复
  1. 106
    正能量师父   说道:
    破的办法很简单,就是不下载乱七八糟的应用。
    支持(9反对(11回复
  1. 107
    chenhurt   说道:
    我早就说了 这个有风险 所以 我从不绑定 但是每次网银付款的时候 支付宝 默认都是让用户开通的 那个选项打钩了 流氓推广
    支持(12反对(14回复
  1. 108
    老郑   说道:
    那些嚷嚷着不敢用或者不开的,其实卡上没多少钱。
    支持(9反对(11回复
  1. 109
    我是Chaos   说道:
    所以不敢用安卓手机
    支持(13反对(16回复
  1. 110
    小小酥Beta   说道:
    往往都是二选一,就算我花钱买了强制短信
    支持(11反对(14回复
  1. 111
    立方-仰望   说道:
    支付宝钱包提供手机宝令,动态刷新
    支持(11反对(14回复
  1. 112
    dcxy0   说道:
    学Google,弄个二次验证。
    支持(12反对(15回复
  1. 113
    技术汇   说道:
    应用商店的审核流程不够完善导致恶意应用到处是
    支持(11反对(14回复
  1. 114
    木棱瓜   说道:
    有那么不安全吗=-O
    支持(10反对(13回复
  1. 115
    支付宝   说道:
    当然登陆时候 可以通过手机找回登陆密码,这就看各位 安全设置了
    支持(7反对(10回复
  1. 116
    m4xh3k   说道:
    应该存在这种风险。所以安装相关安全工具设置权限非常有必要
    支持(9反对(13回复
  1. 117
    white   说道:
    要把银行帐号和手机关联起来还是不太容易的吧
    支持(10反对(14回复
  1. 118
    Alan_ccac   说道:
    让你Root, 找死吧。
    支持(8反对(12回复
  1. 119
    丧失啊   说道:
    你把支付变复杂了
    支持(10反对(14回复
  1. 120
    Skin先生   说道:
    IOS版的支付宝钱包是有个“手机宝令”的功能,和你描述的一样!我没激活,主要是不方便了!应该说,方便快捷和安全不可兼得,看人怎么取舍吧
    支持(9反对(13回复
  1. 121
    smartland   说道:
    支付宝支持手机令牌了,电脑付款,支付密码+手机令牌;手机付款支付密码+付款银行的短信验证码。手机和密码不同时泄露的话,还是安全的!
    支持(9反对(13回复
  1. 122
    正能量师父   说道:
    这个功能原本就有啊……
    支持(14反对(18回复
  1. 123
    晓溪阿   说道:
    好像是有这样的风险存在哟
    支持(6反对(10回复
  1. 124
    We_always_together   说道:
    手机支付功能是需要手机发送系统反馈的验证码 黑客能够截取到手机的信息 发起对应支付宝的交易 甚至可以截取到验证码信息 但是没有办法用用户的手机发送
    支持(10反对(14回复
  1. 125
    我是Chaos   说道:
    所以从不用安卓机器,IOS和WP双枪,目前来看,IOS和WP还是可以信赖的。
    支持(10反对(14回复
  1. 126
    饭焦仰望煲盖   说道:
    就像支付宝那样ios端那样?
    支持(6反对(11回复
  1. 127
    草木寒塘   说道:
    还好我一直坚持不用快捷支付
    支持(8反对(13回复
  1. 看完就想马上停用快捷支付了…起码得停掉有钱的卡…
    支持(9反对(14回复
  1. 129
    海辰   说道:
    支付宝令就是这样啊
    支持(9反对(14回复
  1. 130
    _蓝色海洋_   说道:
    好像是有这样的风险存在哟
    支持(8反对(13回复
  1. 131
    随机思维   说道:
    快捷与安全,是存在矛盾的。
    支持(11反对(16回复
  1. 132
    活著別折騰   说道:
    一看评论区超多安卓黑。呵呵!
    支持(5反对(10回复
  1. 133
    ll莲漪ll   说道:
    很有可能,现在安卓手机的很多应用都是假冒的恶意应用
    支持(9反对(15回复
  1. 134
    游荡的坎德人   说道:
    所以我一直坚持只在官方Google Play下应用~~
    支持(9反对(16回复
  1. 135
    xuenhua2008   说道:
    既然能拦截短信,为什么不能获取客户端的动态令牌呢?
    支持(4反对(11回复
  1. 136
    graypigeoner   说道:
    不是同一笔支付业务,不是同样的验证码啊。。
    支持(6反对(14回复
  1. 137
    guenboas   说道:
    是的,但你可以开通宝令
    支持(10反对(18回复
  1. 138
    思考者杨太平   说道:
    那样就有些麻烦了
    支持(6反对(14回复
  1. 139
    dazuiba2012   说道:
    转给Android的用户们。主力机还是用iPhone吧。
    支持(7反对(16回复

发表留言