網(wǎng)上支付的安全隱患你知道多少
網(wǎng)上支付對于很多人來說并不陌生。你也許通過某家商業(yè)銀行的網(wǎng)上銀行轉(zhuǎn)賬、支付交易保證金,或是通過一些專業(yè)的網(wǎng)上支付服務(wù)商(如“支付寶”)進(jìn)行過網(wǎng)上購物在線支付。所有這些通過互聯(lián)網(wǎng)進(jìn)行的支付方式都是網(wǎng)上支付。但是,網(wǎng)上支付的安全隱患你知道多少,現(xiàn)在由hishop的小編帶大家了解一下。
網(wǎng)上支付受歡迎程度并不一致。一方面,很多人感受到互聯(lián)網(wǎng)支付的快捷和方便,從而對網(wǎng)上支付情有獨(dú)鐘,他們覺得網(wǎng)上支付可以明顯減少到銀行的往來奔波之苦、可以免除排隊的煩勞;另一方面,一部分人對網(wǎng)上支付退避三舍,不敢輕易嘗試網(wǎng)上支付。經(jīng)調(diào)查分析,不同人群對待網(wǎng)上支付的不同態(tài)度在很大程度上是由于他們對網(wǎng)上支付安全擔(dān)心程度不同所致。也就是說,對于后者,他們覺得網(wǎng)上支付需要更好的安全保障。從目前網(wǎng)上支付的發(fā)展水平和出現(xiàn)的網(wǎng)上支付案例來看,現(xiàn)行的網(wǎng)上支付安全技術(shù)和手段已經(jīng)比較成熟,絕大部分網(wǎng)上支付安全事件更多的是由于支付者缺乏必要的安全防范意識和技能所致。
哪里存在安全隱患?
人們對任何事物關(guān)注點(diǎn)與該事物發(fā)展階段變化而變化。在事物的不同發(fā)展階段,風(fēng)險點(diǎn)發(fā)生變化,社會對此的關(guān)注點(diǎn)可能發(fā)生變化。對于網(wǎng)上支付,當(dāng)前的主流方式是通過銀行卡(包括信用卡、借記卡和支付卡等)這種支付工具,通過瀏覽器輸入必要的支付認(rèn)證信息,經(jīng)發(fā)卡行認(rèn)證授權(quán)后扣款完成在線支付。現(xiàn)階段的支付風(fēng)險主要存在于:
1.支付密碼泄漏。一旦攻擊者通過某種方式得到支付密碼,可以輕易地冒充持卡人通過互聯(lián)網(wǎng)進(jìn)行消費(fèi),給持卡人帶來損失。這是人們對網(wǎng)上支付安全的主要擔(dān)心所在。
2.支付數(shù)據(jù)被篡改。在缺乏必要的安全防范措施情況下,攻擊者可以通過修改互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)。譬如,攻擊者可以修改付款銀行卡號、修改支付金額、修改收款人賬號等,達(dá)到謀利目的并制造互聯(lián)網(wǎng)支付事件。
3.否認(rèn)支付。網(wǎng)上支付是一個通過商業(yè)銀行提供的網(wǎng)上結(jié)算服務(wù)將資金從付款人賬戶劃撥到收款人賬戶的過程。對于資金劃出操作,若付款人否認(rèn)發(fā)出資金劃出指令,商業(yè)銀行將處于被動局面;對于資金劃入操作,若商業(yè)銀行否認(rèn)資金劃入操作,收款人將處于不利境地。如何減少支付風(fēng)險?降低風(fēng)險需要根據(jù)風(fēng)險點(diǎn)的不同特征采取不同的風(fēng)險控制措施。我們先來看看怎樣“看護(hù)”好我們的支付密碼。攻擊者通常用哪些手段得到得到支付密碼呢?
4.騙取手段。攻擊者可以采用“釣魚”方式達(dá)到目的。具體方式有假冒網(wǎng)站、虛假短信(郵件)。這些網(wǎng)站頁面、短信或郵件是他們的“誘餌”。不能識別這些詐騙手段的持卡人容易被攻擊者誘騙,乖乖地向其泄漏自己的銀行卡支付密碼。
5.支付終端截取。攻擊者可以在持卡人電腦上發(fā)布惡意軟件(如木馬軟件)。這些軟件能在持卡人輸入支付密碼時悄無聲息地捕獲,并偷偷地發(fā)送出去。
6.網(wǎng)絡(luò)截獲。攻擊者在支付終端和其它網(wǎng)絡(luò)設(shè)備等節(jié)點(diǎn)通過智能識別和密鑰破解手段得到支付密碼。
7.暴力攻擊。當(dāng)前很多發(fā)卡行采用6位數(shù)字密碼方式。借助于具有強(qiáng)大運(yùn)算能力的計算機(jī),攻擊者可以采用密碼詞典(密碼詞典包含了0-9數(shù)字不同字長的各種數(shù)字串組合)方式逐個試探。
8.其它途徑獲取。攻擊者趁持卡人不注意,在銀行柜臺、ATM或POS終端記下持卡人的支付密碼。
支付密碼泄漏是網(wǎng)上支付案件的主要原因。從上述這些攻擊手段可以看出,我們首先要具有安全意識和基本防范技能。所以,hishop的小編建議持卡人應(yīng)注意:
a.識別假冒網(wǎng)站。持卡人需要確認(rèn)支付頁面網(wǎng)站域名的真?zhèn)?。因此,持卡人不妨選擇一家商業(yè)銀行或支付平臺作為常用的支付服務(wù)商,熟悉其域名,并在支付操作時細(xì)心即可。有些商業(yè)銀行網(wǎng)上銀行或支付平臺提供了持卡人“預(yù)留信息”方式,可以幫助持卡人識別假網(wǎng)站。
b.虛假短信(郵件)相對假冒網(wǎng)站而言更易于識別。持卡人在收到任何與銀行卡、支付有關(guān)的短信后,應(yīng)確認(rèn)短信發(fā)送者的真實身份或短信內(nèi)容。
c.密碼保護(hù)還需要持卡人注意不要設(shè)置簡單的密碼。如不要采用類似“123456”的簡單數(shù)字組合、自己或親人的生日信息、電話號碼。此外,還注意支付終端的安全性,如不要在公用網(wǎng)吧進(jìn)行網(wǎng)上支付、在支付終端上安裝反病毒、反木馬軟件。同時,還要注意在其它場所支付輸入密碼時不輕易為他人偷窺、攝像等,不要將密碼記錄在被人容易看到的紙片上。
支付密碼能輕易為攻擊者騙取、竊取或破解,更為一個重要的原因是支付密碼本身缺乏一定的防攻擊、防竊取能力。由于密碼通常是字母、數(shù)字的簡單組合,屬于低安全強(qiáng)度的保護(hù)機(jī)制。如采用數(shù)字證書代替或補(bǔ)充支付密碼就是一種更有效方式。因此,小編建議持卡人進(jìn)行網(wǎng)上支付最好選擇使用采用數(shù)字證書安全機(jī)制的支付方式。這樣能有效的保證你網(wǎng)上支付的安全。