随着移动支付的普遍,人们越来越习惯不带钱包出门,大到商场超市,小到街边小贩,都可以扫码买东西,但移动支付的安全风险也随之增加。
近日发布的《2018移动支付安全大调查报告》显示,2018年移动支付高风险类型主要表现是:更换新手机不解绑银行卡,不删除存留的敏感信息(21%)、直接删除带支付功能APP不解绑银行卡(20%)以及有优惠促销的二维码都会尝试扫(20%)等。
为何这几类行为最容易中招?用户怎样做才能避免被钻空子,记者为此采访了网络信息安全公司长亭科技首席安全官、联合创始人杨坤,请专家为移动钱袋子的安全支招。
淘汰旧手机也需清空数据
在造成移动支付最高风险的“更换新手机不解绑银行卡”行为上,杨坤表示,这要分换手机换号码、换手机不换号码两种情况。“如果手机号也换了,那么与原手机号绑定的所有账号都需要解绑。因为手机号在一段时间之后会被分配给其他用户使用。”杨坤说,他表示自己曾有朋友,在拿到新手机号之后发现竟然能直接登录一些APP,这会造成潜在的安全风险,因此换手机号码后一定要逐一解绑。
另一种情况下,用户只是淘汰了旧手机,手机号保留,那原则上是不需要解绑的,因为只要继续使用这个应用,那依旧需要绑定信息。这种情况下的安全风险主要来自被淘汰的旧手机,“这个手机如果要卖掉或给别人继续使用,就有风险,手机里面可能存留一些敏感信息,比如本地登录信息、银行卡信息、通讯录等,这些信息在更换手机时一定要主动清空。”杨坤说,他建议旧手机不要直接卖掉或给不可信的人,因为即便恢复手机出厂设置也能通过某些软件还原数据,因此最好写入一些新数据,覆盖以前的数据,避免安全风险。
删除APP前先解绑银行卡
下载或删除APP,都是我们平时很常见的动作,看似简单,但其中的安全风险常被忽略。杨坤强调,如果不想继续使用某个APP了,但其中绑定了银行卡信息,那推荐做法是先解绑。
“删掉APP后,相关数据信息可能还存在后台服务器中,假如哪天这家厂商的服务器被攻破了,攻击者就能拿到所有用户的信息。解绑银行卡信息以后,就有可能避免厂商服务器遭受攻击时带来的银行卡信息泄露。”杨坤表示。另外,如果不解绑,出现账号被窃取、密码被猜到等偶发状况时,银行卡信息极可能被人利用。
可以扫二维码别轻易授权
有优惠、扫一扫,“这种扫码行为就等于随意打开一个链接,我们每天都在微信上打开链接,正常来说确实没什么问题。”杨坤说。但不怕一万就怕万一,现在已经有技术可以做到利用浏览器的漏洞,在用户点开一个恶意链接时控制其手机。虽然这种做法需要厉害的黑客挖掘漏洞并加以利用,普通用户一般不会遭遇,但也是一种潜在的安全隐患。
真正需要日常警惕的是扫码之后的步骤,用微信扫一扫后,用户往往会被询问要不要用微信登录、允不允许被获取用户名、头像、位置等个人信息,“这种操作会要求用户向这个站点透露一些隐私信息,比如通过微信登录免费WiFi,对方之所以提供这种免费服务,目的就是收集个人信息,如账号、性别甚至手机号,这种情况要尤其警惕,如果对登录站点完全陌生,建议尽量不点。”杨坤提醒。
以往用户使用不同APP时,都需要单独注册账号信息,但随着微信、支付宝等平台开发的小程序不断铺开,用户的全部信息都集合在同一个平台,个人很难规范限制其使用,一旦泄露,危险性大大提升,“用户要提升安全意识,不要随便登录或授权。”杨坤强调。(记者 崔 爽)