原创
2016-05-13
南小鹏
石榴理财师订阅号
标题:没收到验证码 钱被转走媒体:北京晚报链接:http://bjwb.bjd.com.cn/html/2016-05/12/content_33392.htm
“我对我手机的状况、电脑、钓鱼网站、伪基站等非常了解,对木马病毒也有研究。所以这种事发生在我身上,简直令人难以置信。”经历了银行卡被人分4笔转走了20万,做了多年IT、现为某宝支付架构师的郭先生,至今也没弄明白犯罪分子究竟是怎么做到的。
建议大家先把上面这篇新闻全文反复多读几遍,说实话,老南看完也一身冷汗。 银行卡号、密码全部被黑客知晓!手机号码、密码全部泄露!短信验证码被黑客劫持!然后,钱没了!
干了20年IT的某宝支付架构师,如果都被攻破了,我们的钱还安全吗?
毕竟对于一个独立理财师,保障客户的资产安全是第一的。好在老南从事过两年互联网金融,找了几位银行安全专家、资深黑客朋友讨教了一上午。
几乎所有的银行卡被盗案例的共同点:1、手机被植入木马导致银行卡号、密码,手机号码、密码被盗2、自己填写过以上信息的其他网站被黑客攻破3、自己将银行短信验证码告知骗子假冒的银行客服4、银行卡上现金过多
毕竟安全和效率两者是矛盾的,过于追求安全会很不方便,过于追求效率会带来大量的安全隐患。在两者之间找到合适的度尤为重要。对以上四点,进行一系列针对性的防护,会大幅度降低被黑的可能。
这会老南心里有了点底,建议大家不要去咒骂银行不安全、也不要对黑客莫名的恐慌,自己对自己负责,不给别人机会,严格按照如下几点去做,其实很简单:
案例:15年10月,wy邮箱的用户数据库疑似泄露,数量多达5亿条,其中包括用户名、密码(MD5加密)、密码提示问题和答案(MD5加密)、注册IP地址、生日等等,部分数据已经在网上流传。很多网友反应苹果Apple ID、iCloud账号被黑,绑定的iPhone手机被锁敲诈,而他们的共性就是都采用了网易邮箱作为账号。如你有wy邮箱,建议此密码永远不再使用,和此密码雷同的,立刻全部修改。
对策:★银行取款密码必须唯一!严禁在其他地方使用!★所有收重要邮件(如银行对账单)、捆绑过银行账号信息(如打车、购物、买票、订房)的重要网站、APP,密码必须不一致。否则一个被破全部被破。不用担心密码太多记不住,如常用密码为123456,sohu邮箱的密码可为so123456hu,这样的规则便于自己记忆。★对于非重要的网站、APP密码,可设置简单统一密码。
案例:2015年9月18日,苹果被曝光,大量开发者使用了非苹果官方渠道的Xcode开发工具,而该工具中被植入恶意代码。国内APP下载排名前100的几乎全部中招,甚至包括订火车票的12306。而此类现象在安卓开发中更为普遍。后苹果立刻对涉事软件全部下架,更新。
对策:★依然推荐使用苹果手机,毕竟是封闭系统,软件下载来源均为APP STORE正版,植入木马难度非常大。但切记不要越狱,不然会大大增加感染木马风险。同时保证及时更新APP。(谁认识苹果的老大,请通知他给老南广告费)★尽量不使用安卓手机,因为其底层系统为开源,且安卓软件下载来源混乱,被黑客植入木马概率非常高。(老南并非不支持国货,但更不希望卡里血汗钱没了)★不要下载不明APP,尤其微信相关的一些软件,如自动抢红包、一机使用多个微信号等,如有木马,你的聊天记录、重要信息会全部暴露。尽量使用一些大公司的APP。
案例:今日新闻所涉及的案例。黑客采用了不需要U盾的小额支付功能。同时有一种更隐蔽的,如黑客将客户卡上余额转到卡内石油、黄金账户,利用部分银行资产总额未包含石油、黄金账户的缺陷,假装银行或公安致电客户,通知卡上钱被盗,要客户将收到的验证码告知,实际上这是转账的验证码,客户一旦上当,告知,则账上钱会被迅速转走。
对策:★所有网上支付统一用一张银行卡!账上现金满足日常需求即可,切不可存放大额现金!★日常转账必须使用u盾!推荐关闭银行网银网页版不用u盾就可以登陆的功能,目前这块风险较大。★银行短信验证码不要给任何人!哪怕是9555?打来的电话(号码可以伪造),银行永远不会人工问你要验证码,只有骗子。★银行APP、银行微信版的通知推送功能全部打开,不依赖手机短信,第一时间从各个渠道了解银行账户最新动向。★U盾使用结束立即拔出。银行U盾很多以前无“确认”键的。发生过用户电脑插着U盾的情况下被黑客转走钱。后银行升级了U盾,改成了转账时要输入密码,且还要按下U盾上的“确认”才确认转账。
案例:央视起底电信诈骗之验证码骗局。犯罪分子谎称事主订阅了手机报服务,退订需回复验证码,骗得事主手机的USIM卡验证码。然后利用中国移动推出的“自助换卡”在线服务,生成一张新的手机SIM卡,并利用这张“劫持”来的手机卡接收各类短信验证码,洗劫事主的各种账户。但新卡一旦生效,事主的旧卡便同时作废,无法继续使用。去年发生的北京移动用户的工行卡被盗刷,原因在于黑客入侵北京移动用户的移动邮箱,可以收到客户所有的短信信息。利用这个功能知晓客户的银行短信验证码,作案盗窃。也有通过木马控制客户手机进入飞行模式,用复制的虚拟卡作案。
对策:★各类送话费、送红包、送礼品的活动,需要你输入手机号码、验证码的,不清楚主办方的,切勿参加,占小便宜的后果是你的重要信息被黑客盗取。★北京移动用户,务必登录移动网站,关闭短信邮箱功能!如其他地方运营商,有类似功能,务必关闭。★实时关注自己手机,一旦出现异常,如通讯中断、莫名其妙进入飞行模式等,第一时间高度重视。
案例:随着第三方支付的普及,以及大量的第三方消费网站,很多使用了代扣功能。也就是你不经意点过一个从没认真看过的电子合同,第三方可以不经你同意,直接从你账户扣钱。如滴滴打车到站需要你确认付款,但UBER可以司机直接扣你捆绑的银行卡的钱,这就是代扣功能。代扣渠道如被黑客利用,会产生较大危害,目前国内某第三方支持的移动代扣单笔高达40万。
对策:★和自己的银行客服沟通,了解如何查询自己网银开通的代扣功能有哪些,该关的关掉。
★所有的第三方,如需捆绑银行卡,均使用同一张小额银行卡,切勿暴露自己的主力银行卡。
★此方法只适用于频繁、大额网银转账使用者,如公司财务、私企老板等。新开一个号码、一部手机,只作为银行专用。毕竟终端物理隔离,避免了各种问题。使用家里淘汰的旧苹果手机,一年成本有限,但非常安全。
1、上述的方法,大部分是一次性的,其余均是平时的使用习惯。客观的说,随着互联网生活场景的丰富,给大家带来各种便捷的同时,你身边的各种风险敞口在纷纷打开,要安全,还是要快捷?决定权在于你自己,老南帮忙帮到这里!
2、独立理财师是个很好玩的职业,不但要帮客户提供各种方案确保资产稳健增值,更要帮客户躲避各种坑。毕竟绝大多数人财富积累的失败,并非赚少了赚慢了,而是亏大了。 如果你觉得本篇文章有用,请转给你最重要的人!
往期精选:
【老南读财】你所不知道的香港保险
【老南读财】重磅:从“资产荒”看未来十年如何理财
南小鹏金陵人氏,江苏省理财师协会首届秘书长,石榴理财师创始人,CFP(国际金融理财师)。资深金融从业者,娴熟于十年证券,转战于互联网金融,专长于财富管理,投行业务、信贷业务,金融信息技术皆有所涉猎,复有深刻之理解。 石榴理财师中产家庭的理财私教
多赚10%——如何让家庭资产稳健增值多省10%——如何选择最优的金融产品 少亏100%——如何远离各类金融陷阱
石榴理财师订阅号