事件背景
10月10日,支付寶在官方微博發出安全提示稱,監測到部分蘋果用戶的ID出現被盜,由此帶來相關ID綁定支付工具遭到資金損失。
在聲明中,支付寶稱,已經聯繫蘋果公司儘快定位被盜原因,同時建議用戶調低免密支付額度以最大限度保護支付寶賬戶安全。
支付寶方面,提供了臨時解決辦法。 即在確保方便的前提下,用戶可以選擇調低蘋果支付的免密支付額度以最大限度保護支付寶賬戶的資金安全。具體操作如下:“支付寶用戶可以單獨給Apple ID設置免密支付限額,您可以在支付寶App裡,點擊【我的】-【設置】-【支付設置】-【免密支付/自動扣款】-【 App Store, Apple Music,&iCloud】-【安全月限額】設定符合自己安全預期的月度限額。”
原理分析
從支付寶提供的解決方案,我們可以看到,其實是因為Apple ID綁定了支付寶免密支付,客戶如果拿到了Apple ID,可以直接使用支付寶免密支付為自己的在蘋果商店或者其他支持Apple Pay的電商網站上進行盜刷。
同理,如果客戶使用Apple ID綁定了銀行卡或者微信免密支付,也可能被盜刷。
如何防範
對於用戶來說,最重要的就是保護好自己的各種賬號的密碼安全,定期更換密碼,不同的賬戶使用不同的密碼。另外,
尤其在綁定支付賬戶,比如銀行卡、微信、支付寶免密支付時需要謹慎操作。目前除了蘋果,像滴滴打車、高德地圖等都可以支持綁定支付寶或微信免密支付。另外,用戶可以在相關應用或者資金通道提供方微信、支付寶或者綁卡銀行上設置開關支持免密支付服務應用,對於不常使用的應用,建議關閉免密支付。
像Apple ID這種可以設置免密限額的,建議客戶也設置上,通常免密支付交易都是小額高頻交易,建議根據自己需要設置一個較低額度,另外也可以在資金通道提供方微信、支付寶或者綁卡銀行上設置免密支付額度,這樣也能最大限度保護資金安全。
另外,部分銀行比如像民生銀行還推出了用戶銀行賬戶的安全鎖,包含防止夜間支付、異地支付以及限額控制,也可以從銀行卡的角度防範風險交易。
對於大型應用以及支付通道提供方的思考
對於一些大廠,用戶千萬級或者億級大廠,一旦出現用戶賬號密碼洩露,便是災難級的,在大數據和黑產如此發達的今天,幾個數據一關聯一撞庫可能導致其他網站的賬號密碼同時洩露。尤其一些大廠還與資金通道方有免密支付扣款接口連接,很容易就引發大規模社會資金損失。
另外對於提供支付服務,尤其是免密支付服務接口的資金通道提供方,如果做好交易的檢測以及渠道的風控也是對保護用戶資金安全的一大挑戰。畢竟,如果以API形式提供接口,資金通道方是很難了解客戶真實支付環境,只能通過後臺大數據、人工智能和一些其他異常分析風控手段,來實現阻斷風險和盜刷交易。
為了切實保護用戶資金安全,需要整個支付環節上下游鏈條把各自部分做好,用戶自己也需要有一定的安全防範意識,才能最大限度地保護資金安全。
閱讀更多 金融民工小曾 的文章
