9,365被浏览1,010,103分享邀请回答3.8K589 条评论分享收藏感谢收起zhuanlan.zhihu.com/p/20694237--------------------------------------------update
--------------------------------------------话说为啥这个玩意又被翻出来了~其实之前的回答并不太准确，犯罪分子一般从不会盯着某一个人花大力气去搜集资料，控制账号再来盗取资金，因为一般人的资金量并不值得这么做（还一个原因是大多数的犯罪分子本身没什么技术水平，只能做单纯的体力活）。近一年来流行的盗刷手段主要有两种，一种是自己有卡号（账号）密码并且能够直接活的短信验证码，另一种则是自己有卡号（账号）密码但是不能直接获取短信验证嘛。可以看出来，两种手段都有共同点：知道了卡号（账号）密码。很多人会说：我从未透露过账号密码。这个我信，但是总会在一些必要的地方填入卡号和密码吧？比如网银，比如“银行官方活动”？甚至还有“运营商积分返现”？事实上，手机接到的来自运营商（10086等）的积分返现短信，来自银行的所谓“信用卡提额”，“积分返现”，短信尾部留上一个网址，点进去就是兑奖页面，再点进去就要填卡号密码身份证等信息。这就是典型的钓鱼网站，目的就是获取银行卡信息和个人信息。也许有人说，如此低级的骗术根本不会有人上当。我曾经也这么认为。但是从目前的数据来看，受骗人数高的惊人。而更加可怕的是，受害人根本不知道自己已经亲手把自己的密码交给了犯罪分子，一旦发生盗刷，他们根本不会去找犯罪分子的麻烦，而是剑指银行，根本没有人去追究犯罪分子！诚然银行风控有问题，但是自己把密码交给别人，是不是应该承担个主要责任呢？当然了，盗取银行卡号和密码并不只有这一种方式，这只是一种主流方法。下面来说说两种盗刷手段。手点是有卡号密码和短信验证，这没什么可说的，直接转账就好。但很多人会有疑问了，短信怎么来的？其实途径非常多。比如手机木马（钓鱼网站最后的一个步骤就是让受害人下载一个“手机客户端”，其实就是个安卓木马），运营商漏洞，特殊业务（比如10086之前的短信保管箱）等。这些并没有什么特别好的防御方式，主要还是依靠个人的安全意识。很重要的一点是，接到莫名其妙的转账提醒，第一时间挂失银行卡！另一种就比较有意思了，骗子直接拿不到短信验证码，怎么转钱呢？骗子会让受害人自己告诉他。其方法多种多样，在这里只讲近半年来广泛使用的一种。大多数银行都有贵金属和理财业务，而对于银行来说，活期账户里的钱转到理财账户是个风险很小的操作（钱还在客户自己的账户里，没法盗刷），于是很多银行类似的业务并没有提供提醒业务。这就给骗子留下了一点点空间。骗子会先立业已经获得的账号密码，进入网银并转账至理财账户，这时候登录网银，在活期账户里确实会发现钱没了！但其实这时候钱还在个人理财账户，还是受害人的。紧接着骗子会冒充银行或者电商打来电话，称有一笔盗刷已经被拦截。这时大多数人都会去检查自己的账户，于是发现钱丢了！这时骗子会打第二个电话（当然要是刚才没挂电话那更好），告诉受害人，需要一个银行发来的验证码才能退款。这时受害人接到了银行的转账短信验证码，很多人没有注意就提供了验证码，还有一些人虽然注意到是转账验证码，但是一想，反正账户里没钱，也就告诉了骗子。这时一旦告诉了骗子验证码，骗子立刻就会把钱从理财账户转回活期，完成转账操作。这些骗术其实并不高明，但是大多数人发现钱没了，心里一慌，就上当了。不少受害人刚给完验证码便意识到上当，但也于事无补了。要想防骗其实不难：一是提高警惕，不明链接不要点，不要再任何“活动页面”填个人信息，尤其是银行卡密码。收钱是不需要密码的！收钱是不需要密码的！收钱是不需要密码的！二是遇事不要慌，第一时间挂失，第一时间挂失，第一时间挂失，然后再处理。三是不要相信任何主动找上门的电话，一切重要交涉自己查官方公布的电话打过去并录音，一切重要交涉自己查官方公布的电话打过去并录音，一切重要交涉自己查官方公布的电话打过去并录音，来电显示是可以伪造的，但是你拨出去的号码对方控制不了，一切重要交涉以只信任自己拨出的电话。记住这3点，骗子就很难下手了。-------------------------------------------------我是不太正确的原答案分割线-------------------------------------------------从互联网安全角度来说一下吧，从题主的描述来看，很像是社会工程学攻击（如果是真的，题主你是不是惹到谁了……）。简单解释一下社会工程学攻击，其实就是通过各种资料收集，欺骗等手段，获取目标信息的一种方法。这种攻击方式针对性高，目的性强，难度相对小，危害非常大。以国内的网络安全形势来看，大多数在互联网活跃的人（甚至包括互联网上并不活跃但是经常填某些表格的人）只要知道了少量信息，比如手机号，要查出真实姓名，常用密码，常用邮箱，qq甚至身份证号码，并不算太难。这种攻击方式最大的特点在于几乎没有办法完全防御，一旦成功可以控制目标几乎所有身份认证。不要说我危言耸听，前不久和伙伴一起进行研究的时候（授权测试）就成功通过一个手机号(仅仅是知道号码)控制了目标的新浪微博，qq号，邮箱，支付宝账号（没有尝试猜解支付密码，不过可以重置），获取到的信息包括其高中起的履历资料，真实姓名，身份证号码，地址等，而使用到的工具仅仅是网页浏览器而已，甚至没有通过欺骗手段获取更多信息。似乎说了不少，再说一下支付宝安全问题。其实在知道账号密码及支付密码的情况下，支付宝的手机验证码是可以绕过的（已经提交官方），算是个隐患吧。但是个人认为，在支付宝使用独立密码，独立支付密码，绑定数字证书的情况下（绕过手机验证码的前提是未绑定数字证书），是足够安全的。至于题主说的限额绕过我就不知道了~至于短信的问题，只能透露一点，就是手机短信作为验证并不那么安全，和商家和用户无关，也和复制卡无关。最后补充一点，就是大众网络安全和自己的习惯关系非常大，个人表示至今从未被盗过重要账号，没有因账号被盗造成任何损失，前不久倒是丢了个手机，惭愧……2K388 条评论分享收藏感谢收起换手机号不这样做 小心微信支付宝里的钱被转走
用微信扫描二维码分享至好友和朋友圈
用微信扫描二维码分享至好友和朋友圈
　　更换手机号，难道只是给大家群发短信通知新号码这么简单吗？如今，各种各样的手机应用APP都需要绑定手机号，如果在销号前不提前解除这些账户的手机号绑定，很有可能会面临账号被手机号新主人误用、冒用的风险。　　新买的手机号已经被绑定微信？　　新学期伊始，傅同学遇到一件烦心事。她用从运营商处购买的手机号注册微信时被提醒，“该手机号已经绑定以上微信账号”，屏幕上显示的微信号是另一个陌生人的头像。身边朋友朋友搜索其手机号加微信时也发现了这个问题。小傅对此也很纳闷，自己刚买的手机号还没用过，怎么就已经注册了微信号呢？　　　　去营业厅咨询后，工作人员告诉她，这个与她手机号码绑定微信号的“陌生人”，应该是手机号码的上一个主人。工作人员解释，当一个手机号码被旧主人注销放弃使用后，运营商一般会保留3个月左右，这期间旧主人可以重新买回号码。但如果超过这段时间，号码就可能会重新进入市场，被其他用户买走。　　不同运营商对注销号码重新投入市场前“空置期”的设置不同，移动为1到3个月，联通为3到5个月。　　换手机号时忽略解绑帐号风险大　　没有及时解绑，可不仅仅是微信号被朋友误认的尴尬。在日常生活中，销号前有“解绑”意识的人并不多。记者随机采访中发现，大部分受访者表示，他们的手机号多与银行卡、微博、微信及各种APP软件绑定，但换手机号时，都没有意识到需要解除手机绑定，基本上都是重新申请一个微信号。　　然而如果忘记解绑支付宝等支付类账号，而手机号码的新主人又心怀不轨，您将很有可能面临财产损失的风险。　　　　网友“黑色”试验：使用旧手机号绑定的支付宝成功转账　　网友Timo曾成功进行了一次“黑色”试验。几个月前，她从运营商处购买到一个新手机号，发现该手机号已与一个支付宝账户绑定。使用“密码找回”功能，通过短信方式获取到这个支付宝账号的登录密码后，她成功进入了对方的支付宝账户。　　抱着对风险程度一试究竟的想法，Timo尝试着用这个陌生的支付宝账户给自己的另一个账户转账5元钱。由于账户原主人设置了“小额支付免密码”功能，在Timo不知道其支付密码的情况下，竟然迅速转账成功了。“请找到这个账户的主人，我将把5元钱还给他。”“黑色”试验结束，Timo立刻联系了支付宝客服及账户主人，对手机号码进行了解绑，并表示归还被她转出的钱款。　　支付宝客服人员：支付密码不会被掌握 换号时应先解绑　　对此，支付宝客服人员解释，支付宝目前要求用户的登录密码和支付密码不一样，用手机号码找回密码的用户，只能找回登录密码，但在大额转账时所需要的支付密码是不可能掌握的。　　支付宝客服人员提醒，换手机号码时，一定要第一时间解除与支付宝账户绑定的手机号，否则就会存在一定风险。　　　　安全级别较低应用如不解绑存在更大风险　　在一些安全级别较低的应用中，如果不法分子盯上了用户的其他账户，受到的损失可能会更大。具体来说，在一些互联网家政、互联网餐饮平台上，用户一旦给账户充值，今后使用余额时无论金额大小，都不需要任何支付密码，可以直接完成支付。这意味着，一旦手机号“新主人”用手机号码进行密码找回、进入账户，就能任意使用原有的账户余额。　　　　专家：运营商、互联网公司应联动提醒　　移动互联网已经渗透进我们生活的各个角落，我们常常会面临“旧主人”的网络应用账户被“新主人”侵入的风险。有用户感叹“安装的应用多了，难免会漏掉那么一两个忘记解绑啊。”　　互联网专家建议，“运营商可以和互联网公司建立联盟，由运营商对号码的机主变更信息进行公示，各个互联网公司接到信息后应在一定时间内提示用户，是否进行号码解绑。”　　移动客服人员表示，鉴于近期反映新号码已经被注册微信、支付宝账号的客户较多，移动公司正在与微信、支付宝方面接触，预计10月中旬会有相关对策发布。　　安全使用手机，这些要注意！　　
特别声明：本文为网易自媒体平台“网易号”作者上传并发布，仅代表该作者观点。网易仅提供信息发布平台。
阅读下一篇
网易通行证/邮箱用户可以直接登录：一段胶带就能破解你手机指纹锁，细思极恐！ 孝感广电文章
一段胶带就能破解你手机指纹锁，细思极恐！
时间：日 12:16&&来源：
指纹开机，指纹手机支付，对于很多手机一族来说，这可能已经成为日常生活中的一部分！不过，最近一家苏州公司就向国家工信部、公安部、网信办、人民银行等四部门举报，他们发现了手机指纹解锁存在的一个惊天漏洞——只要用一段透明胶带+一支导电笔，就可以秒破手机指纹识别系统，轻松开机，甚至支付。你还敢放心地使用手机指纹支付吗？
现场演示：导电笔+透明胶带，秒开手机指纹锁
12日下午，在位于苏州独墅湖科教创新区的这家企业实验室内，该公司首席技术官李扬渊向记者演示了这一破解过程。
首先，李扬渊随便从办公室的员工中拿来一部手机，用左手大拇指按在指纹解锁键上，按程序，将手机设置成为指纹解锁模式。
那么，指纹解锁怎么破呢？且看下面的操作：
李扬渊拿来一段透明胶带+一支导电笔，用导电笔在透明胶带上，画上一些图案。
工作人员展示使用的是最普通的胶带
把图案部分对准手机指纹解锁键，将透明胶带贴在手机上。
李扬渊用大拇指按在指纹解锁键上，将手机开屏、锁屏，反复三次后，再将手机调至锁屏状态。
最后，李扬渊将食指按在指纹解锁键上。记者看到，这部当初李扬渊用左手大拇指设置成指纹解锁模式的手机，竟然解锁了。
手机被成功解锁
李扬渊又用他的其他8个指头，成功将这部手机解锁。他甚至还拿了一块海绵清洗布，按在手机指纹解锁键上，也成功解锁。
“海绵清洗布只是一个道具而已，你用一块橘子皮等其他材料，只要按在手机指纹解锁键上，都可以将这部手机成功解锁。”李扬渊表示，这个破解方式对任何品牌的手机都可以。“手机能被别人解锁，那么手机所有者的隐私和秘密，也就一览无余。”
“隐私泄露只是一部分，”李扬渊告诉记者，如果手机上的支付方式，采用的是指纹支付，那就意味着面临财产损失的安全隐患。“别人可以轻松地用这个方式，将你微信、支付宝和网银账户里的钱，成功转移走。”
在采访中，记者了解，目前微信、支付宝，包括一些银行的手机账户，确实是采用了指纹这个方式进行支付和转账。
揭秘：为什么能做到任意解锁？
李扬渊告诉记者，其实现在我们将手机设置成为指纹解锁的模式，是通过我们在手机上首次录入手机指纹时，在手机本地数据库里保存下一个指纹图案。
多次按下那个手指后，就是在手机本地数据库里，对这些图案，进行多次识别、对比和存储，最终成功将这些图案集纳固定在手机本地数据库里。
“通过这个方式，我们将手机设置成指纹解锁模式后，当我们用手指再次按在解锁键上时，系统将采集到的图案信息和数据库里的图案信息进行对比，如果达到了手机软件当初设定的相似度，就可以成功将手机解屏。”
但，问题恰恰就出现在这里。
一段胶带“偷梁换柱”
“手机的指纹识别，并不是我们想象中的那样100%比对一致才会验证通过解锁，可能只要20%左右就可以了。”李扬渊说，当手机的指纹按键贴上动了手脚的胶带后，机主用手指按键时，通过传感器，手机就会生成新的指纹图案。新指纹图案等于导电液图案，加上机主手指指纹，在机主连续锁屏，再指纹解锁开机之后，智能机的学习功能，就能让它“机灵”地记住了新的、带有导电液图案的指纹图。这时，机主的任何一根手指或任何人的手指去进行指纹解锁，会形成一个个带着同样导电液图案的新指纹，而手机只识别这个导电液图案就解锁放行。
可怕的风险
“手机指纹识别系统上的这个漏洞，其实蛮可怕的。”李扬渊说，比如有人可以利用修手机时的指纹贴来盗取识别。“指纹贴是防手汗的，贴上去以后发现不怎么好用，商家会建议你重新录入一遍指纹，这时候你要是再重新录入一遍指纹，那就中招了。”
“用导电笔事先在指纹贴上画上几笔就行，只要贴了这层膜，手机也可以解锁。”原来，手机的指纹识别软件，会把导电涂料的图案也识别成主人指纹的一部分。之后，别人的手指再按上去，虽然一半的指纹不对，但导电涂料的图案却被识别为指纹，从而手机被解锁。
本质是图像识别解锁
李扬渊认为，目前包括苹果在内的指纹算法供应商，只是做了指纹认识，而不是严格意义上的指纹识别。
在采访中，记者得知，李扬渊他们之所以会发现这个指纹漏洞，是因为2017年下半年他看到一则新闻报道——一位机主有一次将安卓机摔坏了，指纹键形成永久裂纹后，那部手机却变为人人能解锁了。“以前一般情况下，我们会以为这是个个案，是巧合。后来我们深入一研究，却发现是这个漏洞造成的。”
追问：为何会有这样的漏洞？
制造商之所以要降低手机指纹的识别度，在李扬渊看来，第一，可能是考虑客户的舒适度。“识别度低，解起锁来，成功率高，客户用起来也更方便。否则的话，如果制造商提高识别度，解锁通过率会低，让客户感觉不方便。”
当然，李扬渊也表示，他们也不能排除有一种可能，就是手机这一指纹识别软件系统的供应商，软件制作业务水平实在太差，才造成了如此大的安全漏洞。
李扬渊告诉记者，目前关于手机这块，主要是工信部在管理，而管理范围又主要集中在手机入网和通信质量等方面。指纹解锁这些安防上的日常监管和市场准入，主管部门则是公安部门。“换句话说，目前管理手机的部门，恰恰在指纹解锁方面不是很专业。而专业的部门，恰恰又不是目前的监管部门。”
日常生活中，别让你的手机离开你的视线，基本上就不会给别有用心者机会，在你手机上做手脚来破解你的指纹锁。
来源：人民网
文章转载自网络，作者观点不代表本网站立场，如需处理请联系客服
01-27 13:2901-27 13:2901-27 13:2901-27 13:2901-27 13:2901-27 13:1801-27 13:1801-27 13:1801-27 13:1801-27 13:18
01-27 11:4301-27 11:4301-27 11:4301-27 11:4301-27 11:4301-27 11:3201-27 11:2901-27 11:1101-27 10:5801-27 10:35
孝感广电其它文章
All rights reserved.央视：手机丢失后支付宝里的钱会不会丢？
[导读]央视财经本期《是真的吗》栏目对“手机丢失后，支付宝里的钱会不会丢失”进行了试验。测试结果显示，当支付宝账户实名认证绑定身份证后，无法找回支付宝密码；反之则不安全。
腾讯科技讯 3月15日消息，央视财经本期《是真的吗》栏目对“手机丢失后，支付宝里的钱会不会丢失”进行了试验。来源：央视网
前段时间，有篇名为《如果手机丢了会发生什么》的文章网上引起轩然大波，里面描述了如果一部手机绑定了支付宝，手机又恰巧丢失的后果。《是真的吗》栏目真相小分队按照那篇文章的说法，亲自进行了试验。测试结果显示，当支付宝账户实名认证绑定身份证后，无法找回支付宝密码；反之则不安全。以下是《是真的吗》栏目模拟手机丢失测试过程：首先，要获得对支付宝账户的控制权，有两个密码必不可少：手机屏锁密码和支付宝密码。绕过手机屏锁密码，只需要拔下原手机上的SIM卡，然后换到新手机上。因此，锁屏密码不是绝对安全。手机锁屏成功越过，打开支付宝客户端后，首先需要输入的是手势密码，直接点击“忘记密码”，进入下一个页面，提示输入数字密码。越过这道密码，也是通过点击“忘记密码”。经过两次“忘记密码”后，进入了“找回密码”步骤，这一步里需要填写两方面信息：支付宝账户名和手机验证码。支付宝账户就是本手机号码，手机验证码只用在收到验证信息后填写就行了。输入完成后你会发现，你已经有权限设置新密码了。至此，在不使用原密码的情况下，成功通过手机和“找回密码”功能获得了支付宝的登陆权限。进入支付宝账户后进一步试验，成功使用新设置的密码将账户内的部分余额转出。接下来，我们又用此账户支付了淘宝的一笔订单。那么，有没有什么办法能够防范这种恶意的找回密码？答案是绑定身份证。经过测试，当支付宝账户实名认证绑定身份证后，“找回密码”步骤里便会让你填写身份证号。支付宝实名认证后，无法找回支付宝密码。另外，最好关闭“小额免支付”功能。中国人民公安大学犯罪学院教授王大伟接受《是真的吗》栏目采访时表示，最安全的方法，是立即挂失手机卡。
[责任编辑：marsrxdou]
您认为这篇文章与"新一网（08008.HK）"相关度高吗？
Copyright & 1998 - 2018 Tencent. All Rights Reserved
还能输入140字