移动支付时代的手机和app安全设置
进入移动互联网时代,移动支付已被大多数都市上班族所接受,逛个超市如果你说不能支持支付宝或者微信支付,估计会被深深鄙视,甚至就连菜市场买菜都可以随手给阿姨发个红包,虽然她们不一定懂手机淘宝 or 微信上的收付款功能,但在微信上收红包肯定是会的。
然而,移动支付给人民带来方便之外,同样也带来一些安全隐患,假设手机丢失了,在手机本身以及 某些 app 没有做好安全设置的情况下,坏人通过利用手机验证码这个大杀器足以让个人敏感信息以及财产暴露在安全边界之外。下面我们就以iPhone为例来探讨下手机及app 可以提前做好的一些安全配置,以及一些事后可以做的补救措施。
一、设sim卡开机密码即 pin 码。
pin 码一般有个初始化值,移动一般是1234,联通一般是0000。以iPhone为例, 前往 iPhone 的「设置-电话-SIM 卡 PIN 码」,点击「SIM 卡 PIN 码」,并输入正确的 PIN 码即可。我们希望增强其安全性,可点击「更改 PIN 码」,为其设置最长 8 位的 PIN 码数字。设置 pin 码之后,关机后重启需要输入,如果输错3次将会锁住 sim卡,这时需要 PUK 码才能解锁,PUK 码输错10次的情况下会导致这张 sim 卡完全废掉,这时如果还想用这个号码,只能带上身份证去营业厅补卡了。有两种途径可以查询PUK码:1.去运营商营业厅带上身份证和手机查询;2.在运营商网上营业厅查询,由于此刻手机是尚未真正开启的,接收不到短信,故即使坏人选择动态手机验证码登录,手机也看不到运营商发来的短信。
但这个开机pin 码随卡走的,锁的是这张卡,对应的这个电话号码不解锁就不能用(卡换到另外的手机也需要 pin 码解密),但是此手机换了其他号码的卡,原手机就丧失这个开机解锁程序,手机里装的程序和资料仍然会泄露。这时我们需要第二道防线,即锁屏密码。
这时有个点需要注意,如果你此时还没来得及对手机挂失,此时坏人也许并不知道你的网上营业厅服务密码(即登录密码),可以选择动态验证码登录。如果 iPhone 中 【设置–通知–信息–在锁定屏幕上显示】此项打开时,即使此时手机正锁屏,还是可以在界面看到信息,进而登录网上营业厅修改服务密码,导致你只能通过带上身份证去营业厅挂失,而争取了一些利用时间。
二、设锁屏密码,锁屏后就难以操作手机。
iPhone 默认是 4为位数字密码,容易被猜解,虽然输错多次会被锁定一段时间,但过后又可以重试,故很容易直接被突破了。对此我们可以升级 iOS 的版本,设置 数字+字母的复杂锁屏密码,并将锁屏时间延长一点比如 5分钟没用操作才锁屏,这样虽然操作麻烦了点,但提高了安全性,对于对安全要求高的人来说,还是可取的。
但是如果此时坏人既换了卡又通过某种方式成功刷机,那么原有锁屏密码也无效了。这时我们需要第三道防线,即开启使用 TOUCH ID 用于解锁。
三、开启 TOUCH ID 用于iPhone 解锁。
如果是支持TOUCH ID的iOS设备,务必开启指纹解锁,指纹解锁绑定账户信息,即使坏人重新刷机(这样的话,手机的数据其实已经被清除,不会泄露了),如果没有指纹信息,也是没办法激活系统的。【设置–Touch ID 与密码 — 用于iPhone 解锁】
列位看官看到这里,也许会说为啥我没提到 iPhone 中强大的 “查找我的iPhone”功能呢?别急,小司机喝口水,马上就开车了。
假设用户在iPhone 上登录了iCloud,且开启了这个功能,当手机丢失时,用户可以凭借Apple ID登录 iCloud站点,进而在地图上定位设备 or 使用丢失模式锁定设备 or 远程抹去设备的数据。设计此功能的出发点当然是好的,但学会逆向思维的坏人也可以利用此功能来干坏事。如果坏人通过某种途径知道了你的 Apple ID 帐号和密码并修改了密码,那么他可以远程锁定你手里的设备,顺便勒索你一下(当你被提示输入Apple ID 密码时,因为密码错误导致被锁定)。顺便提一下,比较正规的解决途径是找苹果官方,提供当时购买的小票,发票,包装盒,购买地点等信息,然后让客服帮你解锁;如果啥都丢失了,也许你只能花几百块便宜坏人了。
那么坏人是如何得知你的帐号和密码的呢?
第一种途径是撞库原理,只要你在网上注册过各种帐号,邮箱帐号多多少少已经泄露了,如果再加上设置的是弱密码(很多人觉得在App Store 下载 app 偶尔需要输入密码,会把密码设置得比较简单),这种情况下账户分分钟就被爆破成功了。也许你会说官方站点多次输错密码应该一段时间内会锁定帐号或者弹验证码,不能自动化爆破?嗯这是个单点思维的典型,假设一个帐号可以尝试3次,那么坏人手里现有1000个帐号,每个都尝试3次,总有设置弱密码的懒人中招。
第二种是邮箱数据泄露的案例,比如网易邮箱帐号和密码,只要坏人用网易邮箱帐号登录 iCloud,点击忘记密码,自然会有重置链接发到邮箱里,然后Apple ID 的密码就被修改了。就近期发生的勒索案例来看,这种情况占大多数,许多普通人是不知道网易邮箱泄露的事,或者知道了但不当一回事,没去修改邮箱密码导致被勒索,所以说网络安全真的不能说跟普通人没有关系了。
第三种是手机真的丢了或者被偷了,懂点技术的坏人可以搞个模仿iCloud 网站的页面,发给你邮箱一个邮件,说Apple 官方探测到你手机被盗,处于异常状态,有坏人正在尝试破解密码云云,叫你赶紧上去一个链接修改Apple ID 的密码。有些没有丝毫安全经验的人,即不看地址栏的域名,也不看网站细节,傻乎乎地输入了帐号和密码,后来发生的事大家都懂了。在手机丢失的情形下,更高级的手法还有发给你一个链接,点击了直接进入了自己的邮箱,好像什么都没发生?在某厂商邮箱存在xss 等漏洞的前提下,你的邮箱站点 cookie 已经被偷走了,嗯接着你的邮箱就被盗了,然后也就成了受害者。从邮箱可能存在安全漏洞的现状来看,使用 Google 邮箱作为 Apple ID 帐号是比较安全的,毕竟实力大厂,且就算存在漏洞,要从黑市购买的价格也不是几百块能解决的事,坏人权衡利弊后也许就放弃了,直接把零件拆卖算了。
钓鱼的case 这里还可以再举一个,方便大家防范。当手机丢失后,很多人的第一反应是找另外一部手机拨打自己的手机号码,在坏人关机或者不接电话的情况下,此时因为手机没用被锁定,即使还不能解锁屏幕,运营商会发一条未接来电的信息,嗯这样坏人就知道了这个额外的号码。接着坏人可以发条短信到这个号码,比如下图1,这里做的还不是很专业,钓鱼网站用短网址加密下就更难第一时间发觉到了。此外,当受害者使用“查找我的iPhone”功能锁定丢失设备时,填入的号码会一并出现在丢失设备的屏幕提示中,如下图2所示,嗯接着叮的一声,钓鱼信息又来了。
如上所述,开启“查找我的iPhone”这个功能有利有弊,在你能够保证自己的Apple ID 和密码不泄露的前提下,它是对抗坏人有利的武器,否则他就是其他人来搞你的凶器。如果iPhone 关机需要锁屏密码的话,应该能提高定位成功的概率,但如果坏人在网络信号特别差的地方开机,这个功能就比较尴尬了。对此其实也有应对的办法,就是开启两步验证,即除了需要Apple ID 和密码,还需要发给某台设备的4位验证码才可以登录iCloud 或者在 App Store 购物。对我来说,悲剧的是忘记当时设置的两三个密保问题,导致不能设置,也许电话客服提供信息可以找回,但我实在是太懒了,直接不在手机登录iCloud 并关闭“查找我的iPhone”功能。于是想出了前面的三个办法来应对手机丢失后的情况,因为我觉得这个功能最重要的就是锁定设备和抹除数据的功能,指望它响起铃声来找回基本是妄想,而我前面说的三个办法最终基本能够达到差不多一样的效果,嗯。还有就是不用iCloud 同步照片等数据,还是觉得说它也不是特别安全的,比如也曾经发生过好莱坞女星照片泄露的事件,别问我怎么知道的。
前面曾经提到手机号的服务密码,这也是很不让人省心的东西,除了只能设置6个数字密码这个槽点外,容易出问题的点这里再举3个case,它们给大家的启示是当手机无服务时间超过10分钟时或者收到开通莫名的业务时就需要提高警惕了。
1.服务密码泄露且身份证泄露。坏人通过网上运营厅直接挂失了手机号,用户手机提示无服务,并利用假冒伪造的临时身份证去营业厅补办手机号,营业厅服务人员不仔细鉴别头像和地址等不同点的话就补卡成功,如果你的个人信息再被掌握地完整点如银行帐号密码之类,那么嘿嘿你的资金就危险咯。
2.服务密码泄露。登录网上营业厅,选择换卡服务,比如2G换4G卡即 microSim卡,插入坏人自己的手机,此时用户手机会收到一条“您的USIM卡验证码为******(六位数字)”的短信,加上之前坏人会随便在网上营业厅给用户手机开通个收费业务,然后发个短信提示说“回复 取消+验证码 可以取消此业务”,用户正在纳闷验证码在哪里的时候,看见USIM卡验证码没多想就发了出去,于是坏人换卡成功,用户原卡作废,提示手机无服务。进一步利用同上。
3.服务密码泄露且银行卡开通快捷支付。登录网上营业厅,为这个号码开通“短信保管箱”业务,这样就能通过网站查看受害者的短信(保护银行的快捷支付验证码),如果同时银行卡号也泄露的话,可以达到非法转账的目的,如下图所示。 tsrc_team
手机可以做的一些安全设置前面已经说得差不多了,那么 app 方面呢?
支付宝:支付宝app手势密码开启,关闭小额免密支付而使用指纹支付,支付宝登陆和支付密码相互独立,平时经常检查已授权登陆的支付宝app设备是否有异常并及时解绑不再使用的设备,取消手机号作为支付宝账号。
微信:微信设置进入钱包需要手势密码【钱包–右上角–支付安全–手势密码】,输错4次就被锁定了,如果不嫌麻烦还可以使用指纹(Touch ID)支付。
招行:设置后台在线时长最短,以前是1分钟,现在是5分钟,不是一网通用户还不能开启手势密码,汗。
在手机和 app已经设置了一些安全选项后,在其丢失后,我们能够做些什么以最大限度地减少损失呢?
1.手机丢失后,立即凭事先设定的服务密码电脑登录移动运营商等的网上营业厅(或者拨打人工客服),立即报这个号码停机,这个号就立即停机了,相当于这个号被暂时废掉,登录或者消费转账等需要手机验证码的功能都不能用了,这样即使拿到手机的人,费劲解锁后,危害已经降低了许多。
2.招行app里面绑定的银行卡,可能的话尽快转移到另外的卡上,并致电 95555 挂失银行卡。
3.如果怀疑支付宝被盗,第一时间使用安全设备和网络改登陆和支付密码。
4.上 weixin110.qq.com 冻结微信号,运营商补卡后可以申请解冻微信号,重新登录。
5.上qq安全中心修改qq密码。
6.在安全设备登录某些社交帐号后发消息提醒好友不要被一些转账等信息所欺骗。
那么,既然已经废话这么多了,继续来安利一些良好的安全习惯。
1.手机默认不开wifi,只使用家里和办公场所自建的wifi,iPhone 开启询问是否加入网络,手机不存放个人信息如身份证、银行卡号、某些密码以及一些敏感照片:);
2.不使用任何非自己的充电设备给自己手机充电,非个人充电宝使用需谨慎;Freebuf;
3.身份证不和银行卡、手机放一起,市内通勤不带身份证,很多app找回密码功能需要验证身份证 + 手机验证码;
4.用于办理各种证件的身份证复印件请写上“仅用于xxx用途,他用无效,日期签名”,防止被用于恶意开户,有些机构公司验证并不严格,不是真人到场也可以开各种账户;
5.多个iOS设备不要用一个Apple ID 帐号;
6.手机收到的任何验证码都不要转发出去,注意手机收到的莫名业务开通信息。
7.看见400打头的电话一般都是诈骗,因为这种电话一般只用于呼入;
8.快捷支付只绑定钱财比较少的卡,需要时再转账充值;
9.安卓手机不要乱root,不要下载乱七八糟的应用;手机设置里,关闭USB调试模式,增加通过电脑解锁的难度;
10.收到各种电信电话信息以及社交网络信息,要求借钱或者转账之类,一定要电话确认是本人,才采取进一步行动。
11.信用卡不建议设置(交易)密码,国内政策是设置了(交易)密码,自己负责信用卡丢失、盗刷风险,设置个短信通知提醒,每一笔钱划走都会发短信;可以将背面的三位cvv码划掉或者胶布遮住,避免泄露导致被盗刷,特别是境外网站只需要帐号、身份证号、cvv码、过期时间就能刷信用卡。
12.尽量不要刷储蓄卡,避免卡被复制,特别是一些小商店,要刷pos机尽量用信用卡
13.更有安全需要的人,可以把移动支付绑定的手机号设置为另一台设备;
14.多个站点密码不要雷同,不要设置弱密码,推荐使用 keePass 生成并保存复杂密码;
最后本该结束本篇文章,但想想在手机没用丢失的情况,也有很多其他场景下会产生财产损失,这里给大家打个预防针。
1.各种手段的电信诈骗,已经把钱转给骗子帐号,怎么办?在5分钟内先报警提供骗子的qq号,银行卡号,手机号等信息,接着通过拨打银行电话或者登录网上银行输错多次密码,锁住帐号24小时,如下图所示。注意这里只是锁定账户,并非冻结账户,只有公安才有权冻结账户。tsrc_team
2.银行卡(信用卡)还在自己手上,但被其他人盗刷,怎么办?发现被盗刷的5分钟,是止损冻结的“黄金时间”。第一步先致电相关银行锁定账户;第二步,深圳地区可以致电 81234567 反信息诈骗专线,让其协调银行为你紧急止付;第三步,立即去最近的ATM 上进行一笔交易查询,用手机拍下界面并取得交易回执,可以在银行后台留下查询记录,证明这个时间银行卡在你手上(既可用于公安机关侦查认定证据,也有利于下一步赔偿挽损);第四步,拨打110报警,带齐身份证、银行卡、查询照片、交易回执等到就近派出所报案,注意取得报警回执单。深圳经侦
最后的最后,总结一下,这些各种设备和app以及一些流程存在的已知问题,根本上来说是属于安全如何能够与产品共存共荣的问题,比如产品的用户体验与其安全性、流程的快捷性与其安全性、操作的易用性与其安全性等等。想想“围魏救赵”,想想“马奇诺防线”,所谓黑掉你不在你关注的点上,我们普通用户可以做的就是扩大纵深防御的战线,就像剥洋葱一样,一层层地剥开,非常辣眼睛,坚持剥到深处发现居然是空心的。
安全第一,并不是一句空话。如果这篇文章能够让普通用户意识到身边已经存在的安全问题,能够有所思考,我也就心满意足了。
参考:图片和部分案例、建议来自网络