|
|---|
|
|
|
|
|
|
f******e
发帖数: 804 | 1 从公安机关经手的各类信息泄露案件分析,个人账户最成功设置密码方式是用一句古文
或者其首字母设密码,“比如床前明月光”,因为全部用拼音输入不容易被猜出来,如
果再加上123更不容易被猜出来
http://finance.caixin.com/2015-07-03/100824852.html
【财新网】(记者 张宇哲)
近年,随着新兴网络支付的蓬勃发展,网络支付风险漏洞百出。6月30日,在中国清算
支付行业协会举办的“防风险、促合作、共筑行业安全防线”行业风险信息共享研讨会
上,一位公安部网络安全保卫局专家表示,支付违法犯罪呈现全国化、网络化特点,不
管是商业银行或者是第三方机构或者是电商,应联合应对,谁都无法单独面对这一局面。
这位专家分析,手机银行是以后的发展趋势,这相当于一个“银行卡+互联网+移动
接入”,手机就相当于身份证,兼具银行卡和身份证的功能,便捷的同时也极大地提高
了风险。
目前,网上支付最大的风险就是个人信息泄露引起的资金被盗。如何防范个人信息
泄露,公安部专家现场支招。
个人信息泄露风险
财付通科技有限公司在线支付部助理总经理、风控总监张平表示,互联网账户信息
安全面临两方面的挑战:一个是黑客攻击,一个是钓鱼木马。比较多就是10086短信木
马和12306短信木马。
据张平介绍,近年个人信息的贩卖非常普遍。有的欺诈分子利用社会工程学诱导用
户泄露信息。社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜
等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。近年来,黑客利用社会
工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。短信诈
骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等,都运用到社会
工程学的方法。
首先,骗子先通过各种渠道拿到许多电话号码;接着,为取得信任,冒充公检法或
者银行总监取得被骗者信任,让被骗者心理放松警惕;然后,利用恐吓的方式让被骗者
心理紧张,比如,信用卡透支、账户不安全、涉嫌洗钱、包裹发现毒品,这直接让被骗
者感觉到恐慌;最后,提供帮助,在被骗者恐慌、大脑混乱的时候,提出解决方案,那
就是汇款到指定“安全账户”。
这需要线上线下的结合,它盗取你的个人信息以后,通过电话和线下诈骗。有一个
例子,一对兄弟贩卖信息半年就挣了150万元。60%的损失都是因为木马攻击造成的。张
平呼吁:要有意识的保护自己的个人信息隐私;在西方国家,对自己驾照信息都非常敏
感,一般不会轻易给别人。
网络账户也是个人信息泄露的主要渠道之一。支付宝中国网络技术有限公司风控总
监陈继东表示,综合支付宝十多年来积累的经验,总结出对整个账户盗用、及盗卡、欺
诈、作弊这一类风险防范经验,其中行为分析是支付宝判断风险识别和评估的最重要的
方法。比如盗用账户者,有一天深夜凌晨两三点,在不可信设备上登录你的账号买了非
常昂贵的东西。服务器端会根据这一账户异常现象判断该账号已被盗用。
作案分子也在不断更加智能化。“现在聪明的盗用账户者盗用了你的账户登陆之后
第一件事不转账,他先进入你的支付历史研究你的支付行为,然后模拟你的支付行为,
这时仅仅通过行为分析很难抓住他”。
如何设置安全密码
通常,网上支付活动过程中有多重确认。登录网上银行或手机银行有密码,银行再
发一个动态验证码,但动态验证码也容易被人破解,怎么办?
具体到个人账户如何设置密码,据上述公安部专家透露,在公安部侦破的案子里,
最成功设置密码是用一句古文或者其首字母设密码,“比如床前明月光”,因为全部用
拼音输入不容易被猜出来,如果再加上123更不容易被猜出来。
针对企业账户,前述公安部专家建议把密码由“阿拉伯数字加上英文”,改成“图
片或者音乐”。
他建议企业把密码设置成两个,一个是多媒体的图片或者是声音,另一个就是设置
成一句古文或一句话,“当密码超过20位的时候,现有计算机能力破解十年也不一定破
解开”。
在企业账户支付过程当中建议使用加密协议,比如网上第三方支付协议加密,具体
的安全性设置,可以从电商或支付平台渠道做一个加密隧道,每次支付的时候建立一个
加密隧道,类似于VPN隧道。“这个加密强度比较高,超过1K,不容易被破解”。
“中国人的密码设置很简单,12345就完事了,银行账户绝不要设置这种简单的密
码,任何密码不要跟自己发生关系,这是一个基本要求”。前述公安部专家强调,密码
不要到处存,账户密码、与自己相关联的个人信息不能存在手机、网盘或云盘,“一旦
存入,就不是你自己的了,这是对于支付活动的构成确认”。
对于个人信息保护方面,他建议,移动终端或电脑应安装一个“痕迹擦除”软件,
每次支付以后把身份痕迹擦掉,每半个月或者一个月至少要重新装一次;否则支付完成
以后网上留痕,很容易被黑客或软件厂商盗取。
在他看来,现在有各种各样的PAD,其中有一两种安全性较高,因为它不允许随意
在线下载和安装程序,“如果允许随便在线安装的,随便下一个APP,就容易中招;但
是不管怎么样,每半个月或一个月把APP重新安装一下,安全性相对提高”。
他也建议手机使用方面,第一是要定期刷机,定期把手机清除到出厂状态,这可以
极大地降低了手机可能存在的风险;第二,绝对不使用公开的WiFi支付,信息很容易被
盗取;第三杜绝被动点击,不要随便点击手机收到的彩信、微信或者二维码,以免被引
到钓鱼网站。 |
|
|
|
|
|
|
