苹果账户盗刷事件近日再度密集出现,据悉,受害者遍布全国各地,资金损失从几百元到数万元不等。
在苹果账户盗刷事件发生后,总有人声称“幸好我只用安卓,从来不用苹果手机”,实在是有失偏颇。苹果公司对于密码设置、密码保护和支付安全方面的保障,要比开放后台的安卓更为严密。况且,在移动支付时代,没有任何一种能保证绝对安全的设备,作为用户亦应与平台一般时刻保持警惕。
此次盗刷事件,基本情况都是受害者的苹果账户莫名其妙在其他设备登录,然后出现密集的游戏充值消费。据专家分析,已破获的苹果账户盗刷案件,大多是黑客通过撞库登录用户的苹果账户,再借由免密支付之便,直接盗刷用户支付宝、微信或是银行卡内的资金。也就是说,个人信息泄露与平台支付安全保障漏洞是根源所在。
在这一类苹果账户盗刷事件中,有两个重点,一是撞库,一是免密支付。
所谓撞库,指的是由于用户在多个网站和苹果系统都使用同一组密码,黑客通过收集或购买已泄露的其他网站的用户信息及密码,生成对应的字典表,尝试批量登录其他网站后,就会得到一系列可以登录的苹果账户,从而完成盗刷的第一步。
个人信息泄露当然是事故根源,但在个人信息泄露极其严重、很多网站尤其是邮箱密码保护方式落后的情况下,个人只能通过提升安全意识,并尽可能多地使用支付安全保障手段,来为自己的财产安全尽绵薄之力。首先,在互联网时代,只使用同一组或同几组密码是非常危险的,在信息泄露日渐严重的状况下,一组密码走天下会令自己的个人信息和财产完全暴露于黑客眼底且极易被盗。即使做不到每一个网站、邮箱和系统都使用完全不同的高级密码,至少设置一些规则和规律,让密码各不相同。其次,苹果有一个专属的安全保障措施,叫“双重认证”,在初始注册苹果账户的苹果设备上开启这个服务后,会让你输入电话号码,此后,只要你的苹果账户在别的设备上登录,就会将四位验证码发送到电话号码所在的这台初始设备并于屏幕中央显示,必须在新设备上线时输入这个四位验证码才能开启苹果账户使用权。开启双重认证之后,盗刷的人必须拿着你的手机并且拥有你的苹果账户和密码,才有可能成功盗刷。很多此次事件的受害者是被盗刷后才得知并开启双重认证的,也就是说,盗刷者并没有突破苹果的安全保障系统,而是钻了用户缺乏移动支付安全意识的空子。
必须注意的是,此次苹果账户盗刷事件的另一个重点,是免密支付,或者更确切地说,是用户主观意识上并不知情的免密支付。很多人为了方便,会将苹果账户勾连中国最常用的支付宝或微信作为支付方式,不过,很多人不知道的是,当用户选择支付宝或微信作为苹果AppStore的支付方式时,这两款App会默认开通免密支付,但很多受害者表示根本没有意识到开通了免密支付。这并不能责怪用户不细心,在这两款默认开通免密支付的页面里,微信支付在屏幕中央还有较大字体的“开通免密支付”字样进行提示,而支付宝只有屏幕最上端的程序标题会显示“支付宝免密支付”,屏幕中央没有任何提示,需要点开小字体的查看协议才能看到条款。事发后,支付宝提示用户可以调低免密支付额度。然而,无论是开通免密支付后可能的风险和需要注意的事项,又或是提示调低免密支付额度以减低盗刷损失,都应该在用户开通之前,以明显的字样和方式明确告知用户。
此次盗刷事件的部分受害者已通过苹果追回被盗资金,而无论是苹果或是两大移动支付巨头,都应意识到移动支付安全战正不断升级,需要从盗刷事件中吸取教训。在移动互联网时代,移动支付是不可逆转的趋势,与盗刷和信息安全攻击的战斗是不可避免且旷日持久的,必须积极面对并时刻保持警惕。用户财产安全不容有失,平台应承担更多责任,在提示风险尽量降低损失的基础上,进一步研究防范之法,尽力避免盗刷事件的一再发生。