社交兼金融软件的安全打开方式

zhyjc6于2019-09-19发布 约6160字·约13分钟 本文总阅读量

现在同时具有金融社交属性的app层出不穷(社交兼金融指的是同时有社交功能和金融功能,比如好友和购物),一旦其中某些app被骗子掌控,骗子就会利用其功能(社交属性)进行诈骗活动。骗子要想掌控这些app,首先要做的就是入侵(盗号)。这一步往往是由于我们在日常使用的过程中不太注意安全隐患,密码设置过于简单,也没有设置其他的安全认证机制,给了骗子可乘之机。

我先来列举一下目前登录的验证方式有哪些:

  1. 验证码登录(分为手机和邮箱,都需要事先绑定)
  2. 账户密码登录(最普通)
  3. 人脸识别登录(有效且便捷)
  4. 声音锁登录(有效且便捷)
  5. 个人信息安全认证登录(如支付宝绑定手机号不能接收验证码的情况,繁琐)
    • 绑定银行卡登录
    • 绑定银行卡+与你有关的问题登录
  6. 找回密码登录(繁琐)
  7. 好友验证登录(繁琐)
    • 好友扫描二维码
    • 好友发验证码
    • 好友帮忙申诉
  8. 绑定社交账户登录(需要二次验证)
    • qq登录
    • 微信登录
    • 微博登录
    • 支付宝账户登录
  9. 联系客服解决登录(可能没有效果)

以下是几个社交兼金融软件:

QQ

如何登录

注意:QQ的密保手机和绑定手机可能不是一个号码,但最好是一个号码

  1. 账户密码登录

  2. 忘记密码

    • 密保手机重置密码登录(快捷)

    • 填写资料验证(繁琐,需要基本资料+历史资料+好友账号)

  3. 短信验证登录

    • 只有通过手机号+短信验证码注册的QQ才能使用短信验证码登录

被他人登录的后果

  1. 滥用社交功能进行网络诈骗导致他人财产损失
  2. 发表不当言论或信息导致自己名誉受损
  3. 随意添加或删除好友或群
  4. 换绑手机号
    • 如果没有原手机号,那么还需要填写资料验证(繁琐)
    • 如果有原手机号,只需要接收验证码就好了
  5. 修改登录密码
    • 需要旧密码或者密保手机短信验证
    • 都用不了可以使用填写资料验证(繁琐)
  6. 更改绑定邮箱和绑定QQ号都会验证当前登录环境,比如新机登录就不能换绑。

如何防止他人登录

  1. 如果他人获取了我们的手机(含卡)
    • 这个没办法。 他人可以轻易登录我们的淘宝和支付宝从而获取我们的大量个人信息,因为我们谁也不会认为自己的手机每天都会丢,每天用完淘宝和支付宝或者微信和QQ后都要退出登录,几乎没有人这样做。现在人们普遍不愿意在自己手机上做退出登录的操作,因为麻烦。但是带来的后果就是,别人拿到我们手机可以轻易打开任意app获取我们的信息。除非我们对一些应用设定应用锁,只有解锁才能使用。现在的手机基本都支持,但是使用率一定不高,因为影响体验。
    • 具体补救措施看文章底部
  2. 手机没丢
    1. 开启设备锁
      • 最好每个人都开启,这样在新设备上登录即使知道密码也要使用密保手机验证才能登录
      • 除非是手机被盗。
    2. 尽量开启生物特征认证登录,如人脸登录、声音锁登录等
    3. 登录密码不要设置太简单,最好16位并且有数字字母和符号。
    4. 尽量实名制并且补充较完善的个人信息,方便自己忘记密码后需要填写资料认证登录
    5. 不要转发验证码给任何人,如果一定要给,先确认其身份。
    6. 不要点击不明链接
    7. 不要扫描不明二维码
    8. 尽量不要设置和其他软件一样的密码,防止黑客拖库撞库。
    9. 平时多关注手机上各种app的安全保障机制。

微信

如何登录

  1. 手机号+密码登录

  2. 短信验证码登录(手机被窃后极容易被他人登录)

  3. QQ号+QQ密码登录,需要以下条件之一来验证身份:
    1. 短信验证
    2. 别人帮忙扫二维码验证
    3. 人脸验证
    4. 邀请好友辅助验证(需要QQ环境稳定,否则提示QQ疑似被盗)

  4. 声音锁登录(需要事先设置)

  5. 邮箱登录(不可尝试过快,有频率限制)

  6. 找回密码登录

    1. 通过手机号+短信验证码(需绑定手机号,便捷)

    2. 通过QQ号+QQ密码(需绑定QQ号)

    3. 邮箱(需绑定邮箱)

    4. 申诉找回密码(繁琐)

      1. 记得微信号

        • 用任意手机接收短信即可,但可能会失败,会有回执单号,可以拿回执单号打人工服务进行下一步(应该要提供更多的个人信息进行验证)。

      2. 不记得微信号

        • 用以前绑定过的一个手机号+任意一个可接收短信的手机号
        • 或者用以前绑定的QQ号+任意一个可接收短信的手机号

        这种方法会涉及到微信好友,需要知道微信好友的一些信息,比如绑定的手机号或者微信号或者QQ号或者邮箱。

关于冻结

为了防止他人冻结我们的账户,我们要了解冻结微信所需要的条件:

首先是先冻结哪个账户,可以提供微信号、绑定手机号、绑定QQ号、绑定邮箱中的一个来唯一定位要冻结的微信账户。定位到微信账户后就需要验证你的身份了:

  1. 绑定手机号
    • 通过绑定手机号按照要求发送特定指令可以当场冻结
    • 同样通过绑定手机号发送特定指令dj00可以当场解冻
  2. 通过绑定的QQ号冻结
    • 需要登录QQ
  3. 通过人脸识别冻结
    • 需要事先在微信开启并通过人脸识别认证功能
  4. 通过绑定的银行卡冻结
    • 持卡人姓名
    • 身份证后四位
    • 银行卡号后八位
    • 银行预留手机号
  5. 联系客服帮忙冻结
    • 客服电话:0755-83765566
    • 依次选择1-3-1号键

被他人登录的后果

  1. 滥用社交功能进行网络诈骗导致他人财产损失
  2. 发表不当言论或信息导致自己名誉受损
  3. 随意添加或删除好友
  4. 通过绑定手机号更改微信登录密码
  5. 换绑手机号(需要原绑定手机号并且在新手机上登录一天内不能换绑,提示说第二天再试)
  6. 更改绑定邮箱和绑定QQ号都会验证当前登录环境,比如新机登录就不能换绑。
  7. 更改支付密码
    • 需要本人姓名+身份证号+银行卡号+银行预留手机号(+可能还有的更多要求)

如何防止他人登录

  1. 如果他人获取了我们的手机(含卡)
    • 这个没办法。 他人可以轻易登录我们的淘宝和支付宝从而获取我们的大量个人信息,因为我们谁也不会认为自己的手机每天都会丢,每天用完淘宝和支付宝或者微信和QQ后都要退出登录,几乎没有人这样做。现在人们普遍不愿意在自己手机上做退出登录的操作,因为麻烦。但是带来的后果就是,别人拿到我们手机可以轻易打开任意app获取我们的信息。除非我们对一些应用设定应用锁,只有解锁才能使用。现在的手机基本都支持,但是使用率一定不高,因为影响体验。
    • 具体补救措施看文章底部
  2. 手机没丢
    1. 尽量开启生物特征认证登录,如人脸登录、声音锁登录等
    2. 尽量实名制并且补充较完善的个人信息,方便自己忘记密码后需要填写资料认证登录
    3. 设置应急联系人(三位以上可以随时联系的朋友,方便申诉)
    4. 时常观察最近登录设备管理,删除不认识的设备
    5. 登录密码不要设置太简单,最好16位并且有数字字母和符号。
    6. 不要转发验证码给任何人,如果一定要给,先确认其身份。
    7. 不要点击不明链接
    8. 不要扫描不明二维码
    9. 尽量不要设置和其他软件一样的密码,防止黑客拖库撞库。
    10. 平时多关注手机上各种app的安全保障机制。

支付宝

如何登录

  1. 扫脸登录(需要事先手动开启扫脸登录功能)

    • 需要眨眼,安全性较高

  2. 短信验证码登录

    • 别人有我们手机卡并且能接收验证码(那么任何人都可以登录 :)) - 别人没有我们手机卡(只能通过忘记密码来重置密码,但是需要更多的个人信息才能通过验证)

  3. 账户密码登陆

    需要知道密码才能登录。也可以通过忘记密码来重置密码。

    忘记密码

    注意:这个时候就是重置密码,密码重置成功后淘宝密码也会同步修改。

    • 刷脸找回密码

      • 需要你的face

    • 绑定银行卡找回密码

      • 提供银行卡号+持卡人姓名+身份证号+银行卡预留手机号

    • 绑定银行卡信息+与你有关的信息

      • 会提供银行卡尾号,需要补全卡号和提供身份证号,还有最近购买的宝贝和可能认识的人的图片验证码。

  4. 别人获取我们手机直接打开支付宝

    • 不需要任何认证信息,只需要偷到我们的手机(即使支付宝设置了打开支付宝需要指纹也没用,指纹设置只在原来手机有效)

被他人登录的后果

  1. 个人信息泄露

    • 支付宝账单泄露
      • 支付宝账单又反应了你的消费能力
      • 还有个人的生活行径
    • 收获地址
      • 真实姓名
      • 真实住址地址
      • 真实手机号
      • 如果有其他好友信息还会泄露好友信息
    • 支付宝账号
    • 淘宝会员名(不能修改的那个)
    • 个人真实姓名和年龄

  2. 好友信息泄露

  3. 泄露付款码

    • 支付宝明确表示付款金额小于等于1000元的交易无需验证支付密码,所以别人可以不断地刷走我们的钱。
    • 并且如果一张卡刷完了再刷的话会扣下一张卡,再下一张卡直到没有卡,然后可能就是余额宝、借贷宝之类的。支付顺序由用户自行设置。默认支付顺序是:信用卡-余额-借记卡-余额宝-花呗。

  4. 如果他人能获取支付宝绑定手机号的验证码并且知道支付宝绑定的银行卡

    • 他人就可以不用输入支付密码,而是使用验证码+银行卡号完成一次付款,第二次就好像不行了?

    所以银行卡号是敏感信息,像身份证一样不能泄露!

  5. 改支付密码

    • 需要银行卡号+银行卡预留手机号+手机号验证码(+可能还有的更多验证)
    • 或者是手机号验证码+本人身份证号(+可能还有的更多验证)
    • 或者是邮箱验证码+本人身份证号(+可能还有的更多验证)

  6. 改登录密码

    • 由于他人窃取我们手机可以使用手机号验证码登录,在支付宝看来就是通过了身份验证,可以随意修改登录密码了

如何防止他人登录

  1. 如果他人获取了我们的手机(含卡)
    • 这个没办法。 他人可以轻易登录我们的淘宝和支付宝从而获取我们的大量个人信息,因为我们谁也不会认为自己的手机每天都会丢,每天用完淘宝和支付宝或者微信和QQ后都要退出登录,几乎没有人这样做。现在人们普遍不愿意在自己手机上做退出登录的操作,因为麻烦。但是带来的后果就是,别人拿到我们手机可以轻易打开任意app获取我们的信息。除非我们对一些应用设定应用锁,只有解锁才能使用。现在的手机基本都支持,但是使用率一定不高,因为影响体验。
    • 具体补救措施看文章底部
  2. 手机没丢
    1. 尽量开启生物特征认证登录,如人脸登录、声音锁登录等
    2. 尽量实名制并且补充较完善的个人信息,方便自己忘记密码后需要填写资料认证登录
    3. 这个时候他人必须要在其他设备登录我们的账户,登录渠道只有账户密码可用。因为扫脸支付需要你拿脸给他扫,还要眨眨眼,不可能;验证码登录,手机和手机卡都在你这,验证码当然也在你这,除非你把验证码发给他,或者说对方使用伪基站之类的技术窃取了你的验证码(不会离你太远,在附近),所以也不大可能;所以只能是密码验证登录了。
    4. 不要转发验证码给任何人,如果一定要给,先确认其身份。
    5. 不要点击不明链接
    6. 不要扫描不明二维码
    7. 登录密码不要设置太简单,最好16位并且有数字字母和符号
    8. 尽量不要设置和其他软件一样的密码,防止黑客拖库撞库。
    9. 平时多关注手机上各种app的安全保障机制。

淘宝

如何登录

  1. 扫脸登录(需要事先手动开启扫脸登录功能,只要是阿里系比如支付宝开启了就行)

    需要眨眼,安全性较高

  2. 短信验证码登录

    只需要账户绑定手机号就可以登录,安全性较低(手机掉了任何人都可以登录)

    换绑手机需要输入支付宝支付密码(6位数字),比较安全

  3. 账户密码登陆

    需要知道密码。忘记密码后可以通过人脸认证重置密码,安全性较高

  4. 支付宝账户快捷登录

    只要手机中装有支付宝并且处于登录状态,淘宝就可以使用支付宝快捷登录(前提是淘宝账户要绑定支付宝账户,因为淘宝需要调用支付宝的支付功能),有可能会有二次验证过程,比如指纹验证

被他人登录的后果

  1. 个人信息泄露
    • 收获地址
    • 个人姓名
    • 手机号码
    • 个人喜好(根据购物记录推算)
    • 购买力
  2. 好友信息泄露(收货地址)
  3. 直接登录支付宝导致泄露更多个人信息

如何防止他人登录

  1. 如果他人获取了我们的手机(含卡)
    • 这个没办法。 他人可以轻易登录我们的淘宝和支付宝从而获取我们的大量个人信息,因为我们谁也不会认为自己的手机每天都会丢,每天用完淘宝和支付宝或者微信和QQ后都要退出登录,几乎没有人这样做。现在人们普遍不愿意在自己手机上做退出登录的操作,因为麻烦。但是带来的后果就是,别人拿到我们手机可以轻易打开任意app获取我们的信息。除非我们对一些应用设定应用锁,只有解锁才能使用。现在的手机基本都支持,但是使用率一定不高,因为影响体验。
    • 具体补救措施看文章底部
  2. 他人没有我们的手机
    1. 尽量开启生物特征认证登录,如人脸登录、声音锁登录等
    2. 尽量实名制并且补充较完善的个人信息,方便自己忘记密码后需要填写资料认证登录
    3. 这个时候他人必须要在其他设备登录我们的账户,登录渠道只有账户密码可用。因为扫脸支付需要你拿脸给他扫,还要眨眨眼,不可能;验证码登录,手机和手机卡都在你这,验证码当然也在你这,除非你把验证码发给他,或者说对方使用伪基站之类的技术窃取了你的验证码(不会离你太远),所以也不大可能;支付宝快捷登录需要先登录你的支付宝,更难,不可能;所以只能是密码验证登录了。
    4. 不要转发验证码给任何人,如果一定要给,先确认其身份。
    5. 不要点击不明链接
    6. 不要扫描不明二维码
    7. 登录密码不要设置太简单,最好16位并且有数字字母和符号
    8. 尽量不要设置和其他软件一样的密码,防止黑客拖库撞库。
    9. 平时多关注手机上各种app的安全保障机制。

附录

如果手机丢了怎么办?

手机丢了多半手机里的卡也一起丢了:(

  1. 我们丢了手机第一时间一定是借一个手机打电话给运营商开启停机保号业务(需要一些个人信息,如身份证和几条手机卡充费记录);
  2. 然后是去相应的银行冻结银行卡;
  3. 这期间要告诉亲朋好友我们手机丢了的事实,一来是不要让他们担心,二来是给他们提个醒以防网络诈骗;
  4. 最后我们才能安心地去补卡开机;
  5. 登录之前的社交账户更新设备锁(删除原来的手机)。

我们的账号是怎么被盗取的?

  1. 共享账号信息

    • 用户主动将账号登录信息共享给了其他用户。这人可能是某位你在真实生活中认识并信任的人,或者是某位利用所谓“社交工程学(social engineering)”的欺骗方法来获得你信息的人,还有就是游戏代打。
    • 尽量不要把QQ之类的账户借给别人,当然,不是说你借的人会盗你号,而是说:你把账户借给别人,然后他安全意识不好,在上面所述的任意一个地方,登录了,然后就被盗号了,而他还不知道

  2. “钓鱼”欺诈电子邮件

    • 这些电子邮件和网站假冒官方身份以诱骗你主动提交你的登录信息。当你遇到以下情况,可能就会是“钓鱼”欺诈:
      • “钓鱼”欺诈电子邮件会询问你的登录密码和信息。 官方电子邮件绝不会询问你这些信息。
        • 这种情况一般要输入错误的账户和密码,如果能验证成功那么就可以确定是假的网站
        • 如果第一次输入错误的信息被网站识别了,也不要相信,因为有的骗子很聪明,他担心你会输错账户密码,所以第一次无论你输入正确与否他都会提示你账户或密码错误,这一点还有一个好处就是可以降低你的警惕意识,让你放松。
        • 遇到这种情况最好就是不要点开链接,避免节外生枝
      • “钓鱼”欺诈邮件常以紧急事件为由,声称你的账号涉嫌作弊或其他理由,需要你提供个人信息以避免处罚。
        • 处理如上
      • “钓鱼”欺诈邮件通常会有语法或者拼写错误。如果你发现明显的排版和语法等错误,表明你很可能遇到了“钓鱼”欺诈邮件。
        • 如上
      • 有些“钓鱼”欺诈邮件一般不会要求个人信息,而是将你转向冒充的网站链接,界面与官方十分相似。
        • 如上
      • 有些“钓鱼”邮件会以“欺诈”的方式伪装发件人的邮件地址,使收件人误以为其内容来自官方。查看邮件头信息,确认发件人地址。

  3. 木马盗号

    • 通常你下载一些不正规渠道的软件运行后木马就会驻扎在你的后台,当你登录QQ的时候,监听你的密码,然后发送给盗号的人
    • 或者你QQ、电子邮件,接受到一个别人发送的文件,通常带有诱惑你打开执行的话,然后你打开后,监听你的密码,然后发送给盗号的人
    • 预防办法就是不打开来历不明的文件,尽量去官方网站下载东西,然后定期杀毒,尽量不要在网吧登录QQ之类的账户

盗取账号后骗子是如何行骗的?

  1. 利用住院、没钱急需用钱等理由向好友挨个借钱
    • 这时候要利用视频或者打电话确认一下对方是否本人,但是视频有可能作假,电话也有可能,最好的办法就是都试一下,发现猫腻立即扩散并且举报
  2. 统计信息显示大多数网络诈骗的都是通过获取受害者的信任,让受害者主动转账完成诈骗犯罪的。所以在社交网络上凡是涉及到钱财的情况一定要万分小心,反复确认是否存在被盗号的情况。不要贸然相信对方!

2016-2017年网络诈骗总结资料(27.8MB)