扫描或点击关注中金在线客服
下次自动登录
其它账号登录：
||||||||||||||||||||||||
&&&&>> &正文
无须密码四步盗窃银行账户 你或许是下一个
作者：佚名&&&
中金在线微博微信
扫描二维码
中金在线微信
　　保障个人银行账户安全还要注重保护个人信息，如身份证号、银行卡号、手机号。这些信息一旦泄露，很可能给您带来巨大损失。
　　因为很多人对目前发展迅速的第三方支付平台还不了解，在他们的思维里，只要保证银行卡以及密码的安全，自己的账户就是安全的。
　　其实，保障个人银行账户安全还要注重保护个人信息，如身份证号、银行卡号、手机号。这些信息一旦泄露，很可能给您带来巨大损失。
　　以目前使用广泛的第三方支付平台支付宝为例，通过输入身份证号、银行卡号、手机号等信息捆绑支付宝后，在之后的交易中只需要输入支付宝支付密码即可完成交易，根本不需要输入银行卡密码。
　　警方提供的前两个案例和职女士的银行存款被盗案有一个共同点：持卡人的银行卡以及密码都没有泄露。那么，不法分子是如何得手的呢？
　　据专业人士介绍，不法分子一般通过电话或短信发布一些虚假信息，常见的内容包括办理大额信用卡、提高信用卡额度、积分兑换现金等，无非是以一些利益来诱惑您，如果您与之联系，那么距离您的账户被不法分子盗窃只有四步。
　　无需密码四步成就你的梦魇
　　第一步
　　不法分子会以办理业务需要为由，让您提供银行卡号、身份证号和手机号。
　　第二步
　　不法分子利用上述信息在第三方支付平台以您的名字开账户，绑定银行卡。
　　第三步
　　不法分子利用伪基站向您的手机植入木马病毒，拦截第三方支付平台发出的交易验证码等信息，或者通过欺骗方式使您主动告知交易验证码等信息。
　　第四步
　　输入交易验证码，不法分子即可在第三方支付平台直接消费或转账。
　　谨慎识别盗窃场景你可能在下面这几种情况中招
　　骗子盗窃银行账户的手法越来越高明，手段也开始不断地翻新。从最初的胶水封ATM出钞口、玩双簧换复制卡调包到ATM屏幕上放假冒银行客服电话、ATM安装探孔摄像头，再到网购设置钓鱼网站、利用WIFI盗用手机银行信息，骗子的手段科技化水平逐步提高。以至上述无需密码，四步拿下你的银行卡，还有哪些骗子手法盗窃你的银行信息。
共 4 页&& 1
责任编辑：cnfol001
好消息！还在为选择留学院校而苦恼吗？还在为复杂的移民申请流程而心烦吗？818出国网微信号汇聚最新的出国资讯，提供便捷的移民留学项目查询和免费权威的专家评估，为你的出国之路添能加油！
微信关注方法：1、扫描左侧二维码：2、搜索“818出国网”（chuguo818）关注818出国网微信。
我来说两句
24小时热门文章
栏目最新文章因为很多人对目前发展迅速的第三方支付平台还不了解，在他们的思维里，只要保证银行卡以及密码的安全，自己的账户就是安全的。 其实，保障个人银行账户安全还要注重保护个人信息，如身份证号、银行卡号、手机号。这些信息一旦泄露，很可能给您带来巨大损失。 以目前使用广泛的第三方支付平台支付宝为例，通过输入身份证号、银行卡号、手机号等信息捆绑支付宝后，在之后的交易中只需要输入支付宝支付密码即可完成交易，根本不需要输入银行卡密码。 警方提供的前两个案例和职女士的银行存款被盗案有一个共同点：持卡人的银行卡以及密码都没有泄露。那么，不法分子是如何得手的呢？ 据专业人士介绍，不法分子一般通过电话或短信发布一些虚假信息，常见的内容包括办理大额信用卡、提高信用卡额度、积分兑换现金等，无非是以一些利益来诱惑您，如果您与之联系，那么距离您的账户被不法分子盗窃只有四步。 无需密码四步成就你的梦魇 第一步 不法分子会以办理业务需要为由，让您提供银行卡号、身份证号和手机号。 第二步 不法分子利用上述信息在第三方支付平台以您的名字开账户，绑定银行卡。 第三步 不法分子利用伪基站向您的手机植入木马病毒，拦截第三方支付平台发出的交易验证码等信息，或者通过欺骗方式使您主动告知交易验证码等信息。 第四步 输入交易验证码，不法分子即可在第三方支付平台直接消费或转账。 谨慎识别盗窃场景，你可能在下面这几种情况中招 骗子盗窃银行账户的手法越来越高明，手段也开始不断地翻新。从最初的胶水封ATM出钞口，玩双簧换复制卡调包到ATM屏幕上放假冒银行客服电话，ATM安装探孔摄像头，再到网购设置钓鱼网站、利用WIFI盗用手机银行信息，骗子的手段科技化水平逐步提高。 以至上述无需密码，四步拿下你的银行卡，还有哪些骗子手法盗窃你的银行信息。 场景一：利用电话骗客户手机停机盗刷客户信用卡 骗子手段：首先从钓鱼网站窃取客户的个人信息，如姓名、身份证号、手机号码和信用卡信息等，然后通过拨号软件拨打手机号的客服电话，如1等，通过与客服人员核对身份证号申请手机停机。 这样，虽然多数客户申请了手机资金变动提醒，但是一旦骗子申请停机后则无法获得资金变动提示的短信，则骗子可以轻易盗刷客户的信用卡了。 解决办法： 1、任何网站的注册信息不可留下姓名、身份证号、手机号和信用卡号等全部的信息。 2、信用卡的客服设置电话查询密码（不要用常用的数字或生日代替）。 3、银行信用卡网站的服务设置为电话短信+纸质对账单服务模式。 场景二：利用Wifi盗窃客户手机银行内的信息 骗子手段：在麦当劳、肯德基和星巴克等场所一般都设有免费Wifi，但需要输入密码。许多犯罪分子利用用户懒于询问无线密码的心理，自建Wifi，其命名也具有一定的欺骗性，许多与店里的店名Starbuck1、McDonlad's1等相似，而很多客户却并不了解，一旦通过该连接，就很容易被钓鱼。 若被钓鱼，手机银行和Wifi登录的操作记录就被复制，并被犯罪分子分析破解，若客户登录手机银行，其银行账户信息就被轻易盗取。 解决方法： 1、登录前仔细查看Wifi的登录名，最好问一下店里的服务人员，避免被钓鱼。 2、尽量不在公共场合使用Wifi登录银行账户或手机银行。3、手机中尽量安装防钓鱼软件。 场景三：网购设置钓鱼链接进行信用卡诈骗 骗子手段：犯罪分子假冒网站店家首先在网站上发布低价格的网购商品吸引客户。一旦有客户下单需要购买，就声称暂时没有货了，然后提示客户退款，并把退款的信息或者链接通过聊天屏幕发过来，一旦客户点击则立即被窃取信用卡信息，复制后就会被盗刷。 虽然多数持卡人认为网购是需要支付密码和手机认证码的，但是提示各位客户的是，许多客户喜欢使用快捷支付交易，这是不需要支付密码的。 多数银行的快捷支付方式只需要提供客户的CVV2码（信用卡背面签名区后的3位数字）、有效期和手机验证码即可实现支付，而手机验证码犯罪分子可通过拨号软件获得，这样就可轻易实现盗刷。 解决办法： 1、网购商品一旦商家说缺货即马上退款，但是注意千万不要点击他发过来的链接地址，虽然目前快捷支付方便，但还是建议用网银支付比较安全。 2、一旦误点击链接，须立即拨打客服电话进行信用卡止付，并按需拨打110报警电话求助。 场景四：刷卡机银行卡克隆 骗子手段：个别不法商贩有时会趁客户不留意时进行两道刷卡机，在刷POS机前，偷偷在另外一台POS机上刷一下，这一刷，则机器立即把客户卡上的信息记录了下来。 当再次刷POS机时，则偷窥客户的密码并记录，等客户离开后，店主则用一张空的银行卡把卡地信息输入进去，则立即在现场制作成这张银行卡的克隆卡并盗刷，使客户蒙受巨大损失。 解决办法： 1、刷卡消费时，切忌避免让店员代为刷自己的银行卡。 2、出现异常短信提示须立即拨打银行客服电话查询原因。 场景五、银行让你回国后去换卡 骗子手段：去年4月份，某客户趁着清明小长假，去马来西亚游玩了一趟。回到杭州以后，立即收到建行信用卡中心打来的客服电话，提醒客户在马来西亚一家商户的刷卡消费存在风险，提出给她免费更换信用卡。 无独有偶，同月去过泰国的李先生，回国后也接到兴业银行信用卡中心的换卡建议。 一直以来，东南亚地区的信用卡盗刷现象非常严重，因为在东南亚国家的商场里，每个品牌柜台都有独立的POS机，这就很容易出现个别POS机被做手脚，从而盗取持卡人信息。在一些较小的商户那里刷卡，盗刷风险更是增加了一倍。 解决办法： 1、在东南亚国家刷卡消费时，要选择正规、大型的商场，这样相对来说能降低一定的风险。 2、旅游归来后，最好能去发卡行更换信用卡。 3、另外，区别于磁条卡，持卡人不妨去办理一张金融IC卡（芯片卡），因为它的安全系数更高，卡内数据更不易被复制。 案例：18岁黑客盗取银行账户偷了15亿，你的钱可能就是他偷的！ 在尚未成年的日子里，自广西河池的男孩阿叶（化名），初中毕业，通过自学的“黑客”技术，以网络攻击的手段，批量提取客户银行卡信息及其密码，与同伙利用网上支付的漏洞，盗刷他人银行账户，牟取暴利。 去年5月8日，阿叶落网时，警方在他的一部笔记本电脑中，查获160万条公民个人信息和银行卡账号，可直接网上盗刷的银行卡信息及其密码，多达19万条，可提现金额高达14.98亿余元。 该案的所有作案过程均在网上完成，犯罪手法在全国范围内黑客信用卡诈骗案中，尚属首例，目前，已造成全国多个省份，近千名事主多达几千万元的损失，而制造这一特大案件的背后是，阿叶和他手中一部笔记本电脑，及其周围庞大、复杂的黑客网络攻击盗刷银行卡犯罪网络。 广东警方通过两次收网行动，已抓获包括阿叶在内的26人，起获信息处理软件和手机木马黑客软件一批。公安部称，该案“取得了近年来打击伪卡犯罪的最大战果”。 民警打开阿叶的笔记本电脑发现，里面有各类公民信息、银行卡信息，多达800万条。其中，包括身份证号、登录密码和手机号的信息达160多万条。 身份信息四大件最为核心 在上述信息中，犯罪分子口中“内料四大件”，即“身份证号、登录密码、手机号码和银行卡账户”齐全的，共有19万条，可用于直接盗刷，对应的银行账户金额达14.98亿元。 另外，警方发现，阿叶利用“易语言”或“C ”等编程语言编写的黑客软件8个，用于盗取海量信息。 当日，广州市公安局经侦支队分别在广西河池市及广州市番禺区、增城区、天河区等地，抓获包括阿叶在内11名犯罪嫌疑人，缴获用于作案的电脑11台、POS机13台、涉案银行卡40张、电话充值卡160张以及涉案物品一大批。 专案组介绍，犯罪分子充分利用大信息、大数据时代快速发展阶段信息安全保护的薄弱和漏洞，通过自行编写黑客软件，有选择地攻击含有大量客户信息的知名招聘网站或其他网站以从后台窃取客户信息。 阿叶介绍，在积累一定数量的银行卡信息后，会通过QQ群发布信息，寻找变现“通道”和“合作伙伴”，所谓“通道”是指利用网络支付中的漏洞，把银行卡账户资金盗刷变现的方法。 据初步核查，阿叶自2013年至今，在网上与下线成员网名为“鳄鱼”、“转眼十年未谋”等人，采用时分时合的不特定纠合方式，进行作案，非法获利1400万元以上。
看过本文的人还看过
人气：47340 更新：
人气：37084 更新：
人气：34560 更新：
人气：22610 更新：
天彩生活的更多文章
大家在看 ^+^
推荐阅读 ^o^
女人就算光着腿，也不能这么恶心的穿打底裤！
药店里这些廉价药超好用，店员绝对不会告诉你！
从安妮·海瑟薇深8职场穿搭
朗诵 | 变老的时候
猜你喜欢 ^_^
24小时热门文章
微信扫一扫
分享到朋友圈-- 华商报 --
全国首例网络盗窃支付宝账户余额案昨在西安二审
买上万手机号 改支付宝密码盗23.8万元
购买陕西1万个手机号码和网上营业厅登录密码，从中筛选出开通了支付宝功能的用户，通过激活短信拦截功能等一系列操作后，朱某等海南5男子就在千里之外篡改了西安用户的支付宝账户密码，大肆盗窃多人账户内23.8万余元。　　
这是2013年发生的全国首例利用支付宝网络盗窃他人账户余额案。今年1月初，5男子一审分别被判处5年5个月至1年3个月不等有期徒刑，并处罚金，另一名涉案者李某被判处9个月有期徒刑。昨日，该案在西安中院二审开庭。　　疑犯曾预谋大量盗取账户资金　　
日至10月26日，西安多名市民发现支付宝账户余额被人盗取。支付宝中国网络技术有限公司也证实，该公司自日起，通过监控陆续发现多名西安地区会员账户内资金异常，并通过技术平台锁定了盗窃支付宝账户的电脑。　　
日，海南警方配合西安警方在海南陵水县抓获犯罪嫌疑人郑某，其后数日，朱某、陈某、吴某、杨某落网。经查，这5人均为海南省儋州市人，其中陈某、吴某为大专文化程度，其他3人只有初中文化。　　
对于这5人的落网，华商报日A04版曾做过报道，当时警方在通报案情时表示，该团伙曾打算在当年“双11”来临之际大量盗取网络账户。其中郑某是一名潜水教练，其交代，他与朱某熟悉网络技术，知道很多人支付宝里都有钱，还把支付宝账号和手机进行了绑定，用手机号码作为支付宝账号，就在这上面动起了歪心思。　　
2014年4月，第6名嫌疑人广东吴川男子李某在广州被抓获。　　20天作案多起盗23.8万　　
经查，日晚，预谋通过支付宝盗窃的朱某、郑某在海南儋州郑某家中，通过淘宝网联系到李某，要求购买陕西电信用户的手机号码及对应的陕西电信网上营业厅登录密码。李某先将从淘宝网一卖家处获取的10个手机号码及密码发给朱某。朱某、郑某分两次盗取了某人支付宝账户上的39950元。　　
次日，朱某、郑某前往海口市，通过网络再次联系李某。李某通过淘宝网以3500元购买了1万个陕西电信用户手机号码和密码，以4000元卖给朱某、郑某。二人购买多个网卡，在海口多家酒店开始实施盗窃。　　
同年10月11日，某保险公司业务员陈某加入该团伙，制作了按键精灵程序，用以筛选手机号码，共同实施盗窃。10月12日，郑某通过电话将盗窃方法教给了吴某，并给其发了数百个手机号码及密码，吴某又伙同杨某在海南儋州多家网吧及杨某花店内利用电脑实施盗窃。10月15日，朱某、郑某、陈某离开海口，10月22日至26日，朱某与陈某又在海口继续作案。　　
据统计，日至10月26日，朱某、郑某、陈某、吴某、杨某共盗取多人账户内23.8万余元。　　6人一审获刑 两人上诉　　
西安市莲湖区法院一审认为，朱某等5名被告人以非法占有为目的，利用网络盗窃他人账户钱款，其中，朱某、郑某、陈某盗窃数额巨大，吴某、杨某盗窃数额较大，均构成盗窃罪。李某非法获取1万个公民手机信息，出售给他人，情节严重，已构成非法获取公民个人信息罪。　　
今年1月初，朱某等5人分别被判处5年5个月至1年3个月不等有期徒刑，并处罚金，李某被判处9个月有期徒刑。宣判后，郑某、陈某提出上诉，分别对一审认定的盗窃事实及量刑提出异议。　　二审昨开庭 将择日宣判　　
昨日下午，西安中院二审开庭。朱某、郑某等在庭上称，他们购买到用户手机号码及网上营业厅密码后，通过手机号码进入网上营业厅，开通短信过滤功能，再通过后面一系列操作更改用户支付宝密码。其中，筛选绑定支付宝的手机号码是重要一环。　　
“（筛选）操作时很枯燥”，认为量刑过重的上诉人郑某在回答检察员提问时称，筛选手机号码时要不断地复制、粘贴，一手操作鼠标，一手操作键盘，筛选后的手机号码都是开通了支付宝功能的。为方便操作，后加入的陈某收取了1000元软件开发费用后，制作了按键精灵程序，之后的操作只需要用键盘。但陈某称，该程序并不能提高筛选速度，仅仅是让一只手可以空下来。在做完程序后，陈某也表示想加入，“没人给我分钱，我（知道盗窃方法后）自己盗窃。”陈某认为，一审判决对其犯罪金额认定过高。法庭调查阶段，陈某的辩护律师申请对按键精灵程序的作用等进行鉴定。　　
对此，检察员一一辩驳，认为一审在认定事实、适用法律等方面均是正确的，请求维持原判。　　
庭审结束后，审判长宣布将择日宣判。　　
华商报记者 宁军　　专家看法　　有关部门应严厉打击买卖公民隐私信息行为　　
5个人在20天内通过网络作案方式，盗窃他人支付宝账户近24万元。为什么能发生这样的事？这些作案者是如何得手的？案件给社会带来了哪些值得思考的问题？昨日，华商报记者采访了西安电子科技大学计算机学院博士、副教授、教育部信息安全团队骨干成员杨超。　　
杨超说，这些人作案中最关键的环节，一是大量私人手机号码的获取，二是短信“验证码”的拦截。1万名电信用户手机号码和网上营业厅登录密码能够通过网络交易买到，本身就是很大的问题。有了这个条件，才为作案者提供了在网上盗窃的可能。这个问题值得有关部门高度关注，应该严厉打击买卖公民隐私信息的行为。　　
在电子支付时代，手机“短信验证码”被赋予了过高的权限。而实际上，手机短信在传播过程中可以被截获并容易被破译为明文，拦截短信的技术难度并不高，所以才会成为不法分子实施犯罪的重要方法。短信从通讯运营商内部网络到基站，再从基站到用户手机，信息传递速度尽管很快，但还有明确的路径。利用基站拦截、互联网木马软件等，都可能达到悄无声息拦截目标手机“短信验证码”的目的。　　
这起网络盗窃案的发生同时也说明，“支付宝”等第三方电子支付平台，在支付安全性方面亟待提高。电子支付平台的“安全性”之所以让人操心，一是和人接触的地方可能会出问题，比如被骗、被抢，以及弱口令、手机丢失等问题；二是可能影响电子支付的技术环节比较多、比较复杂，给不法分子带来了可乘之机；三是操作系统和操作环境本身可能存在漏洞。但最重要的还是第三方支付平台对技术设计、功能开发方面关注较多，但对用户账户和信息安全性的重视程度却显然没有提到同样高的程度。　　
杨超和省内一家银行电子银行部的负责人都提醒市民：作为电子支付时代的普通用户，一定要看牢自己各种客户端的登录密码，尤其是“验证短信”。 华商报记者马虎振　　疑犯是这样作案的看看哪步可防范　　
1 批量获取电信用户手机号码及登录电信网上营业厅的密码　　
2 利用支付宝平台查询系统筛选出开通支付宝账户的电信手机号码　　
3 用筛选出的手机号码登录电信网上营业厅，将用户的短信拦截功能激活，设置拦截支付宝、银行客服发送的短信　　
4 登录支付宝平台，输入已经激活短信拦截功能的手机号码，点击“忘记登录密码”，支付宝系统便会将更改账户密码的验证码以短信方式发送给用户　　
5 利用拦截到的短信获得更改支付宝账户密码的验证码，对支付宝账户密码进行篡改　　
6 将支付宝账户和关联的银行卡内的存款转入其准备好的银行账户或利用支付宝账户买卖游戏点卡实施盗窃　　马上实验　　支付宝重置密码目前需验身份证件　　
本案的案发时间是2013年10月。据了解，当时仅有手机短信验证码是可以重置支付宝密码的，而当时用手机号码作为支付宝账户名也非常普遍。那么，类似案件中的情况现在还存在吗？华商报记者昨日进行了模拟实验。　　
西安市民小马用的是电信手机，捆绑有支付宝账号，实验前仅告知华商报记者自己的电信网上营业厅登录密码。华商报记者登录电信网上营业厅进行设置。但查遍所有“自助服务”内容，并无“短信拦截”或“短信过滤”的设置。　　
随后进入支付宝官网，因为小马的支付宝账户名是邮箱号，记者点击“忘记密码”后重置登录密码，接下来又要求验证身份证件，输入身份证号和“短信校验码”，才可以重置登录密码。而要重置支付密码，还需要从“验证短信”“验证电子邮箱”“联系在线客服”三种方式选择一种，再次进行安全校验。之后，才能重置支付密码。　　
市民小李的支付宝账户名是手机号，记者重置登录密码和支付密码，发现和用邮箱名登录后的程序差不多，都需要验证身份证件。 华商报记者 马虎振　　如何预防个人资金被盗？　　
1.主要银行账户不要开通网银以及第三方支付平台　　
2.开通第三方支付平台的账户，不要储存过多现金　　
3. 为支付方便，可以把需要用的钱放在第三方平台，但不要捆绑银行卡　　
4.网上支付一定要注意操作环境的安全性，钓鱼网站一般都是用假支付页面打掩护，用木马配合骗用户输入账户和密码　　
5.经常用手机购物的用户，要养成设置开机密码的习惯。因为破解密码需要时间，一旦手机丢失，多一道密码保护就会减少一些风险发生的时间　　95188　　
1.支付宝登录密码和支付密码最好用数字和字母组合的高级别密码，最好与其他网站使用的密码区别开来　　
2.给支付宝账户申请手机数字证书或手机宝令等　　
3.安装密码安全控件，可对密码进行加密，有效防止木马程序截取键盘记录　　
4.平时要多注意电脑安全，安装杀毒软件，不要上不安全网站，牢记支付宝官方网址，警惕欺诈网站　　
5.手机不要频繁刷机，不要root，不要接不明文件，不要扫不安全的二维码　　
6.认准支付宝官方客服热线95188，不要轻易相信别的所谓的客服电话，以免上当受骗　　
7.支付宝用户若发生手机、身份证、银行卡一起丢失情况，应第一时间拨打通讯运营商电话挂失手机卡，拨打95188冻结支付宝账户，如果有财产损失就一定要报警&
《华商报》社版权所有，未经书面授权禁止使用央视曝光：木马图片通过360免杀认证 盗取支付宝账号密码
稿源：TechWeb
3月24日消息，央视财经频道《经济与法》栏目曝光了一起新型木马病毒盗窃支付宝资金案。犯罪嫌疑人主要针对淘宝商家，以询问有没有这样的商品为理由，向淘宝卖家发送伪装成照片的exe木马程序，卖家只要点开图片，木马就被装到电脑里。犯罪嫌疑人购买商品后，以不合适为由找商家退款，商家接受退款申请并输入支付宝密码的时候，木马的后台程序就自动把支付宝密码记录了下来。
央视曝光：木马图片通过360免杀认证 盗支付宝账号密码于是，犯罪嫌疑人直接登录淘宝卖家的支付宝，转走其账户余额。用户可能会质疑，exe木马程序不是会被杀毒软件杀掉吗？据央视报道，该犯罪嫌疑人所使用的木马病毒并不能被360杀毒软件杀掉，原因是该木马病毒申请了360的免杀认证。据犯罪嫌疑人交代，软件公司开发出来的每一个软件都要做360免杀认证，有一些公司利用这种便利给其木马病毒也做免杀认证，认证一次一千元。有了这个认证后，木马病毒便可以在装了360软件的电脑中畅行无阻了。今年年初，遭遇此类盗窃的淘宝卖家达19个，损失最多的一笔高达三万多，最少的只有七百多元。根据央视报道，这种新型网络盗窃手段已经形成产业链。有人负责卖此类木马病毒，价格为2万元，有人负责认证，有人负责拉单实施诈骗。温州市瑞安市警方破获了该案件，相关的犯罪嫌疑人被判处一年到三年不等的有期徒刑。央视提醒用户，大家尽量不要在其他人的电脑上登陆一些涉及自己资金的银行卡账号，或者支付宝账号。不要随意打开陌生人发过来的一些文件，此外一些陌生的扫二维码的东西，其实也是下载病毒的一个过程。
[责任编辑：teikaei ]
-5-4-3-2-1012345
当前平均分: 打分后显示
-5-4-3-2-1012345
当前平均分: 打分后显示
Advertisment ad adsense googles发送私信成功
为了尽快解决大伙儿的问题，请务必要找相对应的客服哦~
360加固保揭秘：盗取移动支付APP账号和密码过程
14:45 && 浏览量（114） &&
随着移动金融的发展，移动支付的使用场景越来越丰富，不带钱包出门的时代已经来临。面对移动支付类APP，用户最关心的还是其安全问题。恶意APP不仅破坏用户信息安全，损害用户的合法利益，更直接给正版应用开发者造成巨大的商业价值损失。以一款银行类APP为例，360加固保为开发者和用户揭秘破解者如何盗取移动支付APP账号和密码。
盗取移动支付APP账号和密码主要有三个步骤
1. 反编译，得到源码
2. 定位代码，插入代码
3. 重打包，获取账号和密码
首先可以通过使用ApkTool、Jeb、baksmali/smali等反编译工具，反编译apk安装包，找到APP的mainactivity。
该款银行APP带有签名校验，想成功得到源代码，需要绕过签名校验。如果通不过签名校验，会对mainactivity进行finsh。所以我们在mainactivity中直接检索finsh函数，来找到APP的finsh逻辑，也就可以回溯该APP是怎样做到签名校验的。
找到finsh逻辑后，可以看到在if v0不等于0的情况下会等于0，那么可以根据v0进行它的复制操作，来找到它在什么情况下会签名校验失败。
在截图中可以看到代码中做了一个v3和v0的比较，意思是如果v3这个字符串如果和v0匹配的话结果就为0，也就是校验通过。如果v3和v0不一致，则校验失败。所以该APP的签名校验只要把v0的值进行修改，强制复制成和v3一样的字符串，就可以绕过签名校验了。
定位代码，插入代码
得到源代码后，用JEB打开该APP，找到edittextview，在里面看到一个onInsertCharacters的函数，这个就是用户在输入账号密码时，它会做哪些处理。根据红框中的代码逻辑，可以判断arg6就是用户输入的字符的明文。
可以做一下验证，我们在这个函数里插入log,把arg6的值打印出来，然后观察log，看是否可以打印出用户在手机上所操作的按钮对应的字母。打开该银行APP的登录界面，在密码框里输入：asdfgh，看到log里是可以打印出明文的字符。这样就可以获取到用户登录APP时输入的密码了。
对于用户名的获取，就更加简单了。因为用户名是一个textview的形式，直接get text就可以获取到。
重打包，获取账号和密码
最后将该银行APP进行编译重打包。然后打开APP的登录界面，输入用户名和密码，点击登录。这个时候，可以看到我们在使用python开的httpsever会接收到一条请求，请求的参数就带有刚刚输入的账号和密码。这样就模拟了破解者盗取移动支付类APP登录账号和密码的全过程。
对APP进行加密保护，防止账号和密码被盗取
既然破解者可以轻易的盗取APP的账号密码，所以开发者需要提高APP安全性，使用360加固保对APP进行加密保护，能有效防止被反编译和恶意篡改，避免被二次打包，保护数据信息不会被黑客窃取。
& 收藏(0) 收藏 +1 已收藏 取消
& 推荐上头条 推荐 +1 推荐上头条 已推荐
文章上传作者
瘦瘦的热门文章
开发者交流群：
DevStore技术交流群2：
运营交流群：
产品交流群：
深圳尺子科技有限公司
深圳市南山区蛇口网谷万海大厦C栋504
Copyright (C) 2015 DevStore. All Rights Reserved
DevStore用户登录
还没有DevStore帐号？
快捷登录：