沙龙前言:今天同时看到多个群提及手机各种APP的风险,手机各种APP都有自行提取手机各种个人数据,包括卡号,密码,通讯记录,联系人,有群友安装理财APP,提交部分注册信息之后不久,连续收到各种推销电话,支付软件,借贷软件,都有可能有大量抓取手机内各种信息的技术能力,对于业内人士来说已习以为常,即使手机有阻止读取的功能,实际上仍然可以提取手机内各种数据。
以下为,但显然仍然缺乏有效保障个人信息安全的可靠技术措施,令人担忧。
本文已获得石榴理财师授权
太可怕!20万银行卡瞬间被盗刷!你该怎么防!
来源 南小鹏 石榴理财师订阅号
http://bjwb.bjd.com.cn/html/2016-05/12/content_33392.htm“我对我手机的状况、电脑、钓鱼网站、等非常了解,对木马病毒也有研究。所以这种事发生在我身上,简直令人难以置信。”经历了银行卡被人分4笔转走了20万,做了多年IT、现为某宝支付架构师的郭先生,至今也没弄明白犯罪分子究竟是怎么做到的。建议大家先把上面这篇新闻全文反复多读几遍,说实话,老南看完也一身冷汗。干了20年IT的某宝支付架构师,如果都被攻破了,我们的钱还安全吗?毕竟对于一个独立理财师,保障客户的资产安全是第一的。好在老南从事过两年互联网金融,找了几位银行安全专家、资深黑客朋友讨教了一上午。1、手机被植入木马导致银行卡号、密码,手机号码、密码被盗毕竟安全和效率两者是矛盾的,过于追求安全会很不方便,过于追求效率会带来大量的安全隐患。在两者之间找到合适的度尤为重要。对以上四点,进行一系列针对性的防护,会大幅度降低被黑的可能。这会老南心里有了点底,建议大家不要去咒骂银行不安全、也不要对黑客莫名的恐慌,自己对自己负责,不给别人机会,严格按照如下几点去做,其实很简单:
15年10月,wy邮箱的用户数据库疑似泄露,数量多达5亿条,其中包括用户名、密码(MD5加密)、密码提示问题和答案(MD5加密)、注册IP地址、生日等等,部分数据已经在网上流传。很多网友反应苹果Apple ID、iCloud账号被黑,绑定的iPhone手机被锁敲诈,而他们的共性就是都采用了网易邮箱作为账号。如你有wy邮箱,建议此密码永远不再使用,和此密码雷同的,立刻全部修改。★所有收重要邮件(如银行对账单)、捆绑过银行账号信息(如打车、购物、买票、订房)的重要网站、APP,密码必须不一致。否则一个被破全部被破。不用担心密码太多记不住,如常用密码为123456,sohu邮箱的密码可为so123456hu,这样的规则便于自己记忆。★对于非重要的网站、APP密码,可设置简单统一密码。2015年9月18日,苹果被曝光,大量开发者使用了非苹果官方渠道的Xcode开发工具,而该工具中被植入恶意代码。国内APP下载排名前100的几乎全部中招,甚至包括订火车票的12306。而此类现象在安卓开发中更为普遍。后苹果立刻对涉事软件全部下架,更新。★依然推荐使用苹果手机,毕竟是封闭系统,软件下载来源均为APP STORE正版,植入木马难度非常大。但切记不要越狱,不然会大大增加感染木马风险。同时保证及时更新APP。(谁认识苹果的老大,请通知他给老南广告费)★尽量不使用安卓手机,因为其底层系统为开源,且安卓软件下载来源混乱,被黑客植入木马概率非常高。(老南并非不支持国货,但更不希望卡里血汗钱没了)★不要下载不明APP,尤其微信相关的一些软件,如自动抢红包、一机使用多个微信号等,如有木马,你的聊天记录、重要信息会全部暴露。尽量使用一些大公司的APP。今日新闻所涉及的案例。黑客采用了不需要U盾的小额支付功能。同时有一种更隐蔽的,如黑客将客户卡上余额转到卡内石油、黄金账户,利用部分银行资产总额未包含石油、黄金账户的缺陷,,通知卡上钱被盗,要客户将收到的验证码告知,实际上这是转账的验证码,客户一旦上当,告知,则账上钱会被迅速转走。★所有网上支付统一用一张银行卡!账上现金满足日常需求即可,切不可存放大额现金!★日常转账必须使用u盾!推荐关闭银行网银网页版不用u盾就可以登陆的功能,目前这块风险较大。★银行短信验证码不要给任何人!哪怕是9555?打来的电话(号码可以伪造),银行永远不会人工问你要验证码,只有骗子。★银行APP、银行微信版的通知推送功能全部打开,不依赖手机短信,第一时间从各个渠道了解银行账户最新动向。★U盾使用结束立即拔出。银行U盾很多以前无“确认”键的。发生过用户电脑插着U盾的情况下被黑客转走钱。后银行升级了U盾,改成了转账时要输入密码,且还要按下U盾上的“确认”才确认转账。央视起底电信诈骗之验证码骗局。犯罪分子谎称事主订阅了手机报服务,退订需回复验证码,骗得事主手机的USIM卡验证码。然后利用中国移动推出的“自助换卡”在线服务,生成一张新的手机SIM卡,并利用这张“劫持”来的手机卡接收各类短信验证码,洗劫事主的各种账户。但新卡一旦生效,事主的旧卡便同时作废,无法继续使用。去年发生的北京移动用户的工行卡被盗刷,原因在于黑客入侵北京移动用户的移动邮箱,可以收到客户所有的短信信息。利用这个功能知晓客户的银行短信验证码,作案盗窃。也有通过木马控制客户手机进入飞行模式,用复制的虚拟卡作案。★各类送话费、送红包、送礼品的活动,需要你输入手机号码、验证码的,不清楚主办方的,切勿参加,占小便宜的后果是你的重要信息被黑客盗取。★北京移动用户,务必登录移动网站,关闭短信邮箱功能!如其他地方运营商,有类似功能,务必关闭。★实时关注自己手机,一旦出现异常,如通讯中断、莫名其妙进入飞行模式等,第一时间高度重视。随着第三方支付的普及,以及大量的第三方消费网站,很多使用了代扣功能。也就是你不经意点过一个从没认真看过的电子合同,第三方可以不经你同意,直接从你账户扣钱。如滴滴打车到站需要你确认付款,但UBER可以司机直接扣你捆绑的银行卡的钱,这就是代扣功能。代扣渠道如被黑客利用,会产生较大危害,目前国内某第三方支持的移动代扣单笔高达40万。★和自己的银行客服沟通,了解如何查询自己网银开通的代扣功能有哪些,该关的关掉。
★所有的第三方,如需捆绑银行卡,均使用同一张小额银行卡,切勿暴露自己的主力银行卡。★此方法只适用于频繁、大额网银转账使用者,如公司财务、私企老板等。新开一个号码、一部手机,只作为银行专用。毕竟终端物理隔离,避免了各种问题。使用家里淘汰的旧苹果手机,一年成本有限,但非常安全。1、上述的方法,大部分是一次性的,其余均是平时的使用习惯。客观的说,随着互联网生活场景的丰富,给大家带来各种便捷的同时,你身边的各种风险敞口在纷纷打开,要安全,还是要快捷?决定权在于你自己,老南帮忙帮到这里!2、独立理财师是个很好玩的职业,不但要帮客户提供各种方案确保资产稳健增值,更要帮客户躲避各种坑。毕竟绝大多数人财富积累的失败,并非赚少了赚慢了,而是亏大了。如果你觉得本篇文章有用,请转给你最重要的人!
金陵人氏,,石榴理财师
创始人,CFP(国际金融理财师)。资深金融从业者,娴熟于十年证券,转战于互联网金融,专长于财富管理,投行业务、信贷业务,金融信息技术皆有所涉猎,复有深刻之理解。
沙龙简介:
上海金融跨业投资沙龙暨上海第一理财师俱乐部,金融投资资深人士社区. 承办部分上海浦东国际金融学会线下活动,为学会引荐相关平台合作。2012年至今,累计安排近100期聚会,两千五百人次出席,形成线上1000位专业人士,线下800位资深人士微信群。聚会成员一般为机构部门负责人,合伙人等。沙龙为众筹联办模式,由群友提议、合作发起、场地支持、共同分享专业见解,探讨资本市场热点,民间资本转型需求,家族服务,金融社群合作等,促进专业人士跨业协作创新。
从2015年下半年起,开立金融社交平台连结机制分群,为群友平台之间合作提供协助,目前已成功安排近20期平台间多种形式合作。
沙龙发布及报名联系:
沙龙记要及活动通知发布在本公众号:上海金融跨业投资沙龙。欢迎点击历史记录,了解往期活动。
聚会群友要求:从业十年以上,金融机构及法务、地产、创投、PE,高校,家族资产管理者,金融、商务、创业社群,实业等人士,一般要求为持牌金融机构及知名机构,公奔私等资深投资经理,部门负责人,合伙人.其他机构申请者可能需要提供机构背景,个人从业,投资实例介绍。
沙龙报名,微信群申请,前期沙龙回顾,聚会群友并购等需求汇总:
请回复0.提交名片,并按照沙龙要求发送相关要素,我们审核通过后回复加群