事件背景

10月10日，支付寶在官方微博發(fā)出安全提示稱，監(jiān)測到部分蘋果用戶的ID出現(xiàn)被盜，由此帶來相關(guān)ID綁定支付工具遭到資金損失。

在聲明中，支付寶稱，已經(jīng)聯(lián)系蘋果公司盡快定位被盜原因，同時(shí)建議用戶調(diào)低免密支付額度以最大限度保護(hù)支付寶賬戶安全。

支付寶方面，提供了臨時(shí)解決辦法。 即在確保方便的前提下，用戶可以選擇調(diào)低蘋果支付的免密支付額度以最大限度保護(hù)支付寶賬戶的資金安全。具體操作如下：“支付寶用戶可以單獨(dú)給Apple ID設(shè)置免密支付限額，您可以在支付寶App里，點(diǎn)擊【我的】-【設(shè)置】-【支付設(shè)置】-【免密支付/自動(dòng)扣款】-【 App Store, Apple Music,&iCloud】-【安全月限額】設(shè)定符合自己安全預(yù)期的月度限額?！?/p>

原理分析

從支付寶提供的解決方案，我們可以看到，其實(shí)是因?yàn)锳pple ID綁定了支付寶免密支付，客戶如果拿到了Apple ID，可以直接使用支付寶免密支付為自己的在蘋果商店或者其他支持Apple Pay的電商網(wǎng)站上進(jìn)行盜刷。

同理，如果客戶使用Apple ID綁定了銀行卡或者微信免密支付，也可能被盜刷。

如何防范

對(duì)于用戶來說，最重要的就是保護(hù)好自己的各種賬號(hào)的密碼安全，定期更換密碼，不同的賬戶使用不同的密碼。另外，尤其在綁定支付賬戶，比如銀行卡、微信、支付寶免密支付時(shí)需要謹(jǐn)慎操作。目前除了蘋果，像滴滴打車、高德地圖等都可以支持綁定支付寶或微信免密支付。

另外，用戶可以在相關(guān)應(yīng)用或者資金通道提供方微信、支付寶或者綁卡銀行上設(shè)置開關(guān)支持免密支付服務(wù)應(yīng)用，對(duì)于不常使用的應(yīng)用，建議關(guān)閉免密支付。

像Apple ID這種可以設(shè)置免密限額的，建議客戶也設(shè)置上，通常免密支付交易都是小額高頻交易，建議根據(jù)自己需要設(shè)置一個(gè)較低額度，另外也可以在資金通道提供方微信、支付寶或者綁卡銀行上設(shè)置免密支付額度，這樣也能最大限度保護(hù)資金安全。

另外，部分銀行比如像民生銀行還推出了用戶銀行賬戶的安全鎖，包含防止夜間支付、異地支付以及限額控制，也可以從銀行卡的角度防范風(fēng)險(xiǎn)交易。

對(duì)于大型應(yīng)用以及支付通道提供方的思考

對(duì)于一些大廠，用戶千萬級(jí)或者億級(jí)大廠，一旦出現(xiàn)用戶賬號(hào)密碼泄露，便是災(zāi)難級(jí)的，在大數(shù)據(jù)和黑產(chǎn)如此發(fā)達(dá)的今天，幾個(gè)數(shù)據(jù)一關(guān)聯(lián)一撞庫可能導(dǎo)致其他網(wǎng)站的賬號(hào)密碼同時(shí)泄露。尤其一些大廠還與資金通道方有免密支付扣款接口連接，很容易就引發(fā)大規(guī)模社會(huì)資金損失。

另外對(duì)于提供支付服務(wù)，尤其是免密支付服務(wù)接口的資金通道提供方，如果做好交易的檢測以及渠道的風(fēng)控也是對(duì)保護(hù)用戶資金安全的一大挑戰(zhàn)。畢竟，如果以API形式提供接口，資金通道方是很難了解客戶真實(shí)支付環(huán)境，只能通過后臺(tái)大數(shù)據(jù)、人工智能和一些其他異常分析風(fēng)控手段，來實(shí)現(xiàn)阻斷風(fēng)險(xiǎn)和盜刷交易。

為了切實(shí)保護(hù)用戶資金安全，需要整個(gè)支付環(huán)節(jié)上下游鏈條把各自部分做好，用戶自己也需要有一定的安全防范意識(shí)，才能最大限度地保護(hù)資金安全。