近日,有网友称收到“假支付宝”发的邮件,要求提供身份证及支付宝关联银行卡的正反面照片,记者发现同样的招数早在2009年已经出现过。支付宝发布了相应的安全提醒,请用户识别虚假的支付宝邮件,不能辨别时不点击为宜。IT专业人士表示,从技术手段来讲,这种邮件诈骗要欺骗非专业用户没有障碍,公安部门也很难追踪。他提醒尤其是老年人最好不要独自使用电子金融业务。
假支付宝邮箱只差一个字母
这次,假支付宝是被网友“@一天到晚儿”揪出来的,他公布了收到的邮件的截图:名为来自支付宝的重要通知称,支付宝的安全环境发生变化,所以要求用户提供身份证和银行卡信息。
这名网友直言自己是“差点中招”,因为“假支付宝邮箱(service@mail.salipay.com)与真支付宝邮箱(service@mail.alipay.com)二者只差一个 S 。”
记者查询发现,无独有偶,在支付宝论坛中,2009年5月就有一名“太极老虎”的网友,同样是多一个“s”的这个假支付宝,向他发送了一封要求确认付款的邮件,好在该网友当时并没有订单尚未付款,因此没有上当。
很快,支付宝发布了安全提醒:识别虚假支付宝邮件——1.正确的支付宝系统邮箱地址为service@mail.alipay.com,alipay@mail.alipay.com;2.正常的支付宝邮件发件人栏会有支付宝盾牌标识。在不能辨别邮件真假时,请不要点击邮件中的链接和附件,以防上当受骗。如需查询账户信息请登录www.alipay.com。
进一步询问中,支付宝客服人员表示,索要个人信息的短信、邮件一般都是骗子所为,收到后不能确定的一定要打电话到官方客服核实一下,客服会协助用户来处理。
他还透露,即使是官方采集一些信息,或者如邮件所言是账户存在风险,也很少会主动致电用户。通常的做法是直接冻结用户的账户,当用户发现账户不能使用,自然会主动打电话给官方客服,这时客服人员再向用户说明账户存在的风险等情况。
广州网警与广州公安也先后发微博提醒网友,请网购达人们仔细甄别,一旦发现及时删除并杀毒。
骗子防不胜防 难以彻底杜绝
大多数网友对此表示担忧,还有网友指出从技术手段来说,完全可以冒充真支付宝的邮件地址发出邮件,一字不差。
针对网友的担心和疑问,记者询问了一名资深软件工程师杰森,他告诉记者确实如此:“可以的,表面地址或者表面显示的姓名用支付宝的,但实际地址还是用假冒的地址,不过这个完全冒充的技术要求高一点而已。表面仿真度其实可以做到100%,欺骗非专业用户没有障碍。”
不过目前这种诈骗手段可以被杀毒软件的邮件监控功能拦截,可以被标识为不安全,或者丢进垃圾邮件目录。但是以上这种差一位的假地址,技术上反而没有拦截手段,全靠用户肉眼识别。
“事实上开放式邮件发送服务器很多(无需用户验证),骗子也可以自行用动态IP搭建临时服务器、发完一批立即更换IP,所以根据这个服务器无法断言发送者身份。另外,一般干坏事的都会绕道国外的开放式发件服务器,即便跟踪到也白搭。因此理论上讲,逃避跟踪是可能的。”杰森坦言,电子邮件安全漏洞很多,所以单靠技术手段杜绝此类诈骗很难。
他认为,支付宝等服务企业必须让所有用户都知道,在任何情况下都不会通过电子邮件要求用户提供此类信息。或者采取国内一些银行的做法,就是请用户在网站预留一个私人信息,然后在任何需要用户提供个人信息的输入表单上,都需要以此私人信息验证。
杰森建议:“对于用户来讲,最基本的安全保障,是要铭记常用电子金融业务相关网站的域名,这虽然无法完全保证安全,但这是最基本的自我保护措施。”
