主题
第 13 章 金融与支付安全
本章导读:对大多数中国公民,手机早已取代钱包——一台设备里集中了银行卡、支付账户、信用分、基金、保险,甚至虚拟资产。这种"一机掌万贯"的便利背后,是攻击面的同步集中:诈骗分子、恶意 App、身边的窥探者、捡到你手机的人,他们的目标从未如此一致地指向你手中那块屏幕。读完本章,你将掌握从"锁屏与支付密码分开"这种零门槛动作,到"按用途给银行卡分类、定期查征信"这种中期习惯,再到"支付令牌化、虚拟卡、助记词离线保管"这种深度防御——一套面向中国支付环境的纵深防御清单。结合第 3 章的威胁建模思路,本章的每一条建议都对应某一类威胁主体:主要是① 诈骗与犯罪分子(直接财产损失),其次是⑤ 物理接触者(捡拾设备)与④ 熟人(借用手机)。
🟢 基础
金融防护的根基,不是任何高深技术,而是几道人人都可设置却常常被忽略的"闸门"。这些闸门相互独立,任何一道都足以阻挡某一类攻击。本节对应第 3 章纵深防御的第 1、2 层——习惯与认证。
1. 锁屏密码与支付密码必须分开
很多人图省事,把手机锁屏密码和支付密码设成同一串数字。这是一个高代价的偷懒。
机制与风险:锁屏密码每天输入数十次,在公交、电梯、餐桌上极易被肩窥(旁人偷瞄)或被监控摄像头拍到。一旦锁屏密码泄露,如果它同时是支付密码,任何短暂拿到你手机的人(借手机打电话的陌生人、捡到你手机的过路人、好奇的熟人)就直接获得了你的钱包钥匙。这正是④ 熟人与⑤ 物理接触者威胁的典型路径。
具体设置步骤:
- iOS:设置 → 面容 ID 与密码 → 更改密码,建议使用 6 位以上数字或自定义字母数字密码;支付类 App 内单独设置支付密码(微信:我 → 服务 → 钱包 → 安全保障 → 修改支付密码;支付宝:我的 → 设置 → 安全设置 → 安全中心 → 修改支付密码)。
- Android(HarmonyOS / MIUI / ColorOS 等):设置 → 密码与安全 → 锁屏密码,优先选择 6 位以上数字或"图案 + 数字";支付密码在各 App 内单独设置。
- 关键原则:锁屏与支付密码完全不同,支付密码不在任何其他场合重复使用。
2. 关闭或调低"小额免密支付"限额
"小额免密"和"免密支付"是便利功能——一定金额以下无需输密码即可完成付款。它提升了体验,也降低了被滥用的门槛:一旦手机处于解锁状态,他人就能在免密额度内完成转账或消费。
具体设置步骤:
- 微信:我 → 服务 → 钱包 → 支付设置 → 生物支付,可关闭或保留生物确认;另在"扣费服务"中清理不再使用的自动续费。
- 支付宝:我的 → 设置 → 支付设置 → 免密支付 / 自动扣款,逐一查看已开通的免密商户,关闭不需要的。
- 手机厂商钱包(Apple Pay、华为 Pay、小米 Pay 等):钱包 App → 卡片详情 → 安全 / 交易设置 → 调整或关闭"快捷交通""快捷小额"等选项。
- 合理上限原则:把免密限额设置在你"丢失这个数额不会影响生活"的水位——常见的合理水位是日常一杯咖啡到一顿便餐的范围。日常体验损失很小,被滥用时损失也可控。
3. 短信验证码:它就是钥匙,不外传不转发
短信验证码是当下大多数金融账号的"第二因素"。理解这一点至关重要:验证码 = 临时密码。
机制与风险:大量诈骗话术的核心,就是诱导你把验证码读出来或转发出去。常见剧本包括"我是某某客服,你的账户涉嫌洗钱,请把刚收到的验证码告诉我""你中奖了,需要验证身份""我是快递员,你的包裹有问题,请帮我核验"。无论对方自称是谁——公检法、银行、平台客服、快递员、亲友——只要涉及"把验证码告诉别人"或"把验证码输入到陌生链接",都按诈骗处理。正规机构不会通过电话或即时通讯工具向你索要验证码。
防御动作:
- 验证码只在你主动发起的操作中使用,且只输入在官方 App 或官方网站上。
- 收到不明验证码(你没操作却来了一条),应立即警觉——可能有人在尝试登录或重置你的账号,应立即检查相关 App 的登录记录并修改密码。
- 教会家中老人这一条——这是 🟢 级防护中性价比最高的安全投资之一。
4. 给支付 App 加一把"应用锁"
即便手机已锁屏,在解锁后的使用过程中,支付 App 仍可能被旁人短暂操作。给支付 App 单独再加一道锁,是低成本高收益的纵深。
具体设置步骤:
- 微信:我 → 服务 → 钱包 → 安全保障 → 钱包锁,可选指纹 / 面容 / 手势。
- 支付宝:我的 → 设置 → 安全设置 → 解锁设置,可选"启动支付宝时"或"进入财富、我的时"验证。
- 手机银行 App:各行路径略有差异,通常在"我的 → 安全中心 / 隐私 → 应用锁 / 手势密码"。
- 系统级应用锁:HarmonyOS / MIUI / ColorOS 在"设置 → 安全 / 隐私 → 应用锁"中可对单个 App 单独设密码;iOS 可借助"屏幕使用时间"做基础限制。
🟡 进阶
基础层挡住的是"顺手牵羊"式攻击。进阶层要应对的是有明确动机、会主动收集你信息的对手——例如冒名办理信贷的诈骗团伙,或长期跟踪你的关系人。本节对应纵深防御的第 3、4 层——权限最小化与监测响应。
1. 定期查询个人征信报告(合法途径与频次)
征信报告是衡量"我有没有被冒名借贷"的权威记录。它记录了你名下的贷款、信用卡、担保,以及查询记录。经常查征信,不是为了看分数,而是为了第一时间发现"不是我自己办的贷款"。
合法查询途径(请只通过以下官方渠道,不要通过任何第三方"代查"):
- 中国人民银行征信中心官网(pbccrc.org.cn):互联网个人信息服务平台 → 注册 → 实名认证 → 申请信用报告。通常次日可获得简版,详细版可到线下自助机或柜台获取。
- 线下渠道:人民银行分支机构、部分商业银行网点配备自助查询机,凭本人身份证可查,每年有数次免费额度(具体以征信中心最新公告为准)。
- 商业银行 App 内的"征信查询"入口:多家主要商业银行已接入,可在 App 内直接申请,通常为简版。
合理频次建议:
- 一般公民每 6–12 个月查一次即可。
- 如果近期身份证遗失、收到陌生催收电话、个人信息曾泄露,立即查一次,并在 30 天后复查。
- 频繁硬查询(每次申请信贷都会留下查询记录)本身可能影响信贷审批,因此"查征信"本身不需要每月做,但"看查询记录里有没有你不认识的机构"很重要。
发现异常怎么办:如果发现名下出现了你没有办理的贷款、信用卡或机构查询记录,应立即:① 向对应金融机构申诉;② 向人民银行征信中心提出异议;③ 报案。这是第 18 章"应急响应"会展开的流程。
2. 支付分 / 信用分:看得见的功能,看不见的画像
微信支付分、芝麻信用等"分"早已嵌入生活——免押金租车、先享后付、信用住酒店。这些分数背后,是一份关于你的详细画像(消费习惯、履约记录、关联关系)。从隐私视角,合理做法是:按需开通,用完关闭,定期清理授权。
具体设置步骤:
- 微信支付分:我 → 服务 → 钱包 → 支付分,查看开通状态;在"支付分 → 我的订单 / 服务"中,关闭不再使用的免押、先用后付服务。
- 芝麻信用:支付宝 → 我的 → 芝麻信用 → 信用管理,查看授权清单,取消不需要的应用授权。
- 关键原则:每一个"免押"服务都意味着一次授权与数据共享。用完一项服务后,主动取消授权,避免你的画像被长期累积。这与第 1 章所述"撤回同意权"是一致的——法律赋予了你撤回的权利,App 也应当提供入口。
3. 银行卡按用途分类:日常 / 大额 / 网络
把所有资金集中在一两张卡上,等于把所有鸡蛋放在一个篮子里。一个更稳健的做法是按用途给卡片分级,每张卡的额度和权限与其用途相称。这是权限最小化原则在金融场景的直接体现。
| 卡类型 | 用途 | 建议额度 | 关键设置 |
|---|---|---|---|
| 日常卡 | 线下消费、绑定的常用 App | 1–2 个月生活费 | 开通小额交易提醒,每日 / 单笔限额适中 |
| 大额卡 / 主卡 | 工资、储蓄、大额转账 | 主要资金 | 不绑定任何 App,不开通网银支付,以柜台与密码使用为主 |
| 网络支付卡 / 专属卡 | 仅用于网络消费、订阅 | 较小额度,按需充值 | 严格限额,不存大额余额,出现问题易于停用 |
具体操作建议:
- 向发卡行申请设置"单笔 / 单日交易限额"(各行 App 通常在"卡片管理 → 交易限额"或"安全中心"中)。
- 关闭不用的"境外支付""无卡支付""快捷支付"开关,需要时再临时开通。
- 主卡开通"大额交易二次验证"或"大额转账短信提醒"。
- 当一张网络专属卡被怀疑泄露,直接注销换卡,波及范围被限制在那张卡的余额内——这是分类的真正价值。
4. 交易提醒与限额:把损失尽早暴露
纵深防御的第 4 层是"监测与响应"。金融场景下,这意味着让每一笔异常交易第一时间被你看见。
具体设置步骤:
- 微信 / 支付宝:在"支付设置 → 扣款通知"中确认通知开启;关注官方账号(如"微信支付""支付宝")以接收实时推送。
- 银行卡:开通短信提醒(部分行对小余额交易不提醒,建议同时开通 App 内推送);在 App 中查看"动账通知"设置。
- 设置限额:在手机银行 App 中为每张卡设置单笔与单日限额;大额转账可设置"24 小时到账",给自己一个反悔与发现的窗口。
- 每周一次"对账习惯":花 3 分钟翻一遍各 App 的账单,确认没有陌生交易。这是发现小额"试水盗刷"的有效方式——盗刷者通常会先扣一笔 0.5 元或 1 元测试卡片有效性,再决定是否发起大额交易。
🔴 深度
深度层面向愿意理解原理、追求极致防御的读者。这里的措施要么涉及底层机制,要么需要改变使用习惯。本节对应纵深防御的全部五层,并补充威胁建模中的"成本博弈"思想——让攻击者的成本高于其收益。
1. 支付令牌化(Tokenization)原理
令牌化(tokenization)是现代移动支付的核心安全机制之一,理解它能帮你判断"为什么在手机上绑定银行卡反而比到处输入卡号更安全"。
机制:
- 当你把银行卡绑定到 Apple Pay、华为 Pay、各银行 App 时,系统并非把你的真实卡号(Primary Account Number,PAN)简单存进手机。
- 取而代之的是一个令牌(Token)——一串格式上像卡号、但与你的真实卡号无数学关联的数字。
- 真实卡号与令牌的对应关系,只保存在高度安全的令牌服务库(Token Vault,通常由卡组织如银联、Visa、Mastercard 运营)中。
- 支付时,你的手机只对外传输令牌,且每次交易会附带一个一次性密码(Cryptogram),由手机内的安全芯片或可信执行环境生成,仅本次有效。
带来的安全收益:
- 商户、App、网络传输链路中只出现令牌,不出现真实卡号。即便商户数据库被拖库,攻击者拿到的也只是令牌,且令牌只能在该商户、该设备上使用。
- 令牌与设备绑定,在另一台设备上无法使用。
- 丢失手机时,可通过发卡行或钱包服务远程注销该设备的令牌,真实卡号无需更换,不影响其他设备——这是相对实体卡的一大优势。
对读者的实务建议:
- 优先使用手机厂商钱包进行线下与线上支付,而非在商户页面直接输入卡号。
- 绑卡时优先选择支持令牌化的渠道;在 App 内支付时优先选"使用 Apple Pay / 厂商 Pay"而非"输入卡号"。
- 这也解释了为什么"把卡绑到手机钱包"反而比"到处输入卡号"更安全——这是 🔴 层原理在起作用。
2. 虚拟卡与一次性卡号
虚拟卡(Virtual Card)是由发卡行或持牌金融服务签发的、仅供网络使用的卡号,通常可设置有效期、限额、可用商户。它解决的核心问题是:不把主卡号暴露给每一个网络商户。
常见形式:
- 银行签发的虚拟卡:部分商业银行(如招商银行、中信银行等)在 App 内提供"虚拟卡 / 网购卡 / eCard"功能,可一键签发并设置额度与有效期。具体路径通常在"卡片 → 申请虚拟卡 / 网购卡"。
- 境外服务的虚拟卡:针对订阅境外服务的需求,一些持牌金融服务提供虚拟卡(使用前请核实其在中国的合规性、费用与争议处理机制)。
使用原则:
- 给每个长期使用的网络服务分配独立的虚拟卡,并设置较低额度。一旦该服务被泄露或被滥用,只需注销该虚拟卡,不影响主卡与其他服务。
- 对一次性或不太信任的商户,使用有效期短、额度低的虚拟卡,用完即弃。
- 避免用主卡绑定大量小额订阅——订阅服务是常见的"长期小额盗刷"来源,盗刷金额小,容易被忽视,却能持续数月。
3. 虚拟资产的保管原则
如果你持有虚拟资产(如加密货币),保管方式直接决定资产安全。本节只介绍合法持有的保管原则,不涉及任何交易鼓励或规避手段。
核心原则——助记词(Seed Phrase)的离线保管:
- 助记词(通常为 12 或 24 个英文单词)是控制虚拟资产的最高权限。谁掌握了助记词,谁就掌握了资产,而且这类转移是不可逆、无法申诉的——这与传统金融"报案冻结"的救济路径完全不同。
- 助记词只在离线介质上记录:用纸笔抄写,或刻在金属板上(防火防潮),存放在实体安全位置。绝对不要:截图保存、存入云盘、发给"自己另一个账号"的聊天软件、保存在密码管理器的明文笔记里。一旦联网设备被入侵,这些位置都会暴露。
- 助记词只在使用时输入到离线或硬件钱包中,从不输入到任何联网设备、任何网站、任何 App。
- 任何"客服""技术支持""空投领取"索要助记词的请求,一律按诈骗处理——这与本章 🟢 级"验证码不外传"的纪律同源。
热钱包与冷钱包的分工:
- 热钱包(联网,如手机 App):仅存放日常小额,够用即可。
- 冷钱包(离线,如硬件钱包设备):存放主要资产。硬件钱包品牌选择时,优先考虑开源、有较长安全审计记录、社区声誉良好的产品。
- 交易签名:大额交易可使用"硬件钱包签名 + 联网设备广播"的方式,私钥始终不离开硬件设备。
法律与合规提示:在中国大陆,虚拟货币相关业务活动属于非法金融活动(据 2021 年中国人民银行等十部门联合公告,具体以最新官方文件为准)。本节仅就"已合法持有的虚拟资产如何保管"给出技术原则,不鼓励、不引导任何形式的虚拟货币交易,相关法律边界请咨询专业意见并核实最新监管规定。
4. 金融账号的二次验证纵深
二次验证(2FA / MFA)在第 5 章"密码与二次验证"中已系统介绍。本节聚焦于它在金融场景的特殊配置。
纵深配置建议:
- 第一层:强密码 + 密码管理器。金融账号的密码应当随机生成、唯一、长度足够——绝不复用、绝不写在备忘录或便签里。
- 第二层:基于硬件或软件的 2FA。优先顺序:硬件密钥(U2F / FIDO2,如 YubiKey 等)> 官方 App 推送确认 / 一次性验证码(TOTP)> 短信验证码。短信验证码相对最弱(存在 SIM 劫持、短信拦截等风险),金融账号应尽量升级到前两者。
- 第三层:设备绑定与异地登录确认。在银行 App 中开启"设备管理",删除不认识的设备;开启"异地登录 / 新设备登录"提醒。
- 第四层:大额二次确认。多家银行提供"大额转账二次确认"——单笔超过阈值时,系统会要求人脸或电话回拨确认。建议开启,并把阈值设为你认为"足够触发我多看一眼"的水位。
- 第五层:定期审计授权。每 3–6 个月清理一次已授权的自动扣费、已绑定的第三方应用、已登录的设备列表。
一个常被忽视的盲点——手机号:几乎所有金融账号的找回路径都依赖手机号。如果手机号被他人补办(SIM 劫持)或注销,攻击者就能借"忘记密码"接管你的账号。因此:
- 给手机卡设置 PIN 码 / 服务密码(运营商 App → 安全设置),补卡时需验证。
- 关闭或审慎使用"异地补卡""委托补卡"功能。
- 一旦手机连同手机卡丢失,第一时间联系运营商挂失手机卡,再处理其他账号——这是很多人不知道的应急顺序,却是阻断"账号接管"链路的关键一环。
本章检查清单
- [ ] 锁屏密码与支付密码完全不同,支付密码未在任何其他场合复用
- [ ] 小额免密额度已调整到我能承受的水位,不用的免密商户已关闭
- [ ] 我和家人都清楚"验证码 = 临时密码",不外传、不转发、不输入陌生链接
- [ ] 支付类 App 已开启独立的应用锁(钱包锁 / 解锁设置)
- [ ] 过去 12 个月内查询过一次个人征信报告,且通过官方渠道
- [ ] 支付分 / 信用分的授权清单已清理,只保留在用服务
- [ ] 银行卡已按用途(日常 / 大额 / 网络)分类,各设限额
- [ ] 所有银行卡已开通交易提醒,每周对账一次
- [ ] 我理解支付令牌化的基本原理,优先使用厂商钱包而非直接输入卡号
- [ ] 网络消费优先使用虚拟卡 / 一次性卡号,主卡不直接绑定大量订阅
- [ ] 若持有虚拟资产,助记词已离线保管(纸笔 / 金属板),从未截图或存云
- [ ] 金融账号已配置多层 2FA,优先使用硬件密钥或 TOTP 而非仅靠短信
- [ ] 手机卡已设置 PIN / 服务密码,丢失时知道"先挂失手机卡"的应急顺序
延伸阅读与参考来源
- 第 3 章 威胁模型入门:本章的防护顺序(基础 → 进阶 → 深度)即基于纵深防御思想;五类威胁主体的分类贯穿全章。
- 第 5 章 密码与二次验证:强密码与 2FA 的系统教学,本章金融场景是其重要应用。
- 第 15 章 社会工程与诈骗:验证码骗局、冒充客服等话术的深入拆解。
- 第 18 章 应急响应:发生盗刷、冒名借贷后的标准处置流程。
- 中国人民银行征信中心(pbccrc.org.cn):个人征信报告查询的官方渠道。
- 国家反诈中心 App:提供诈骗预警与举报渠道,可辅助识别冒充类话术。
- GB/T 35273《信息安全技术 个人信息安全规范》:金融账户作为敏感个人信息的国家标准参考。
- 《中华人民共和国个人信息保护法》第 28 条:敏感个人信息定义(金融账户、生物识别在此列)。
⚠️ 本书仅作防御科普,不构成法律或财务建议;涉及虚拟资产保管的部分仅介绍技术原则,不鼓励任何违规交易;各银行、支付平台的具体功能路径可能随版本更新而变化,请以官方 App 内实际界面为准,部分设置可能影响 App 正常功能,请自行评估。
⬅ 上一章 第 12 章 物理世界的隐私 | ➡ 下一章 第 14 章 数据泄露与溯源