【新闻】工行卡被盗刷分析:银行卡里的钱是怎么丢的?
摘要:银行与运营商,客户与银行,运营商与客户,只要留下数据痕迹,每一个环节都有可能出现纰漏让攻击者有机可乘。银行希望提供更加便捷的小额支付服务,吸引更多的用户使用 ;运营商希望提供更多的增值服务,从而形成长尾效应,创造更高的附加值。本文并非针对工行、移动,任何银行与运营商都有可能发生。雷锋网作者shotgun是安全领域的专家,他希望借此来探讨当下方便快捷的网络支付所潜藏的安全隐患,给三方警示,从而能更好地保护我们的财物安全。那么,在支付交易的过程中,运营商、银行、用户,三者之间如何协作?哪个环节会出现纰漏?用户银行卡里的钱是怎么丢的?
事件回顾(主人公视为小王):http://static.cnbetacdn.com/thumb/article/2015/0721/b781b82aff8db1b.jpg_600x600.jpg为了方便理解,提取这个过程的几个节点:2015年7月1日,小王发现自己被强制开通了10086的短信保管箱业务。第二天,小王就修改了自己的10086密码。7月6日,小王收到近10条自己在各种网站注册账号的验证码信息; 小王再次发现自己被强制开通了短信保管箱业务; 几分钟后,工商银行向受害者发来短信验证码,显示工商银行卡B中一笔9990元的存款正在转账。这个事件中,我进行了以下这些推论分析:第一,用户的手机应该是干净的。也就是说,没有被植入木马后台。一般来说,网银攻击者喜欢使用手机木马来直接盗取他人的钱。手机木马的工作原理: 一般工作在安卓或者越狱后的苹果手机上(近期也出现了不需要越狱就可以植入的苹果木马),利用APP或者手机操作系统的漏洞,不仅仅可以截获短信、窃听通话,甚至还可以直接拿到手机银行的帐号和交易密码。
手机木马不仅可以偷取网银的账号密码,还可以直接读取验证短信。换句话说,如果有手机木马,那么是不需要通过短信保险箱来获取验证短信,也不需要多次尝试取款密码。但是从小王被强制开通了10086的短信保管箱业务可以看出,攻击者并没有直接在手机上读取认证短信,所以排除了手机被植入木马后台的可能。第二,攻击者不是通过入侵银行的服务器来窃取。如果攻击者拿下了银行的服务器,那么就可以直接转帐到自己的帐号,根本不需要短信验证,即使有短信验证的环节,服务器上也可以直接读取,压根不需要短信保管箱。就算银行的监管系统和支付安全一直都饱受质疑,但是不可否认的是,绝大多数银行服务器的保护措施都比个人电脑高很多,不只是一个级别的差距。所以,出现网上银行服务器被攻破的概率相对较小。在这个事件中,小王同样是被强制使用短信保管箱,那么也就说明,攻击者并非通过入侵银行服务器来窃取的。第三,小王的电脑、网关中应该有一个出了问题。电脑、网关的运行过程如下:http://static.cnbetacdn.com/thumb/article/2015/0721/c15d3ff3092bf65.jpg_600x600.jpg在这个过程中,攻击者只需要利用安全漏洞获得受害人电脑或者网关中任意一个的权限,就可以读取到受害人的银行卡号、 手机号码等等信息。但是因为银行的网银系统受到安全控件的保护,所以取款密码是很难直接读取,这就是攻击者多次尝试导致银行卡被锁的原因。而当小王修改移动运营商的网站登录密码时,由于移动运营商的网站安全级别远低于网银,所以该密码很容易被攻击者直接窃听到。小王B卡的卡号在第二天就泄露,他在修改了手机的网站登录密码后,攻击者还是可以强行打开短信保管箱。虽然我们目前还没能检查过小王的电脑和网关,但是攻击者通过电脑木马或者网关劫持获取受害人的帐号的可能性很大,而小王的手机号码,也很可能是通过类似的方式被获得的。所以说,这个环节中,小王的电脑、网关中应该有一个出了问题。根据工行做出的回应,事发原因是不法分子使用非法手段获取了客户相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交易验证短信并盗取资金。当然,银行方面的责任不可推脱,这里就不具体展开,后面“e支付”会再说明下。第四:移动运营商业务的安全风险控制存在漏洞。1、短信保管箱业务本身存在的较大风险未能事先评估出来。
短信作为包含用户隐私,甚至经常会携带支付认证信息的服务,提供云保管服务应该更加慎重。例如应该由用户亲自前往营业厅才能够启用,或者至少允许用户可以禁用该服务,直到亲自前往营业厅解禁。2、允许通过wap方式启用短信保管箱服务,使得第三方可以强行打开该服务,从而劫持敏感的短信。
根据移动公司的回应:“目前经过后台网络日志显示,不知情定制均系有人使用客户的手机号和客服网站密码,通过手机登录客服WAP页面开通,目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄漏。”原本“短信保管箱服务”必须本机回复短信才能够激活,但是因为系统上线时未能仔细检查老旧的wap服务接口,使得攻击者通过wap服务绕过了本机短信验证环节,最终导致了小王的网银失窃。正常情况下运营商一个新业务上线应该做风险评估的。而wap是老业务,短信保管箱是新业务,运营商疏忽了这个环节,或者说,攻击者的脑洞开得很大,运营商并没有想到会有人用老古董业务去开新业务。如果运营商有行动,这个环节的纰漏会有很大的概率被发现,完全可以关掉通过wap开保管箱这条路。不过,经过这次事件之后,运营商应该会把wap申请关掉。尽管就像移动说的那样,并非“中国移动网站被攻击造成了客户信息泄漏”,但是由于运营商对wap服务的忽视也会对用户造成财务损失。毕竟,这方面的风险本就该由运营商来管控的。第五:银行使用短信这种不可靠的方式来进行用户身份认证是不妥的。短信不仅可以通过本次案件中的短信托管服务劫持,还可能被“伪基站”、“手机木马”劫持,因此应该使用强度更高的U盾或者随机密码器。这个方法很多银行已经都有了,主要的问题可能还是出现在“e支付”,因为“e支付”是小额支付,一般还是用短信验证。http://static.cnbetacdn.com/thumb/article/2015/0721/2fa8ceb9a751f9e.png_600x600.png即使必须使用短信来进行二次身份认证,也应该将支付转帐金额控制在较小的额度。但是,每家银行定义的“小额”不同。显然工行的额度比较大:工行默认1万,然后可以提升到2万。之前有用户说“e支付”的安全隐患曝光,工行回应“系误解”。其实说到底还是攻击者借助非法途径截获短信验证码,轻而易举地盗窃存款。通过工商银行查明,小王总计13990元被转入了一个叫“杨少华”的账户里。几笔金额其实并不小,有一笔交易是9990元。第六:用户应该提高安全警惕性。1、用户启用银行的网上支付、网上交易功能时应该仔细阅读风险提示,并做好帐户的隔离,例如用一张金额较低的卡来专门进行网上交易,而存放金额较高的卡则关闭所有网络支付、交易功能。或者把大额的活期放在货币基金或者定期存款里,但是这样要多一次定期/货基转活期的操作。当然,这个就涉及到了银行的业务,人行和银监会的监管要求也不同,我就不展开来讲。2、不要使用弱密码,注意定期更换密码,也不要把密码存放在电脑或者手机里面,不同的卡尽可能采用不同的密码。这个事件中,小王在第一张银行卡频繁被冻结之后,办了第二张工行卡,而他还是使用原来的密码,这种情况下,很容易导致密码泄露。3、在遇到银行卡被盗刷时,我们要第一时间联系银行冻结相关帐户,而不是花时间和运营商讨论。 总结在银行和运营商角度,本质上这还是一个新业务创新和风险控制之间平衡的老问题。银行希望提供更加便捷的小额支付服务,吸引更多的用户使用 ;运营商希望提供更多的增值服务,从而形成长尾效应,创造更高的附加值。但是业务创新中,信息风险控制措施未能及时跟上,银行方面忽视了短信的不可靠性,而运营商则忽视了短信服务承载的密码认证责任。
再加上平时对用户的教育培训不足,使得用户缺少安全警惕,内部风险控制的敏感度不足,两家企业的电话服务中心员工也都忽视了之前的各种异常情况,最终导致了本次事件的发生。
北京移动已暂停工行e支付相关业务
摘要:近日,工行北京地区多位储户资金通过快捷支付业务被盗。工行昨天回应称,“工行快捷支付曝重大漏洞”系误解,事发原因是不法分子使用非法手段获取了客户的 相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交易验证短信并盗取资金。北京移动方面已经紧急暂停了相关业务,并表示如查 实储户被盗刷资金确是移动的业务问题,愿意承担赔偿责任。
■事件回放多位储户资金被盗刷7月9日,微博网友“公交姬”在微博上吐槽银行卡被盗刷事件,该网友被强制开通了北京移动的短信保险箱业务,不法分子通过快捷支付的手机动态密码完成盗刷。据记者了解,北京地区多位储户遇到类似情况,有类似经历的受骗者在社交工具上成立交流群,规模近20人。一时之间,工行“工银e支付”有重大漏洞的说法甚嚣尘上。■工行回应工银e支付运营正常针对储户资金通过快捷支付被盗一事,工行方面昨天表示,工银e支付业务运营正常,也未发生泄露客户信息的情况,储户资金被盗主要是由于其预留的手机被强行开通了中国移动的“短信保险箱”业务,不法分子盗取储户动态密码,进而通过快捷支付盗取资金。工行在公告中表示,“近年来,多家支付机构和商业银行都推出了基于手机短信验证的快捷支付业务,这种小额支付方式方便快捷,受到了客户的广泛欢迎。我行的工银e支付业务也属于这种快捷支付业务,该业务开通时需要验证客户预留在我行的密码和手机号码,支付时需要验证我行向客户预留手机发送的短信验证码。只要客户保管好手机上的短信,安全性是有保障的。现在社会上一些不法分子利用非法手段窃取客户个人信息和认证短信,以盗取客户资金。为安全使用工银e支付业务,我行提醒广大客户务必保管好个人信息、密码,防止手机被植入病毒,防止认证短信被盗取。”工银e支付每日累计支付的最大限额是1万元,每月5万元。中国人民大学重阳金融研究院客座研究员董希淼认为,这个事件的主要责任在运营商身上。■移动回应移动已暂停相关业务针对此事,北京移动回复称,其已关注到客户投诉以及媒体的相关报道,目前已与相关客户就解决投诉问题达成初步意向,并表示将积极配合警方调查取证,同时已与银行取得联系,查找风险漏洞。北京移动表示,正在仔细对比客户被盗刷时段的数据记录,如果查实确实是移动的业务问题,“我们愿意承担赔偿责任”。对于短信内容泄露的原因,包括用户投诉的被强制办理短信保管箱业务,甚至退订之后再次被订购这项业务的情况,北京移动表示,已逐一对十余起类似客户投诉进行了仔细核查,通过后台网络日志发现,此类不知情定制均系不法分子使用客户的手机号和客服网站密码,通过手机登录客服网站开通的。“目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄露”。北京移动表示,为了客户信息安全,目前已暂停了短信保管箱业务的短信查询等功能,并正在对此业务进行优化,优化内容包括“不保存银行下发的短信”、“只能查询24小时前企业短信”、“需要动态密码验证”等,所有业务优化会在8月底前完成。中国移动还提醒客户尽快升级弱密码,不要安装来历不明的软件,避免密码被盗。记者昨天致电中国移动客服热线,对方表示,移动短信保管箱业务是为了解决许多人手机短信容量不充足的问题,开通这项业务可以自动将用户发送、接收的短信同步备份存储到云端,用户登录移动官网就可以查询备份的短信。移动客服人员称,这项业务的云端数据受到多项安全保护,用户只有通过手机号和密码才能登录,且登录记录会以短信形式反馈到手机上,用户可通过向客服电话发送相应短信代码开通和取消该项业务,业务收费为3元/月。电信行业分析师马继华认为,造成用户验证码泄露的原因,可能是木马病毒入侵导致的用户信息被盗取。■相关背景快捷支付井喷带来风险快捷支付是指用户购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付发送手机动态口令到用户的手机号上,用户输入正确的手机动态口令,即可完成支付。快捷支付可以提高用户体验,但作为一个新生领域,也让不法分子有机可趁。去年底中国银联一份调查数据显示,移动支付井喷式发展的同时,风险形势变得更为严峻,有一成的受访者遭遇过网上交易的诈骗,其中钓鱼网站、木马病毒以及虚假退款是主要的欺诈手段。一股份制银行反诈骗部门相关人士指出,快捷支付安全性较高,其验证密码只发送到客户预留的手机号码上,是唯一的识别密钥。动态短信验证密码相较于U盾而言安全系数略低,但是在客户体验和安全方面的最大平衡。不法分子通常通过两种方式获取个人信息,一是拼凑法,通过已经被泄露的个人信息,进行整合加工;另一方面直接攻击平台获取个人交易信息。“所以短信动态验证码等必须妥善保管,不要轻信所谓低价网站、邮件、短信、聊天工具等发来的链接。”■专家说法打击网络诈骗需多部门联动一位警方人士表示,类似工行储户资金被盗的案件频发,都是异地网络诈骗,很难抓到不法分子,损失也很难找回。董希淼也指出,“关于维权问题,个人力量是很有限的,可以由工信部或者消费者协会提起公益诉讼,同时通信公司与GA部加强合作,共同打击犯罪。”在他看来,近些年来中国网络诈骗频发,其中移动端风险系数更是倍增,这需要用户、GA系统、电信运营商、银行等部门联动,否则事态改善空间非常有限。多位受访人士认为,支付方式都存在风险,但这种风险不应该转嫁到客户身上,建议通过保险的形式来保障储户的权益。
摘要:近日有消息称,工商银行快捷支付存在漏洞导致储户资金被盗。工行昨日发布回应称,“工行快捷支付曝重大漏洞”系误解,工银e支付业务运营正常,也未发生泄 露客户信息的情况。工行表示,事发原因是不法分子使用非法手段获取了客户相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交 易验证短信并盗取资金。
目前通讯运营商已采取了改进措施。该行将积极配合GA机关侦破案件,全力帮助客户挽回损失。
近年来,多家支付机构和商业银行都推出了基于手机短信验证的快捷支付业务,工银e支付业务开通时需要验证客户预留在工行的密码和手机号码,支付时需要验证工行向客户预留手机发送的短信验证码。工行表示,为安全使用工银e支付业务,提醒广大客户务必保管好个人信息、密码,防止手机被植入病毒,防止认证短信被盗取。 .... 本帖最后由 jmrqy 于 2015-7-21 18:32 编辑
只要人、卡对应就好办————问题多出在人、卡不对应,钱取走了却找不到人:-^|
因为无论如何骗,钱最终总会有个去处
发现中国移动的问题是相当的多了,收到伪装银行号码发来的短信,也是移动号码才能收到。
页:
[1]