工行快捷支付曝漏洞

僅憑借短信驗(yàn)證碼就能進(jìn)行支付交易,在給儲(chǔ)戶帶來(lái)便利的同時(shí),也給不法分子提供了鉆空子犯罪的機(jī)會(huì)。

“萬(wàn)萬(wàn)沒(méi)想到,短短幾分鐘時(shí)間銀行存款就莫名少了近2萬(wàn)元,兩筆錢就這樣被輕易盜取了。”家住北京的覃岳(化名)是IT行業(yè)的從業(yè)人士,平時(shí)很注重保護(hù)自己的網(wǎng)絡(luò)金融安全,然而,提起前不久他遭遇的一起犯罪分子借助網(wǎng)絡(luò)隔空對(duì)其存款進(jìn)行盜竊的事故,他仍然心有余悸。

7月8日晚23:49,覃岳收到了一條來(lái)自中國(guó)移動(dòng)的短信,提示他已經(jīng)開(kāi)通了中國(guó)移動(dòng)“短信保管箱業(yè)務(wù)”.1分鐘過(guò)后,他又收到了一條來(lái)自工商銀行95588的短信,上面提示他的工銀“e支付”業(yè)務(wù)已經(jīng)被修改。緊接著95588接連發(fā)來(lái)了幾條短信,分別為即將辦理轉(zhuǎn)賬業(yè)務(wù)的通知和即將付款9990元的提示信息及驗(yàn)證碼。

“由于當(dāng)時(shí)已經(jīng)很晚了,為了不吵到孩子休息,我早就把手機(jī)調(diào)成了靜音,當(dāng)自己看到這幾條短信的時(shí)候已經(jīng)是23:55.”慌忙中,覃岳第一時(shí)間查詢了他的工行卡交易明細(xì),可是為時(shí)已晚,交易明細(xì)顯示他的銀行卡里確實(shí)少了9990元。

“于是我馬上撥打了工行的客服電話,但提示客服話務(wù)繁忙,等待了2分鐘后我就掛斷了。誰(shuí)料就在這時(shí)95588又發(fā)來(lái)了一條短信,上面寫到我正在進(jìn)行匯款,金額為9950元,并告知我 如有疑問(wèn)請(qǐng)停止操作 .”

覃岳告訴記者:“我馬上又查詢了我的賬戶,看到明細(xì)時(shí)我就蒙了,賬戶果然又少了9950元。”覃岳強(qiáng)調(diào)道,在此之前,自己并未主動(dòng)開(kāi)通過(guò)“e支付”業(yè)務(wù),而且事發(fā)后他檢測(cè)過(guò)自己的筆記本電腦和手機(jī)都沒(méi)有病毒。

覃岳的遭遇并不是個(gè)案。近日,記者通過(guò)某社交網(wǎng)站加入了一個(gè)工行存款被盜儲(chǔ)戶的維權(quán)群,已經(jīng)修改群名稱并標(biāo)注自己為“受害人”的儲(chǔ)戶有40余名。而他們中的大多數(shù)都是被無(wú)故開(kāi)通了工銀“e支付”,隨后銀行卡中的存款就在幾分鐘內(nèi)不翼而飛了。

短短幾天的時(shí)間里,記者就聯(lián)系到了20多名受害人,他們被盜取的存款金額合計(jì)約為25.68萬(wàn)元。他們當(dāng)中,最早的存款被竊事件發(fā)生在6月13日,最晚的發(fā)生在7月9日。其中,被偷竊的個(gè)人最大金額達(dá)到4.2萬(wàn)元,最小金額為500元。

巧合的是,這些案件大都有兩個(gè)共性,就是受害人同為工行儲(chǔ)戶且多為中國(guó)移動(dòng)的客戶。與覃岳一樣,他們也被強(qiáng)行開(kāi)通了中國(guó)移動(dòng)的“短信保管箱”業(yè)務(wù)。

由于“短信保管箱”具有將客戶發(fā)送、接收的短信進(jìn)行同步備份存儲(chǔ)的功能,同時(shí)考慮到在這一業(yè)務(wù)被迫開(kāi)通后,緊接著就被開(kāi)通了僅憑借短信驗(yàn)證碼就可以進(jìn)行交易的工銀“e支付”,因此多位儲(chǔ)戶懷疑,中國(guó)移動(dòng)的“短信保管箱”業(yè)務(wù)與此次的存款丟失事件難逃干系。

針對(duì)儲(chǔ)戶的疑問(wèn),記者聯(lián)系了中國(guó)移動(dòng)北京分公司,相關(guān)負(fù)責(zé)人給予的回復(fù)稱:“目前經(jīng)過(guò)后臺(tái)網(wǎng)絡(luò)日志顯示,不知情定制均系有人使用客戶的手機(jī)號(hào)和客服網(wǎng)站密碼,通過(guò)手機(jī)登錄客服WAP頁(yè)面開(kāi)通,目前并沒(méi)有任何跡象顯示是中國(guó)移動(dòng)網(wǎng)站被攻擊造成了客戶信息泄漏。”

同時(shí),中國(guó)移動(dòng)北京分公司的相關(guān)負(fù)責(zé)人也坦言,由于“短信保管箱”業(yè)務(wù)設(shè)立于2009年,是在短信被廣泛應(yīng)用于金融領(lǐng)域之前就已經(jīng)存在,因此未能充分考慮金融類業(yè)務(wù)所需的安全等級(jí),經(jīng)過(guò)此類事件,該公司會(huì)全面梳理基于短信的增值業(yè)務(wù),提升此類業(yè)務(wù)的安全性。“此次銀行卡被盜刷客戶投訴后,客戶雖然仍能開(kāi)通此業(yè)務(wù),但查詢歷史短信的功能已緊急關(guān)停,目前正在對(duì)業(yè)務(wù)進(jìn)行優(yōu)化,包括 不保存銀行下發(fā)的短信 只能查詢24小時(shí)前的短信 需要?jiǎng)討B(tài)密碼驗(yàn)證 等。”

在采訪中,記者了解到,并非所有儲(chǔ)戶的存款都是在被辦理了“短信保管箱”之后才被盜的。

儲(chǔ)戶秦玉(化名)也是本次存款丟失的受害人之一,但與其他受害人不同的是,她的手機(jī)號(hào)并非歸屬于中國(guó)移動(dòng)公司,沒(méi)有出現(xiàn)過(guò)被辦理“短信保管箱”的情況。秦玉告訴記者:“在我存款被盜取的過(guò)程中,我沒(méi)有收到過(guò)動(dòng)態(tài)密碼,只收到了95588發(fā)來(lái)的短信驗(yàn)證碼,稱我正在修改工銀 e支付 的信息,隨后就是我的存款被轉(zhuǎn)走的通知。而 e支付 這項(xiàng)業(yè)務(wù)也并非我本人開(kāi)通。”

某國(guó)有銀行電子銀行部人士猜測(cè),秦玉的情況應(yīng)該是短信驗(yàn)證碼被犯罪分子通過(guò)其他途徑獲取了。與U盾相比,使用短信驗(yàn)證碼進(jìn)行交易的快捷支付雖然便捷,但安全性相對(duì)較差。

“這類案件的關(guān)鍵問(wèn)題在于銀行是將短信驗(yàn)證碼作為身份認(rèn)證的依據(jù),而這就決定了會(huì)存在一定的風(fēng)險(xiǎn)。”獵豹移動(dòng)安全專家李鐵軍認(rèn)為,雖然在此次事件中,工商銀行和中國(guó)移動(dòng)公司都有責(zé)任,但中國(guó)移動(dòng)的“短信保管箱”業(yè)務(wù)只是一個(gè)可能竊取短信驗(yàn)證碼的途徑,與以往的釣魚(yú)網(wǎng)站、攔截手機(jī)短信的病毒作用類似,因此關(guān)鍵問(wèn)題在于短信驗(yàn)證碼本身。

“在保證信息安全時(shí),通??梢越柚N方式進(jìn)行身份驗(yàn)證,分別是利用 所知道的 如密碼; 所持有的 如短信驗(yàn)證碼和 所固有的 如指紋、虹膜。”某國(guó)有銀行科技部人士告訴記者,“如果只采用單一驗(yàn)證,如短信驗(yàn)證,其安全性不如雙重驗(yàn)證安全。同時(shí), 所知道的 和 所持有的 都可能會(huì)被人竊取,其安全性不如 所固有的 .但指紋識(shí)別也要考慮識(shí)別率的問(wèn)題,比如有指紋識(shí)別的手機(jī)有時(shí)候也會(huì)出現(xiàn)自己的指紋解不了鎖的情況。短信驗(yàn)證的成本相對(duì)較低,且通過(guò)率高,因此應(yīng)用更為廣泛。”

李鐵軍認(rèn)為,從實(shí)際運(yùn)行的情況上看,快捷支付已經(jīng)給人們的消費(fèi)帶來(lái)了很大的方便。“目前,中國(guó)可以稱得上是全球移動(dòng)支付最發(fā)達(dá)的國(guó)家。不能因?yàn)榘l(fā)生了存款被盜的情況,就要因噎廢食,摒棄快捷支付。如果要在移動(dòng)終端增加傳統(tǒng)的U盾來(lái)保證安全,顯然交易的速度會(huì)大打折扣,使用起來(lái)很不方便,銀行很可能就會(huì)被第三方支付機(jī)構(gòu)打敗。”李鐵軍建議,由于每種支付方式都會(huì)有風(fēng)險(xiǎn),但這種風(fēng)險(xiǎn)不應(yīng)該轉(zhuǎn)嫁到客戶身上,因此可以通過(guò)保險(xiǎn)的形式來(lái)保障儲(chǔ)戶的權(quán)益。

“當(dāng)然,銀行也應(yīng)該繼續(xù)完善網(wǎng)銀的安全性。”李鐵軍坦言,目前銀行的系統(tǒng)都是使用實(shí)名制的,這相對(duì)于有些非實(shí)名制操作的第三方支付公司而言,安全性要高很多。但銀行的系統(tǒng)在安全保證方面應(yīng)該做得更完善,以便減少惡意入侵導(dǎo)致的存款丟失事件。

在采訪中,記者了解到,此次儲(chǔ)戶存款被盜事件似乎早已被犯罪分子埋下伏筆。

儲(chǔ)戶劉全(化名)的存款是在6月28日被盜的,但后來(lái)他發(fā)現(xiàn),早在那之前,自己的網(wǎng)銀就已在異地被登錄過(guò)了,但自己并未收到過(guò)銀行的提示。而劉全的情況也在多位儲(chǔ)戶身上發(fā)生過(guò),他們告訴記者,他們網(wǎng)銀被異地登錄的IP地址集中在海南一帶。

針對(duì)這一情況,記者致電了工商銀行的客服電話詢問(wèn),工作人員告訴記者,網(wǎng)銀異地登錄提醒服務(wù),需要客戶自己開(kāi)通,如果沒(méi)開(kāi)通這一業(yè)務(wù)就不會(huì)受到提醒。而多位儲(chǔ)戶均表示,自己原本以為這項(xiàng)提醒業(yè)務(wù)不需要額外開(kāi)通。

值得一提的是,就此類案件發(fā)生的原因及處理辦法,記者向工行發(fā)出了采訪函進(jìn)行詢問(wèn),但工行相關(guān)人員告訴記者,由于現(xiàn)在還在調(diào)查中,不方便透露更多信息,截至發(fā)稿,記者并未得到工行的回復(fù)。 

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2015-07-20
工行快捷支付曝漏洞
僅憑借短信驗(yàn)證碼就能進(jìn)行支付交易,在給儲(chǔ)戶帶來(lái)便利的同時(shí),也給不法分子提供了鉆空子犯罪的機(jī)會(huì)。萬(wàn)萬(wàn)沒(méi)想到,短短幾分鐘時(shí)間銀行存款就莫名少了近2萬(wàn)元,兩筆錢就這樣被輕易盜取了。家住北京的覃岳(化名)是IT行業(yè)的從業(yè)人士,平時(shí)很注重保護(hù)自己的網(wǎng)絡(luò)金融安全,然而,提起前不

長(zhǎng)按掃碼 閱讀全文