氧化铁厂家
免费服务热线

Free service

hotline

010-00000000
氧化铁厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

提高警惕工行卡遭盗刷运营商网银谁之过1dd-【新闻】

发布时间:2021-04-11 12:00:48 阅读: 来源:氧化铁厂家

【提高警惕】工行卡遭盗刷,运营商网银谁之过

说到网络支付,不管是网上小额免密码支付,还是支付宝、微信支付,方便的同时,账号和资金的安全更是让人揪心。不久前网友阿灰提示小编,说微博爆出某用户发现自己被强制开通了短信保管箱业务后工行账户无故被盗走近 1.5 万元。其实这个事件并非个例,从去年开始,陆续有用户遭遇这种损失,近日有安全人士分析,或许事情是这样的:事件回顾2015 年某天小王发现自己的工行卡因为多次尝试密码被冻结了,之后办理了卡 A,使用了同样密码,但马上卡又被冻结。7 月 1 日,小王发现自己被强制开通了 10086 的短信保管箱业务。次日他修改了自己的 10086 密码。7 月 6 日,小王收到近 10 条自己在各种网站注册账号的验证码信息,再次发现自己被强制开通了短信保管箱业务; 几分钟后,工商银行向受害者发来短信验证码,显示工商银行卡 A 中一笔 9990 元的存款正在转账。在打电话关闭短信保管箱业务后,又被莫名开启,之后又损失两笔共 4000 元。这个“短信保管箱业务”是将该机接收到的所有信息保存到网上,之后可登录 10086 读取的一项业务,而小王的工行卡开通了网上手机银行业务。而其中究竟是哪个环节出现问题呢?问题出在哪儿?首先应该不是手机网银木马。一般工作在安卓或者越狱后的苹果手机上(近期也出现了不需要越狱就可以植入的苹果木马)利用 APP 或者手机操作系统的漏洞,不仅仅可以截获短信、窃听通话,甚至还可以直接拿到手机银行的帐号和交易密码。如果有木马,那么不法分子就不需要通过短信保险箱来获取验证短信。其次事实应该并不像受害者推测那样银行后台被攻破。如果攻击者拿下了银行的服务器,那么就可以直接转帐到自己的帐号,根本不需要短信验证,即使有短信验证的环节,服务器上也可以直接读取,压根不需要短信保管箱。就算银行的监管系统和支付安全一直都饱受质疑,但是不可否认的是,绝大多数银行服务器的保护措施都比个人电脑高很多,不只是一个级别的差距。所以,出现网上银行服务器被攻破的概率几乎不可能。最后,小王的电脑、网关中应该有一个出了问题。在这个过程中,攻击者只需要利用安全漏洞获得受害人电脑或者网关中任意一个的权限,就可以读取到受害人的银行卡号、 手机号码等等信息。但由于网银系统安保比较高,取款密码是很难直接读取,这就是攻击者多次尝试导致银行卡被锁的原因。而移动运营商网站安全级别低,用户名密码很容易窃取到。小王 A 卡的卡号在第二天就泄露,修改了手机的网站登录密码后,攻击者还是可以强行打开短信保管箱,这其中,攻击者通过电脑木马或者网关劫持获取受害人帐号的可能性很大,而小王的手机号码,也很可能是通过类似方式被获得的。谁之责?整个事件中,短信保管箱业务就像一个幽灵挥之不去。提供云保存服务尽然如此简单,本应该由用户亲自前往营业厅才能够启用,或者至少允许用户可以禁用该服务等方式。对此移动公司的回应称:“目前经过后台网络日志显示,不知情定制均系有人使用客户的手机号和客服网站密码,通过手机登录客服 WAP 页面开通,目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄漏。”原本“短信保管箱服务”必须本机回复短信才能够激活,但是因为系统上线时未能仔细检查老旧的 WAP 服务接口,使得攻击者通过 WAP 服务绕过了本机短信验证环节,最终导致了小王的网银失窃。虽然并不是移动网站受攻击而造成的损失,但是的确是因为运营商的疏忽导致这一结果。而且我就奇怪了,小王不是第一起事件,这个问题从去年就开始了,为什么到今年还是这样?难道不是运营商失职吗?对于银行,小额网上支付虽然是方便,但是通过本次案件也知道,容易出现短信托管服务劫持,还可能被“伪基站”、“手机木马”劫持,因此发短信的“e支付”在安全上还是有漏洞。虽然说是小额,但是各家银行的额度其实并不小,工行默认 1 万,还可提升到 2 万。我们该怎么办?整个事件中,最受伤的还是用户,我们能做的,只是防患于未然了。遇到有盗刷问题,赶快先把卡冻结,而不是先找运营商交涉,减小损失。开通小额支付的卡,最好别是自己的主卡,资金多的主卡尽量别使用网络交易。如果使用支付宝或者微信支付的,切勿在手机里存放身份证照片等,很可能遭到盗刷。大家还有什么补充的呢?最后,希望受害者们能收到法律的保护和公平的对待!来源:cnBeta

文章纠错

合肥校泵

成都安全地垫

甘肃高速组织研磨仪