信用卡屡遭盗刷 用户称手机动态密码存致命漏洞

安全
原本为了增加安全系数的手机动态密码,如今却成了广发网银最大的漏洞。近段时间,广发信用卡盗刷事件频发,作案者手段几乎一致:在受害者网银中修改手机号码,利用新号码接受动态密码,从而完成盗刷支付。

原本为了增加安全系数的手机动态密码,如今却成了广发网银最大的漏洞。近段时间,广发信用卡盗刷事件频发,作案者手段几乎一致:在受害者网银中修改手机号码,利用新号码接受动态密码,从而完成盗刷支付。近10名被盗刷者向记者提出的相同问题是:网上支付环节中最重要的一环--手机,为什么能如此轻易修改?第三方支付平台能否承担更多的风险控制功能?

用户投诉

一夜"飞"走5000元

8月23日早上王青(化名)打开手机,几条"一拥而入"的短信,让他感到"大势不妙":"尊敬的×××,您在广发银行网上银行的手机号已经重新设置成功。""贵卡末四位××××于23日02时消费人民币2000.00元,授权号末四位××××。"几条短信看下来,王青明白了,自己的广发信用卡被盗刷了,损失5000元。

王青立刻拨打了广发信用卡的客服电话,经过查询,第一笔2000元被通过支付宝购买了彩票,第二笔3000元则通过银联在线支付了出去,由于采用即时到账的支付方式,这5000元是追不回来了。

上网搜索一番,王青才发现,原来发生在自己身上的"噩梦"并非个例。从今年7月初开始,便陆陆续续有人在网上投诉,广发上线新网银系统后,信用卡被盗刷。叶迷(化名)是另一名广发信用卡被盗刷者。今年7月4日,他的一张广发信用卡在凌晨两点多的时候被盗刷2000元,通过环迅支付用于购买一家名为腾驰策划公司的服务,被盗经历与王青如出一辙。经过一个多月的联系,叶迷得到的最新回复是:广发银行风险控制部门已介入调查,在此期间,无需还款。

记者调查

第三方支付难止损

在记者拿到的一份广发信用卡被盗刷者的名单中,有5个被盗者与叶迷一样,数千元的款项均被转移至那家名为腾驰策划的公司。到底这是一家怎样的公司呢?8月24日,记者多次拨打腾驰网站上的电话,始终无法接通,其中公布的400电话,更是被接线方否认属于腾驰。叶迷告诉记者,曾有深圳的受害者去腾驰网站上标明的地址查访,却并没有找到这家公司。

通过第三方支付平台--环迅支付,记者拿到一份来自腾驰的声明,称他们也是受害者,盗刷者是他们的一名会员,目前已无法联系,其账户也被冻结。声明的落款是7月26日。环迅支付相关人士向记者证实,这是一家正规运营的公司,证照齐全,销售的是网络优化等服务。

7月4日失窃当日,叶迷向环迅提出终止付款的要求,但最终并没有被支持。环迅支付相关人士告诉记者,普通用户与环迅之间都是T+1的结算方式,也就是说,第一天凌晨发生的盗刷,第二天才会真正由环迅支付给商户,如果盗刷者购买的是实物商品,且当天便与环讯联系,便有可能追回被盗款项。但由于盗刷者通常购买的都是彩票、充值卡等虚拟商品,采用的是即时到账的结算方式,所以第三方支付平台很难止损。

广发网银可随意更改手机

经过对多名受害者采访,记者基本复盘了整个被盗刷的经过。5月20日,广发信用卡的新网银上线,其中一项重要修改是,取消原有固定的支付密码,而采用手机动态密码的方式,也就是说,每次支付前,手机将收到一条动态密码,以此作为支付凭据。

然而,这种新操作模式有个致命的弱点,除非用户设置了"私密问题",否则黑客只需知道网银登录名和密码,便可在网银上修改手机号码,且修改后的密码直接发送至新号码处,从而完成支付。"广发称这是为了方便丢失手机用户,可到底是网银安全重要,还是为这极少数丢手机用户服务重要?"王青对广发的解释很不理解。

在记者拿到的这份被盗刷名单中,有五六起案件的盗刷者修改后新手机为同一个"159"开头的号码,基本可确定,这些案件均一人所为。然而由于涉案金额并不高,每件盗刷案大多在数千元左右,被害者分布范围广,遍布浙江、广东、北京等地,尽管都已经报警,但警方明确表示,案值太小,恐怕很难破案。

诸多网银只有广发中招

"银行总是说盗刷责任在我们,没保管好密码,难道广发网银就一点责任都没有吗?"王青告诉记者,他电脑中装了360安全卫士、网购保镖等各种杀毒软件,定期更新,从未报警说有木马,"我网购6年,工行、招行、交行等银行的信用卡和网银都有,且最近两个月内均使用过,就算电脑被种了木马,这些银行的网银登录密码应该全被盗,为何其他银行没有被盗刷,只有广发被盗刷成功?"

到底其他银行是如何做的呢?记者随即拨打了招商银行的客服电话,对于记者要求更改注册手机号码的要求,客服人员提出不仅要人工核对多重资料,而且修改号码的请求短信会同时发给新、旧手机号码,最关键的是,修改请求第二天才生效,如是,被修改者有一天的时间来发现,是否密码被盗。至于通过网银修改手机号码?"是不可能的。"

浦发银行的网银防范也十分严密。每次登录都必须输入手机动态密码,从开始便杜绝了盗刷者登录的可能。

记者手记

迟迟不见亡羊补牢

在记者接触的被盗刷者中,最早一人于7月4日被盗刷,最晚一人于8月23日被盗刷,中间相隔一个半月,用户也已经多次向广发投诉。但为何如此明显的漏洞,广发网银仍没有做任何补救工作呢?亡羊补牢为时不晚,就算现在进入调查阶段,先把"羊圈"修补好,应该难度不大吧。没人苛求银行服务十全十美,人们在意的,只是对用户起码的用心和尊重而已。就这点来说,广发差距甚远。

 【编辑推荐】

  1. 当心你的信用卡 iTunes AppStore黑客入侵
  2. PSN遭入侵威胁7700万用户信用卡安全 美参议员恼怒
  3. 利用假冒SSL证书的钓鱼攻击瞄准信用卡服务品牌
责任编辑:于爽 来源: cnBeta.com
相关推荐

2020-09-01 15:21:40

漏洞黑客加密

2014-03-23 17:29:16

2017-03-10 09:11:49

信用卡盗刷机器学习

2020-09-10 14:41:21

网络安全网络安全技术周刊

2014-07-08 09:28:21

携程漏洞信用卡

2014-03-24 13:30:45

2013-11-28 10:14:30

钓鱼网站

2017-04-27 11:09:52

信用卡支付技术

2014-03-23 16:01:37

携程漏洞信用卡支付安全

2014-03-24 09:53:02

2012-01-05 15:14:37

2013-05-22 10:43:51

2018-04-13 11:14:42

2012-06-25 09:06:35

盗刷

2018-09-21 11:55:09

2018-07-05 14:20:48

信用卡

2009-03-30 13:36:43

2014-03-02 15:41:02

2013-08-05 09:41:33

2014-03-24 09:41:45

携程信息泄露信用卡
点赞
收藏

51CTO技术栈公众号