工行“e支付”曝重大漏洞:短信验证码存账户被盗取隐患
在互联网推陈出新、信息迅速更迭的大时代,各家银行纷纷着手在互联网金融服务领域积极布局。但科技在给客户带来便捷服务体验的同时,银行的风险防控也频频遭遇拷问。近日,记者接到储户反映称,从6月中旬到7月上旬,多位北京地区的工行储户遭遇了存款被盗事件。而这类案件的一大共性,就是储户大多被犯罪分子强行开通了工行仅凭借短信验证码就能快速交易的“e支付”业务。同时,犯罪分子借助非法途径截获短信验证码,轻而易举地盗窃存款。
在采访中,多位业内人士认为,这类案件的关键在于银行的快捷支付将短信验证码视为身份认证码,这本身就存在风险,短信验证码容易被窃取,这就为快捷支付埋下了风险隐患。
多名客户存款被盗
仅凭借短信验证码就能进行支付交易,在给储户带来便利的同时,也给不法分子提供了钻空子犯罪的机会。
“万万没想到,短短几分钟时间银行存款就莫名少了近2万元,两笔钱就这样被轻易盗取了。”家住北京的覃岳(化名)是IT行业的从业人士,平时很注重保护自己的网络金融安全,然而,提起前不久他遭遇的一起犯罪分子借助网络隔空对其存款进行盗窃的事故,他仍然心有余悸。
7月8日晚23:49,覃岳收到了一条来自中国移动的短信,提示他已经开通了中国移动“短信保管箱业务”。1分钟过后,他又收到了一条来自工商银行95588的短信,上面提示他的工银“e支付”业务已经被修改。紧接着95588接连发来了几条短信,分别为即将办理转账业务的通知和即将付款9990元的提示信息及验证码。
“由于当时已经很晚了,为了不吵到孩子休息,我早就把手机调成了静音,当自己看到这几条短信的时候已经是23:55。”慌忙中,覃岳第一时间查询了他的工行卡交易明细,可是为时已晚,交易明细显示他的银行卡里确实少了9990元。
“于是我马上拨打了工行的客服电话,但提示客服话务繁忙,等待了2分钟后我就挂断了。谁料就在这时95588又发来了一条短信,上面写到我正在进行汇款,金额为9950元,并告知我‘如有疑问请停止操作’。”
覃岳告诉记者:“我马上又查询了我的账户,看到明细时我就蒙了,账户果然又少了9950元。”覃岳强调道,在此之前,自己并未主动开通过“e支付”业务,而且事发后他检测过自己的笔记本电脑和手机都没有病毒。
覃岳的遭遇并不是个案。近日,记者通过某社交网站加入了一个工行存款被盗储户的维权群,已经修改群名称并标注自己为“受害人”的储户有40余名。而他们中的大多数都是被无故开通了工银“e支付”,随后银行卡中的存款就在几分钟内不翼而飞了。
短短几天的时间里,记者就联系到了20多名受害人,他们被盗取的存款金额合计约为25.68万元。他们当中,最早的存款被窃事件发生在6月13日,最晚的发生在7月9日。其中,被偷窃的个人最大金额达到4.2万元,最小金额为500元。
巧合的是,这些案件大都有两个共性,就是受害人同为工行储户且多为中国移动的客户。与覃岳一样,他们也被强行开通了中国移动的“短信保管箱”业务。
由于“短信保管箱”具有将客户发送、接收的短信进行同步备份存储的功能,同时考虑到在这一业务被迫开通后,紧接着就被开通了仅凭借短信验证码就可以进行交易的工银“e支付”,因此多位储户怀疑,中国移动的“短信保管箱”业务与此次的存款丢失事件难逃干系。
针对储户的疑问,记者联系了中国移动北京分公司,相关负责人给予的回复称:“目前经过后台网络日志显示,不知情定制均系有人使用客户的手机号和客服网站密码,通过手机登录客服WAP页面开通,目前并没有任何迹象显示是中国移动网站被攻击造成了**泄漏。”
同时,中国移动北京分公司的相关负责人也坦言,由于“短信保管箱”业务设立于2009年,是在短信被广泛应用于金融领域之前就已经存在,因此未能充分考虑金融类业务所需的安全等级,经过此类事件,该公司会全面梳理基于短信的增值业务,提升此类业务的安全性。“此次银行卡被盗刷客户投诉后,客户虽然仍能开通此业务,但查询历史短信的功能已紧急关停,目前正在对业务进行优化,包括‘不保存银行下发的短信’‘只能查询24小时前的短信’‘需要动态密码验证’等。”
安全大考
在采访中,记者了解到,并非所有储户的存款都是在被办理了“短信保管箱”之后才被盗的。
储户秦玉(化名)也是本次存款丢失的受害人之一,但与其他受害人不同的是,她的手机号并非归属于中国移动公司,没有出现过被办理“短信保管箱”的情况。秦玉告诉记者:“在我存款被盗取的过程中,我没有收到过动态密码,只收到了95588发来的短信验证码,称我正在修改工银‘e支付’的信息,随后就是我的存款被转走的通知。而‘e支付’这项业务也并非我本人开通。”
某国有银行电子银行部人士猜测,秦玉的情况应该是短信验证码被犯罪分子通过其他途径获取了。与U盾相比,使用短信验证码进行交易的快捷支付虽然便捷,但安全性相对较差。
“这类案件的关键问题在于银行是将短信验证码作为身份认证的依据,而这就决定了会存在一定的风险。”猎豹移动安全专家李铁军认为,虽然在此次事件中,工商银行和中国移动公司都有责任,但中国移动的“短信保管箱”业务只是一个可能窃取短信验证码的途径,与以往的钓鱼网站、拦截手机短信的病毒作用类似,因此关键问题在于短信验证码本身。
“在保证信息安全时,通常可以借助三种方式进行身份验证,分别是利用‘所知道的’如密码;‘所持有的’如短信验证码和‘所固有的’如指纹、虹膜。”某国有银行科技部人士告诉记者,“如果只采用单一验证,如短信验证,其安全性不如双重验证安全。同时,‘所知道的’和‘所持有的’都可能会被人窃取,其安全性不如‘所固有的’。但指纹识别也要考虑识别率的问题,比如有指纹识别的手机有时候也会出现自己的指纹解不了锁的情况。短信验证的成本相对较低,且通过率高,因此应用更为广泛。”
李铁军认为,从实际运行的情况上看,快捷支付已经给人们的消费带来了很大的方便。“目前,中国可以称得上是全球移动支付最发达的国家。不能因为发生了存款被盗的情况,就要因噎废食,摒弃快捷支付。如果要在移动终端增加传统的U盾来保证安全,显然交易的速度会大打折扣,使用起来很不方便,银行很可能就会被第三方支付机构打败。”李铁军建议,由于每种支付方式都会有风险,但这种风险不应该转嫁到客户身上,因此可以通过保险的形式来保障储户的权益。
“当然,银行也应该继续完善网银的安全性。”李铁军坦言,目前银行的系统都是使用实名制的,这相对于有些非实名制操作的第三方支付公司而言,安全性要高很多。但银行的系统在安全保证方面应该做得更完善,以便减少恶意入侵导致的存款丢失事件。
在采访中,记者了解到,此次储户存款被盗事件似乎早已被犯罪分子埋下伏笔。
储户刘全(化名)的存款是在6月28日被盗的,但后来他发现,早在那之前,自己的网银就已在异地被登录过了,但自己并未收到过银行的提示。而刘全的情况也在多位储户身上发生过,他们告诉记者,他们网银被异地登录的IP地址集中在海南一带。
针对这一情况,记者致电了工商银行的客服电话询问,工作人员告诉记者,网银异地登录提醒服务,需要客户自己开通,如果没开通这一业务就不会受到提醒。而多位储户均表示,自己原本以为这项提醒业务不需要额外开通。
值得一提的是,就此类案件发生的原因及处理办法,记者向工行发出了采访函进行询问,但工行相关人员告诉记者,由于现在还在调查中,不方便透露更多信息,截至发稿,记者并未得到工行的回复。
原文地址:http://www.ithome.com/html/it/163720.htm
本贴由《IT之家新闻转UBB代码工具》转换_(:3」∠)_ 联想到s1之前有一篇维权的长微博,看来这个绝非个案,应该是有漏洞没跑了。所有银行业务都应该开两步验证啊
—— 来自 samsung SM-N9006, Android 5.0 这关工行什么事?
纯粹是用户傻逼不改手机的初始静态服务密码,默认的情况是6位数字。当然,中国这情况你要敢直接这么说,分分钟被愤怒的用户爆菊。 问了下工行的朋友说这个不是个案,而且有上升趋势…… 本帖最后由 Justice_jsj 于 2015-7-20 17:29 编辑
工行网银手机app客户端最最可怕的是设备更换或者重装之后初始登录不需要与你在柜台绑定的手机号进行认证,如果你手机号被别人知道了密码也猜的到那呵呵等着吧。
建行农行你要初始登录必须发送认证手机短信才行,爱存不存做为堂堂宇宙大行在手机app的安全性上我是实在不敢相信。
而且你还可以多设备进行登录,不像建行只能支持唯一设备登录,想换行拿注册手机号进行重新绑定再说。
至于我为啥知道因为我当年蛋疼在两个不一样号的安卓机上干过这事。
----发送自 STAGE1 App for Android. 引用第2楼真紅于2015-07-20 12:31发表的:
这关工行什么事?纯粹是用户傻逼不改手机的初始静态服务密码,默认的情况是6位数字。当然,中国这情况你要......
你说改密码现在爱存不存的手机客户端还每次登录都建议我统一手机客户端和网银客户端密码呢
----发送自 STAGE1 App for Android. 引用第6楼宫崎和香于2015-07-20 17:33发表的:
就是受害人同为工行储户且多为中国移动的客户。与覃岳一样,他们也被强行开通了中国移动的“短信保管箱”业......
但是工行手机客户端登录要求的随意,也是必须要检讨的重大问题
----发送自 STAGE1 App for Android. 移动那个短信保管箱也是奇怪
上次那个微博提到的,保险箱功能关了又开
----发送自 Meizu m1 note,Android 4.4.4 真紅 发表于 2015-7-20 12:31
这关工行什么事?
纯粹是用户傻逼不改手机的初始静态服务密码,默认的情况是6位数字。当然,中国这情况你 ...
这有多难? 不改密码就无法激活行不行?
说一千道一万, 居然所有用户有初始统一密码, 而且这个密码居然可以正常使用难道不是最大的漏洞?
实现的人应该拖出去枪毙 本帖最后由 真紅 于 2015-7-20 19:34 编辑
xxyyzz7711 发表于 2015-7-20 17:48
这有多难? 不改密码就无法激活行不行?
说一千道一万, 居然所有用户有初始统一密码, 而且这个密码居然可以 ...
这个密码不是统一的,只是都是6位数字,是打印在你买手机SIM卡时的那张大卡上的。而且这有个历史原因:许久以前手机还不是智能手机,如果不是用数字做密码的话,你用手机打10086办什么自助业务的时候要怎么确认密码?用数字键盘上输字母?
许多人都是买完卡,卡插进手机,那张大卡就随手丢了,至于别人拣去用那个密码干了啥:反正不是我干的不是我的错啦
所以移动现在已经改了策略,静态服务密码必须是强密码,不然没法用。另外那个短信保管箱也是个历史原因,那时候手机的收件能存的短信数量有限,才有这个业务的。 本帖最后由 真紅 于 2015-7-20 18:31 编辑
Justice_jsj 发表于 2015-7-20 17:17
你说改密码现在爱存不存的手机客户端还每次登录都建议我统一手机客户端和网银客户端密码呢
----发送自 ST ...
爱存不存的手机客户端啊,自从三年前某次他不肯认我的密码我就不用了。还真不知道它这么逗逼了
爱存不存的E支付最大的问题是只要手机号和短信验证码,如果学CMB之类的要个卡号后四位什么的可能也不至于这么逗逼。
顺便这帖子里说的被盗完全是用户自己安全意识薄弱+移动的密码系统的锅。
工银e支付使用时是需要卡号后六位或持卡人自己设置的别名的。所以多半还是有别的信息泄露。 引用第11楼真紅于2015-07-20 18:30发表的:
本帖最后由 真紅 于 2015-7-20 18:31 编辑 引用:Justice_jsj 发表于 2......
连手机客户端初始登录都无需认证,甚至还能多设备登录的工行你能指望点什么?
----发送自 STAGE1 App for Android. 反正都是银行的错 sqrl可解
页:
[1]