震驚!
“e支付”被遭盜刷
因短信驗證?
近日,據(jù)媒體報道,6月中旬到7月上旬,多名北京地區(qū)工行儲戶遭遇存款被盜刷事件——不法分子偷偷開通了工行僅憑借短信驗證碼就能快速交易的 “e支付”業(yè)務(wù)。同時,不法分子利用非法途徑截獲儲戶短信驗證碼,從而盜竊存款。又是在用戶不知情、銀行卡沒有丟失的情況下,卡里的錢“不翼而飛”。
對此,有廣州市民擔(dān)心被騙,這一盜刷手法能夠如何防范?
回應(yīng):
業(yè)務(wù)正常 移動則暫停
據(jù)記者了解,前述報道刊出后,工行隨即發(fā)表了公告,否認(rèn)了工行e支付存在漏洞,稱“工行快捷支付曝重大漏洞”系誤解,工銀e支付業(yè)務(wù)運營正常, 也未發(fā)生泄露客戶信息的情況。工行稱,事發(fā)原因是不法分子使用非法手段獲取了客戶的相關(guān)信息和密碼,再利用客戶信息開通了客戶手機的“短信保管箱”業(yè)務(wù), 從而獲取交易驗證短信并盜取資金。
“e支付”是工行小額支付快捷業(yè)務(wù),每日累計支付的最大限額是1萬元,每月5萬元。開通時需要驗證客戶預(yù)留在工行的密碼和手機號碼,支付時需要驗證工行向客戶預(yù)留手機發(fā)送的短信驗證碼。
北京移動則回應(yīng),已經(jīng)與相關(guān)用戶、銀行取得聯(lián)系,查找風(fēng)險漏洞、解決問題,并配合警方調(diào)查取證。如查實屬于移動業(yè)務(wù)的問題,“愿意承擔(dān)賠償責(zé)任”。
該運營商還表示,為了用戶信息安全,目前已暫停了短信保管箱業(yè)務(wù)的短信查詢等功能,并正在對此業(yè)務(wù)進行優(yōu)化,優(yōu)化內(nèi)容包括“不保存銀行下發(fā)的短信”、“只能查詢24小時前企業(yè)短信”、“需要動態(tài)密碼驗證”等,所有業(yè)務(wù)優(yōu)化會在8月底前完成。
風(fēng)險:偽基站發(fā)信息植入病毒
據(jù)了解,目前多數(shù)手機銀行都采取登錄密碼+支付密碼+短信驗證碼三重防護,其實容易被黑客攻破,如此前多次報道的詐騙短信+釣魚網(wǎng)址的方式就可以。
最常見的手段之一:通過偽基站冒充95588發(fā)送詐騙短信,要求用戶登錄一個釣魚網(wǎng)址,登上后用戶發(fā)現(xiàn)頁面設(shè)計與銀行完全一樣,于是放松警惕在該釣魚網(wǎng)頁上輸入了賬號、密碼、支付密碼等內(nèi)容。
與此同時,用戶手機被偷偷安裝了一個支付病毒,可以竊取用戶短信內(nèi)容。利用釣魚網(wǎng)頁上竊取來的賬號密碼登上網(wǎng)銀,然后發(fā)起轉(zhuǎn)賬,再通過支付病毒攔截短信驗證碼,并將驗證碼立即發(fā)送到黑客手機,利用該驗證碼完成轉(zhuǎn)賬。
最常見的手段之二:利用各種垃圾短信植入鏈接,一旦用戶點擊,就將病毒“種”在手機上,從而攔截正常的短信,然后轉(zhuǎn)走用戶與手機捆綁的賬戶上的 資金。快捷支付甚至不需開通網(wǎng)銀,只需提供銀行卡號、戶名、手機號碼等,銀行驗證手機號碼正確性后,第三方支付發(fā)送動態(tài)口令到用戶手機號上,用戶輸入正確 的手機動態(tài)口令,即可完成支付。
應(yīng)對:
指紋識別替代短信驗證
安全專家建議,可以安裝市場主流的安全軟件如手機管家、手機衛(wèi)士等App。同時,在使用網(wǎng)上銀行時,建議通過安全瀏覽器如UC瀏覽器、獵豹瀏覽器等,通過攔截功能攔截詐騙短信,識別釣魚網(wǎng)址,同時查殺手機支付病毒。
最值得留意的是,手機用戶千萬不要在手機上點開陌生網(wǎng)址鏈接,保持高度警惕。另外,安全專家陸兆華呼吁各大銀行盡快研究更安全、可靠的驗證方式替代短信驗證碼。目前,呼聲較高的有指紋驗證、虹膜驗證等生物識別方式,相較短信更具有保密性。
共有條評論