网络社会征信网

征信网 > 技术防范

“e支付”被遭盗刷 因短信验证?

来源:人民网 发布日期:2015-07-29 10:59:09

 震惊!“e支付”被遭盗刷

 因短信验证?

 近日,据媒体报道,6月中旬到7月上旬,多名北京地区工行储户遭遇存款被盗刷事件——不法分子偷偷开通了工行仅凭借短信验证码就能快速交易的“e支付”业务。同时,不法分子利用非法途径截获储户短信验证码,从而盗窃存款。又是在用户不知情、银行卡没有丢失的情况下,卡里的钱“不翼而飞”。

 对此,有广州市民担心被骗,这一盗刷手法能够如何防范?

 回应:业务正常 移动则暂停

 据记者了解,前述报道刊出后,工行随即发表了公告,否认了工行e支付存在漏洞,称“工行快捷支付曝重大漏洞”系误解,工银e支付业务运营正常,也未发生泄露客户信息的情况。工行称,事发原因是不法分子使用非法手段获取了客户的相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交易验证短信并盗取资金。

 “e支付”是工行小额支付快捷业务,每日累计支付的最大限额是1万元,每月5万元。开通时需要验证客户预留在工行的密码和手机号码,支付时需要验证工行向客户预留手机发送的短信验证码。

 北京移动则回应,已经与相关用户、银行取得联系,查找风险漏洞、解决问题,并配合警方调查取证。如查实属于移动业务的问题,“愿意承担赔偿责任”。

 该运营商还表示,为了用户信息安全,目前已暂停了短信保管箱业务的短信查询等功能,并正在对此业务进行优化,优化内容包括“不保存银行下发的短信”、“只能查询24小时前企业短信”、“需要动态密码验证”等,所有业务优化会在8月底前完成。

 风险:伪基站发信息植入病毒

 据了解,目前多数手机银行都采取登录密码+支付密码+短信验证码三重防护,其实容易被黑客攻破,如此前多次报道的诈骗短信+钓鱼网址的方式就可以。

 最常见的手段之一:通过伪基站冒充95588发送诈骗短信,要求用户登录一个钓鱼网址,登上后用户发现页面设计与银行完全一样,于是放松警惕在该钓鱼网页上输入了账号、密码、支付密码等内容。

 与此同时,用户手机被偷偷安装了一个支付病毒,可以窃取用户短信内容。利用钓鱼网页上窃取来的账号密码登上网银,然后发起转账,再通过支付病毒拦截短信验证码,并将验证码立即发送到黑客手机,利用该验证码完成转账。

 最常见的手段之二:利用各种垃圾短信植入链接,一旦用户点击,就将病毒“种”在手机上,从而拦截正常的短信,然后转走用户与手机捆绑的账户上的资金。快捷支付甚至不需开通网银,只需提供银行卡号、户名、手机号码等,银行验证手机号码正确性后,第三方支付发送动态口令到用户手机号上,用户输入正确的手机动态口令,即可完成支付。

 应对:指纹识别替代短信验证

 安全专家建议,可以安装市场主流的安全软件如手机管家、手机卫士等App。同时,在使用网上银行时,建议通过安全浏览器如UC浏览器、猎豹浏览器等,通过拦截功能拦截诈骗短信,识别钓鱼网址,同时查杀手机支付病毒。

 最值得留意的是,手机用户千万不要在手机上点开陌生网址链接,保持高度警惕。另外,安全专家陆兆华呼吁各大银行尽快研究更安全、可靠的验证方式替代短信验证码。目前,呼声较高的有指纹验证、虹膜验证等生物识别方式,相较短信更具有保密性。

(原标题:“e支付”被遭盗刷 因短信验证?)

每日推荐

专题活动