工行快捷支付曝重大漏洞 多名储户存款被盗
在互联网推陈出新、信息迅速更迭的大时代,各家银行纷繁着手在互联网金融服务领域积极结构。但科技在给客户带来便捷服务体验的同时,银行的危害防控也频频遭遇拷问。
克日,《中国谋划报》记者接到储户反映称,从6月中旬到7月上旬,多位北京地区的工行储户遭遇了存款被盗事件。而这类案件的一大个性,就是储户大多被犯法分子强行守旧了工行仅凭借短信验证码就能快速交易的“e付出”业务。同时,犯法分子借助合法途径截获短信验证码,轻而易举地盗窃存款。
在采访中,多位业内子士认为,这类案件的关键在于银行的快捷付出将短信验证码视为身份认证码,这本身就存在危害,短信验证码容易被窃取,这就为快捷付出埋下了危害隐患。
多名客户存款被盗
仅凭借短信验证码就能进行付出交易,在给储户带来方便的同时,也给不法分子提供了钻空子犯法的机会。
“万万没想到,短短几分钟时间银行存款就莫名少了近2万元,两笔钱就如许被方便盗取了。”家住北京的覃岳(化名)是IT行业的从业人士,平常很注重保护自己的网络金融安全,然而,提起前不久他遭遇的一起犯法分子借助网络隔空对其存款进行盗窃的事故,他仍然心有余悸。
7月8日晚23:49,覃岳收到了一条来自中国挪动的短信,提示他已经守旧了中国挪动“短信保管箱业务”。1分钟过后,他又收到了一条来自工商银行95588的短信,下面提示他的工银“e付出”业务已经被修改。紧接着95588接连发来了几条短信,辨别为即将管理转账业务的通知和即将付款9990元的提示信息及验证码。
“由于当时已经很晚了,为了不吵到孩子休息,我早就把手机调成了静音,当自己看到这几条短信的时间已经是23:55。”匆忙中,覃岳第一时间查询了他的工行卡交易明细,可是为时已晚,交易明细显示他的银行卡里的确少了9990元。
“于是我顿时拨打了工行的客服德律风,但提示客服话务繁忙,等待了2分钟后我就挂断了。谁料就在这时95588又发来了一条短信,下面写到我正在进行汇款,金额为9950元,并告知我‘如有疑问请停止操作’。”
覃岳报告记者:“我顿时又查询了我的账户,看到明细时我就蒙了,账户公然又少了9950元。”覃岳夸大道,在此之前,自己并未主动守旧过“e付出”业务,而且事发后他检测过自己的笔记本电脑和手机都没有病毒。
覃岳的遭遇并不是个案。克日,记者通过某社交网站加入了一个工行存款被盗储户的维权群,已经修改群名称并标注自己为“受益人”的储户有40余名。而他们中的大少数都是被无端守旧了工银“e付出”,随后银行卡中的存款就在几分钟内不知去向了。
短短几天的时间里,记者就接洽到了20多名受益人,他们被盗取的存款金额合计约为25.68万元。他们当中,最早的存款被窃事件发生在6月13日,最晚的发生在7月9日。此中,被偷窃的个人最大金额达到4.2万元,最小金额为500元。
巧合的是,这些案件少数有两个个性,就是受益人同为工行储户且多为中国挪动的客户。与覃岳一样,他们也被强行守旧了中国挪动的“短信保管箱”业务。
由于“短信保管箱”具有将客户发送、接收的短信进行同步备份存储的功效,同时考虑到在这一业务**守旧后,紧接着就被守旧了仅凭借短信验证码就可以进行交易的工银“e付出”,因而多位储户怀疑,中国挪动的“短信保管箱”业务与此次的存款丧失事件难逃干系。
针对储户的疑问,记者接洽了中国挪动北京分公司,相关卖力人给予的复兴称:“目前经过后台网络日志显示,不知情定制均系有人利用客户的手机号和客服网站密码,通过手机登录客服WAP页面守旧,目前并没有任何迹象显示是中国挪动网站被攻击形成了客户信息泄漏。”
同时,中国挪动北京分公司的相关卖力人也坦言,由于“短信保管箱”业务设立于2009年,是在短信被广泛使用于金融领域之前就已经存在,因而未能充分考虑金融类业务所需的安全等级,经过此类事件,该公司会全面梳理基于短信的增值业务,提升此类业务的安全性。“此次银行卡被盗刷客户投诉后,客户虽然仍能守旧此业务,但查询历史短信的功效已告急关停,目前正在对业务进行优化,包括‘不生存银行下发的短信’‘只能查询24小时前的短信’‘必要静态密码验证’等。”
安全大考
在采访中,记者了解到,并非所有储户的存款都是在被管理了“短信保管箱”之后才被盗的。
储户秦玉(化名)也是本次存款丧失的受益人之一,但与其他受益人不同的是,她的手机号并非归属于中国挪动公司,没有出现过被管理“短信保管箱”的环境。秦玉报告记者:“在我存款被盗取的历程中,我没有收到过静态密码,只收到了95588发来的短信验证码,称我正在修改工银‘e付出’的信息,随后就是我的存款被转走的通知。而‘e付出’这项业务也并非我本人守旧。”
某国有银行电子银行部人士猜测,秦玉的环境应该是短信验证码被犯法分子通过其他途径获取了。与U盾相比,利用短信验证码进行交易的快捷付出虽然便捷,但安全性绝对较差。
“这类案件的关键题目在于银行是将短信验证码作为身份认证的依据,而这就决议了会存在一定的危害。”猎豹挪动安全专家李铁军认为,虽然在此次事件中,工商银行和中国挪动公司都有责任,但中国挪动的“短信保管箱”业务只是一个可能窃取短信验证码的途径,与以往的钓鱼网站、阻拦手机短信的病毒作用雷同,因而关键题目在于短信验证码本身。
“在包管信息安全时,通常可以借助三种方式进行身份验证,辨别是利用‘所晓得的’如密码;‘所持有的’如短信验证码和‘所固有的’如指纹、虹膜。”某国有银行科技部人士报告记者,“如果只接纳单一验证,如短信验证,其安全性不如双重验证安全。同时,‘所晓得的’和‘所持有的’都可能会被人窃取,其安全性不如‘所固有的’。但指纹识别也要考虑识别率的题目,好比有指纹识另外手机偶然间也会出现自己的指纹解不了锁的环境。短信验证的成本绝对较低,且通过率高,因而使用更为广泛。”
李铁军认为,从实际运行的环境上看,快捷付出已经给人们的消费带来了很大的方便。“目前,中国可以称得上是全球挪动付出最兴旺的国家。不能由于发生了存款被盗的环境,就要剖腹藏珠,放弃快捷付出。如果要在挪动终端增加传统的U盾来包管安全,显然交易的速率会大打扣头,利用起来很不方便,银行很可能就会被第三方付出机构打败。”李铁军建议,由于每种付出方式都市有危害,但这种危害不应该转嫁到客户身上,因而可以通过保险的形式来保障储户的权柄。
“固然,银行也应该继续完善网银的安全性。”李铁军坦言,目前银行的系统都是利用实名制的,这绝对于有些非实名制操作的第三方付出公司而言,安全性要高很多。但银行的系统在安全包管方面应该做得更完善,以便减少恶意入侵导致的存款丧失事件。
在采访中,记者了解到,此次储户存款被盗事件似乎早已被犯法分子埋下伏笔。
储户刘全(化名)的存款是在6月28日被盗的,但后来他发现,早在那之前,自己的网银就已在异地被登录过了,但自己并未收到过银行的提示。而刘全的环境也在多位储户身上发生过,他们报告记者,他们网银被异地登录的IP地点会合在海南一带。
针对这一环境,记者致电了工商银行的客服德律风扣问,工作人员报告记者,网银异地登录提醒服务,必要客户自己守旧,如果没守旧这一业务就不会遭到提醒。而多位储户均表示,自己原本以为这项提醒业务不必要额外守旧。
值得一提的是,就此类案件发生的原因及处理措施,记者向工行发出了采访函进行扣问,但工行相关人员报告记者,由于现在还在调查中,不方便吐露更多信息,截至发稿,记者并未失掉工行的复兴。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
上一篇: 六六称遭微信屏蔽 腾讯:系统BUG
