别人知道我的卡密码和获取别人短信验证码码我的资金安全吗
点击联系发帖人
时间:2017-01-17 21:17
先说个事情,算是整篇的总结: 任何人知道了别人的兴业银行信用卡号和背面的那个号码,就可以通过暴力破解卡片有效期来盗用别人的兴业银行信用卡,通过汇付天下这个平台在类似苏宁这样的网上商城进行购物,然后就可以放心的在家等着用别人的信用卡买的东西送货上门了。在此期间就算被盗人报警公安部门也不会参与,兴业银行和汇付天下还有苏宁,也不会告知被盗人任何有关交易订单号和盗卡人姓名电话之类的信息! 有兴趣知道过程的同学继续往下看 今天(日 )上午四点五十分我的手机收到一条兴业银行发来的短信,内容是: “您的兴业银行信用卡.00订单因有效期不符交易失败,如有疑问请联系商户确认或致电95561。[兴业银行]” 之后的几分钟内连续收到26条相同的短信,然后第27条短信的内容是: “您兴业银行信用卡1108北京时间13日05:04消费2000.00人民币。单笔交易满100元即可通过网银或手机银行申请分期[兴业银行]” 短短十分钟的时间,我连银行的客服都来不及打通(坐席全忙,请稍候这种话我相信所有打过银行客服电话的人都听到过吧),我的信用卡就被人盗刷了2000元人民币。而这张信用卡就在我手上,我的手机也没有收到任何交易所需要的验证码! 在此我要说明的是,我经常使用这张卡在淘宝、拍拍等商户进行消费,但是每次消费的时候我都会收到银行发来的交易确认验证码,例如我8月12号晚上九点半左右在淘宝进行的一笔交易所收到的验证码: “您兴业信用卡1108网上购物600.00元,短信口令712020。[兴业银行]” 也就是说,如果我不在网站上输入相应的验证码,是不可能产生这笔消费的!发生这个事情后我问过几个用信用卡进行网上消费的朋友,他们都回答说是每次交易都需要手机验证码这最关键的一步!并对这样被盗刷表示无法理解。 在此我产生两点疑问: 1. 为什么我的卡在手上,但是别人不需要任何手机验证码就可以进行消费 2. 为什么我的卡片有效期在被人连续试了27次连续错误的情况下还可以继续再试,这样的话恐怕任何卡片都是可以被暴力破解的吧 带着这两个疑问我先登陆了兴业银行信用卡网站,查询到 在早晨5:04的时候通过汇付天下支付平台在 苏宁电器南京网站 进行了一笔两千元整的消费。 然后我打了兴业银行的客服电话,第一个客服工号我没有来得及记下来,他告诉我这是一种只需要卡号,卡片背面号码和有效期就可以进行的正常交易,如果不是我进行的消费,这个事情需要马上报警。 然后我就到了 北京市公安局海淀分局 双榆树派出所进行报案,警察大哥说2000元以下只属于治安案件,公安部门不能参与调查 在派出所我再次打了兴业银行的客服电话,工号是401306的客服告诉我可以通过她所谓的一个后援部门 在一天之内帮我查到这笔交易的订单号,之后我打苏宁电器的客服答复是只有信用卡号无法查询订单,但是只要知道订单号就可以取消这笔订单把钱退给我。 也就是说如果银行可以及时告知我交易订单号,我通知苏宁电器,就可以挽回我的损失 之后就是漫长的等待…… 我等到了下午七点左右,兴业银行仍然没有给我任何答复,我打电话过去,是401106号客服,他给我的答复是他们所谓的后援部门周六日不上班,只能等到周一再进行查询。我告诉他我要对兴业银行进行起诉,起诉他们故意拖延时间对客户造成损失,然后电话转接到一位自称是高级专家客服的沈姓女士,她给我的答复是让我自己去打汇付天下的客服电话去查询。 汇付天下客服电话:021- 客服电话没有人接听,我上网查询了汇付天下的400客服,仍然是没有人接听。 事情到这里可以总结如下: 任何人知道了别人的兴业银行信用卡号和背面的那个号码,就可以通过暴力破解卡片有效期来盗用别人的兴业银行信用卡,通过汇付天下这个平台在类似苏宁这样的网上商城进行购物,而且正好赶上银行的相关部门休息的话,就可以放心的在家等着用别人的信用卡买的东西送货上门了。只要盗刷金额不超过五千元,在此期间就算被盗人报警公安部门也不会参与,兴业银行和汇付天下还有苏宁,也不会告知被盗人任何有关交易订单号和盗卡人姓名电话之类的信息! 关于责任认定,我不好说,有的朋友说是兴业银行跟汇付天下合伙骗取用户钱财,我不做评论,如果兴业银行无法挽回我的损失,我将会把兴业银行,汇付天下一块起诉到法庭 有类似经历的朋友随时可以跟我联系,兴业银行和汇付天下的法务部门也可以联系我索要证据或者协商解决办法 联系邮箱:1@163.cc
联系QQ:600177
QQ群:
楼主发言:1次 发图:0张 | 更多
如此这般真是令人发指
回复楼主,@烈狐128 先说个事情,算是整篇的总结: 任何人知道了别人的兴业银行信用卡号和背面的那个号码,就可以通过... ----------------------------- 怎么又是汇付天下,我上次淘宝被骗,也跟这个汇付有关系,反正钱是要不回来了
请遵守言论规则,不得违反国家法律法规回复(Ctrl+Enter)一条短信致倾家荡产?手机验证码安全吗_网易科技
一条短信致倾家荡产?手机验证码安全吗
用微信扫码二维码
分享至好友和朋友圈
(原标题:“一个‘退订’短信倾家荡产事件”复盘)
■IT时报 吴雨欣当手机中的应用越来越多、绑定的服务也越来越多时,谁会想到一条短信引发的连锁反应,能让一个人在一夜间倾家荡产?近日,北京许先生的遭遇《,请你告诉我,为什么一条短信就能骗走我所有的财产?》在网上引起轩然大波,中国移动、中国银行、中国工商银行、招商银行、、钱包纷纷牵扯其中。当《IT时报》记者通过许先生描述的被骗经过,试着重走幕后黑手攻击之路后才发现,这根链条风谲云诡、环环紧扣,国内地下数据交易市场的猖獗使用户信息严重泄露;银行批量发卡、办卡审核不严的同时,网银系统在线验证身份信息薄弱;第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时,一个精通各项业务环节的骗子粉墨登场,利用运营商网上自助换卡,把自己变成用户,开始一场肆无忌惮的掠夺。复盘一:远程可自助换卡 备卡或从内部流出4月8日,许先生在下班路上收到一条10086发来的短信,提示他开通了某杂志半年的手机报服务,在许先生回复退订无效后,又收到一条类似于官方号码发来的退订需输入“取消+验证码”的短信和10086发来的USIM验证码短信。为了退订业务,许先生没多想就回复了6位验证码。之后,手机的SIM卡就一直处于无服务状态。许先生哪里会想到,这是骗子精心设下的局,自己的号码订了增值业务是真的,10086第一次发来的退订信息和验证码也是真的,但都是骗子进入自己网厅后提出的请求。那条输入“取消+验证码”的短信是假的,这时骗子正在远程申请SIM卡业务的“备卡激活”,短信验证码就是确认换卡的关键步骤。在接下来的几个小时里,骗子用许先生的SIM卡接收短信验证码,相继攻破他的邮箱、支付宝及网银,并为用户绑定了百度钱包,盗取其资金。在这场连环骗术中,除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外,中国移动网上自助换卡业务流程设计也成为众矢之的。“在整个骗局中,骗子利用了正当的业务规则,外加受害人对相关业务不熟悉骗取验证码,行骗手段具有可复制性,但如果运营商对业务规则进行修改,加强认证,骗子无法获取验证码,则攻击就会失败。”天眼实验室的工作人员告诉《IT时报》记者。如何才能异地自助换卡?中国移动北京公司的客服人员告诉《IT时报》记者,办理人需在网站上申请一张备卡,登记邮寄地址后送卡到家,但地址仅限于北京,外省市不可享受此项服务。但据记者了解,此次事件中,骗子的IP地址在海南海口,而且网上申请备卡除需填写申请姓名、手机号、收货地址外,依然需要短信验证码,既然此前许先生并未收到过申请备卡的短信验证码,那骗子的备卡是从哪来的呢?“骗子可能通过内部渠道拿到了备卡,也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露,在手机卡未严格执行实名制前,不用本人的身份证也可以领卡。记者在页面中输入“USIM卡”,出现了浙江移动、上海移动等地的4G USIM卡,这些备卡均可用于短信自助换卡,店主告诉《IT时报》记者:“虽是短信换卡的备卡,异地网上自助换卡也可以试试,但不保证成功。”复盘二:手机验证码可修改网银密码“这是社会工程学诈骗的一种,也是欺骗性攻击,利用补卡换卡,骗子在与许先生做心理上的较量,此外,骗子对许先生做过调查,已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息,只缺最关键的一步,就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。短信验证码有多重要?以登录支付宝为例,正常情况下,若有人在用户不常用设备上登录支付宝,用户会收到短信提醒。即使不知道登录密码,但已经给用户换卡成功的骗子,可以通过短信验证码、证件号码来重置密码。在此次事件中,因为已经拥有许先生的SIM卡,收到异常登录短信提醒的是骗子自己,另从许先生的手机支付宝依然与骗子保持同步登录状态来看,骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码,这也就说明,许先生的支付宝号及密码可能早已泄露,被骗子掌握。记者又尝试以找回登录密码的方式登录银行网银,虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理,但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合,并可以连续尝试输入10次。在这样的验证机制下,骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。值得注意的是,对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的邮箱,用邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书,安装过程依然需要输入随机验证码及短信验证码,而被骗子关联的百度钱包,有2小时内转账的超级转账功能且转账不收手续费。在百度钱包里添加银行卡,需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记,还可以通过短信验证码找回。短短几个小时里,对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱,到最后,许先生什么也没抢回来。复盘三:余额1000元的支付宝账号密码可卖80元“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息,还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向《IT时报》记者介绍,日常生活中,用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号,如果该酒店管理不严或系统存在漏洞,用户会在一瞬间泄露三个关键信息。此外,某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购,形成隐蔽而庞大的市场,这早已不是秘密。菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称,实际均是用于信息买卖的QQ群,为了增加隐蔽性,群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。在记者加进的一个QQ群中,信息被称为“料”,相较于售价几毛钱的身份证、手机信息,兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”,就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号,余额1000元以下的支付宝售价80元、元售价150元,额度越高,售价越高,大家均默契地先付款后拿“料”,拒绝做数据测试。当被记者追问为什么不自己操作时,一个卖主回答:“风险太高,一个IP操作多了会被查。”在这个讲究“十年打工一场梦,人无横财不富裕,马无夜草不肥”的群里,快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全,大家都等着靠做偏门生意成富翁。“换卡攻击没有什么技术难度,关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍,黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头,免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。在《2015中国网站安全报告》中,据补天平台统计显示,补天平台中的泄露信息漏洞,共有4个漏洞可以造成1亿条以上的个人信息泄露,可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。2015年共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能或已造成泄露的个人信息量高达55.3亿条。行业对比方面,从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个泄露信息漏洞可能导致961万条个人信息泄露,但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。记者观察不能把安全只建立在手机验证码上“经济发达地区往往会成为通信网络诈骗的重灾区,但通讯诈骗不是单方面某一人的责任,现在市面上依然有未实名的手机卡,银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”某市公安局反通信网络诈骗中心的工作人员告诉《IT时报》记者。2015年,该市通信网络诈骗案件2万余起,涉案金额近4亿元,同比上升达21%。为打击电信诈骗,该市成立了反通信网络诈骗中心,三大运营商及六大商业银行均参与其中,每单位派驻3人在公安局值班。除了谁该为通讯诈骗负责外,建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗,总是会把矛头对准运营商。许先生的遭遇,中国移动确实存在管理及业务流程设计上的疏忽,但银行的实名制要比手机卡实名更具天然优势,也能控制得更好,在这种情况下,用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障,实际是在降低安全性。” 独立电信分析师付亮说。如今,因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障,可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时,大家似乎忽略了,操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。“各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证,确实是依赖于手机卡实名制,能大大降低非法注册,但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时,有黑客攻击系统,将错误指令改成正确指令,这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉《IT时报》记者。
但对于手机验证码成为与资金相关联应用的安全性问题,该高管颇为无奈地说:“目前,除了短信验证码,你认为还有什么其他可以大范围应用的验证方式吗?”据了解,截至4月13日,支付宝已先行赔付了许先生在其平台上流失的一万多元资金,百度钱包承诺赔付但仍需提交材料走流程,被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示:“该用户的网上银行转账功能在此之前已由本人开通,后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。中国移动的调查结果则显示,自助换卡业务办理流程正常,会积极配合相关部门,提供相关证据,进行后续查证。
本文来源:IT时报
责任编辑:王凤枝_NT2541
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:
:
:
热门影院:
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈新浪广告共享计划>
广告共享计划
微信钱包的重大安全隐患:别人只需一个验证码就能卷走你银行卡里的钱!
使用过微信钱包的朋友一定知道,绑定自己银行卡的时候,只要填写银行卡号、姓名、身份证号、预留的手机号,然后再填入该手机收到的验证码,就能绑定银行卡,如此就开通了银行卡的微信支付功能。
同样地,只要掌握了别人银行卡的信息资料,仅仅只需要一个手机验证码,你的微信钱包就能绑定别人的银行卡。这时候,别人的银行卡就相当于成了自己的银行卡,就能向微信钱包充值,这就相当于转走了别人银行卡里面的资金。因为,无需银行卡的支付密码,也不再需要手机验证码,只要使用微信钱包的支付密码,就能向微信钱包充值。
这是千真万确的事情,本人最近尝试使用微信钱包的时候,就是如上所述绑定自己的银行卡的。尝试向微信钱包的“零钱”充值100元,只需填入微信钱包的支付密码,就充值成功了,无需银行卡的支付密码,也不再需要预留手机的验证码。
至于绑定别人的银行卡,上述情况也得到了验证。本人的侄儿夫妻俩在法国留学,侄媳小董在搞婴幼儿奶粉等商品代购,想将自己微信钱包里面的数千元钱提现转到自己的银行卡里面,但当时在国内办理银行卡的时候,预留的手机号是公公使用的手机,现在想把银行卡绑定到微信钱包,却因为公公不会查看手机短信、不能提供收到的验证码,而导致小董不能绑定自己的银行卡开通微信支付功能。于是,我就让小董尝试绑定我的银行卡,我帮她微信钱包提现,然后再将收到的款打到她的银行卡。结果,我的银行卡被她微信钱包绑定成功,并成功提现数千元到了我的银行卡上。同时,我让她尝试用绑定的我的银行卡向她的微信钱包充值1元,结果也充值成功了,我这个持卡人都神不知鬼不觉!这就是说,她的微信支付可以随意使用我的银行卡了。
由此可见,一个银行卡账号,可以同时被多个不同人的手机、不同微信钱包绑定。
如此,微信钱包严重的安全问题就摆在我们的眼前了:如今,骗子们通过各种渠道都能很方便地掌握别人的银行卡信息,再通过网聊、交友等方式,很容易就能取得对方的信任,无论是通过忽悠也好,还是通过病毒木马也罢,获取对方手机收到的验证码,就能绑定对方的银行卡,利用微信支付功能转走银行卡里的钱。
类似地,在朋友、室友、同事之间,如果有人心怀不轨,在掌握了对方银行卡信息的情况下,通过借用手机打电话、玩游戏,或者在对方暂时离开自己手机的时候乘机使用其手机,就能分分钟绑定对方的银行卡开通微信支付,然后立马删除验证码短信,对方神不知鬼不觉的,事后就可以转走对方银行卡的钱。
另外,如果开通了微信支付的人丢失了手机,捡到手机的人如果有办法获取其微信支付密码,他也能再绑定自己的银行卡,轻松转走别人微信钱包或者银行卡里面的钱。
这只是本人了解、尝试知道的微信钱包的情况,QQ钱包、支付宝钱包等等的情况如何,就不得而知了。
所以啊,一定要保护好自己银行卡的信息资料(卡号、户名、身份证号、预留手机号),同时再看管好自己的手机,以免丢失或者被人临时盗用,从而避免别人盗用自己的银行卡。否则,即使银行卡在你的手里,其支付密码也未泄露,也难免别人通过微信钱包绑定银行卡开通微信支付功能,从而卷走你的钱款。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。///支付宝的手机短信验证码告诉别人安不安全?
为您推荐:&&
支付宝的手机短信验证码告诉别人安不安全?
作者:网络&&&&&&&&
来源:网络&&&&&&&&
阅读量:755&&&&&&&&
& 看到有人在网络中问“支付宝的手机短信验证码告诉别人安不安全”,笔者是相当的担心的,在支付宝密码忘记的适合,可以通过验证码找回密码,而如果你将你的支付宝密码给了别人,也就是说,别人是可以在短时间内将你的手机验证码拿走的,在这种情形下,带来的影响就是你支付宝的最后一道关卡被关闭了,验证码泄露了之后,你的资金安全将会受到非常大影响,将你的资金偷走,就是最坏的结果。& 骗子在盗取你支付宝账户中的资金的时候,最简单的方法就是利用你的支付宝验证码,通常这些是发生在你网购的过程中,如果你刚下完订单,就收到了一条短信“网络异常,您的订单出现问题,请尽快输入手机验证码,我们帮您解决问题”,请记得一定不要将你的验证码告诉别人,否则在接下来的几分钟里,你就会发现支付宝账户中的资金被盗走了,接下来影响你的可能还有银行卡资金的安全。& 对于经常网购的人群来说,本身对于支付宝和淘宝的流程比较熟悉了,一般不会掉进骗子的圈套中,而一些不经常会购物的用户,他们往往会在骗子的诱骗下一步步的上当,支付宝的手机短信验证码告诉别人安不安全?答案一定是不安全的。用户只要知道了你的手机号码的验证码,就可能盗走你的钱,或者是修改你的支付宝密码,如果你的支付宝绑定了银行卡,他们可以从银行卡中将钱转移出来。& 只要手机号收取到了一些并不是自己操作的支付宝验证码,谁也不能告诉,并且最好及时的冻结支付宝账户,避免你的资金被坏人盗窃走。网络支付方便了人们的生活,也确确实实给人们的生活带来了不少的影响,所以任何时候都要慎重。& 免责声明:本文章与图片部分来源于互联网,88金融超市只提供参考并不构成任何投资及应用建议。(如有涉及到版权问题请与本站联系,本站将删除其内容。)更多关注微信公众号“88财富”。
1000个起投
最高可以使用8888元88币
400-165-1818
关&注&我&们
共享理财乐趣
扫一扫下载理财APP
友情链接:
400-165-1818}
联系QQ:600177
QQ群:
楼主发言:1次 发图:0张 | 更多
如此这般真是令人发指
回复楼主,@烈狐128 先说个事情,算是整篇的总结: 任何人知道了别人的兴业银行信用卡号和背面的那个号码,就可以通过... ----------------------------- 怎么又是汇付天下,我上次淘宝被骗,也跟这个汇付有关系,反正钱是要不回来了
请遵守言论规则,不得违反国家法律法规回复(Ctrl+Enter)一条短信致倾家荡产?手机验证码安全吗_网易科技
一条短信致倾家荡产?手机验证码安全吗
用微信扫码二维码
分享至好友和朋友圈
(原标题:“一个‘退订’短信倾家荡产事件”复盘)
■IT时报 吴雨欣当手机中的应用越来越多、绑定的服务也越来越多时,谁会想到一条短信引发的连锁反应,能让一个人在一夜间倾家荡产?近日,北京许先生的遭遇《,请你告诉我,为什么一条短信就能骗走我所有的财产?》在网上引起轩然大波,中国移动、中国银行、中国工商银行、招商银行、、钱包纷纷牵扯其中。当《IT时报》记者通过许先生描述的被骗经过,试着重走幕后黑手攻击之路后才发现,这根链条风谲云诡、环环紧扣,国内地下数据交易市场的猖獗使用户信息严重泄露;银行批量发卡、办卡审核不严的同时,网银系统在线验证身份信息薄弱;第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时,一个精通各项业务环节的骗子粉墨登场,利用运营商网上自助换卡,把自己变成用户,开始一场肆无忌惮的掠夺。复盘一:远程可自助换卡 备卡或从内部流出4月8日,许先生在下班路上收到一条10086发来的短信,提示他开通了某杂志半年的手机报服务,在许先生回复退订无效后,又收到一条类似于官方号码发来的退订需输入“取消+验证码”的短信和10086发来的USIM验证码短信。为了退订业务,许先生没多想就回复了6位验证码。之后,手机的SIM卡就一直处于无服务状态。许先生哪里会想到,这是骗子精心设下的局,自己的号码订了增值业务是真的,10086第一次发来的退订信息和验证码也是真的,但都是骗子进入自己网厅后提出的请求。那条输入“取消+验证码”的短信是假的,这时骗子正在远程申请SIM卡业务的“备卡激活”,短信验证码就是确认换卡的关键步骤。在接下来的几个小时里,骗子用许先生的SIM卡接收短信验证码,相继攻破他的邮箱、支付宝及网银,并为用户绑定了百度钱包,盗取其资金。在这场连环骗术中,除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外,中国移动网上自助换卡业务流程设计也成为众矢之的。“在整个骗局中,骗子利用了正当的业务规则,外加受害人对相关业务不熟悉骗取验证码,行骗手段具有可复制性,但如果运营商对业务规则进行修改,加强认证,骗子无法获取验证码,则攻击就会失败。”天眼实验室的工作人员告诉《IT时报》记者。如何才能异地自助换卡?中国移动北京公司的客服人员告诉《IT时报》记者,办理人需在网站上申请一张备卡,登记邮寄地址后送卡到家,但地址仅限于北京,外省市不可享受此项服务。但据记者了解,此次事件中,骗子的IP地址在海南海口,而且网上申请备卡除需填写申请姓名、手机号、收货地址外,依然需要短信验证码,既然此前许先生并未收到过申请备卡的短信验证码,那骗子的备卡是从哪来的呢?“骗子可能通过内部渠道拿到了备卡,也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露,在手机卡未严格执行实名制前,不用本人的身份证也可以领卡。记者在页面中输入“USIM卡”,出现了浙江移动、上海移动等地的4G USIM卡,这些备卡均可用于短信自助换卡,店主告诉《IT时报》记者:“虽是短信换卡的备卡,异地网上自助换卡也可以试试,但不保证成功。”复盘二:手机验证码可修改网银密码“这是社会工程学诈骗的一种,也是欺骗性攻击,利用补卡换卡,骗子在与许先生做心理上的较量,此外,骗子对许先生做过调查,已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息,只缺最关键的一步,就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。短信验证码有多重要?以登录支付宝为例,正常情况下,若有人在用户不常用设备上登录支付宝,用户会收到短信提醒。即使不知道登录密码,但已经给用户换卡成功的骗子,可以通过短信验证码、证件号码来重置密码。在此次事件中,因为已经拥有许先生的SIM卡,收到异常登录短信提醒的是骗子自己,另从许先生的手机支付宝依然与骗子保持同步登录状态来看,骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码,这也就说明,许先生的支付宝号及密码可能早已泄露,被骗子掌握。记者又尝试以找回登录密码的方式登录银行网银,虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理,但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合,并可以连续尝试输入10次。在这样的验证机制下,骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。值得注意的是,对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的邮箱,用邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书,安装过程依然需要输入随机验证码及短信验证码,而被骗子关联的百度钱包,有2小时内转账的超级转账功能且转账不收手续费。在百度钱包里添加银行卡,需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记,还可以通过短信验证码找回。短短几个小时里,对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱,到最后,许先生什么也没抢回来。复盘三:余额1000元的支付宝账号密码可卖80元“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息,还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向《IT时报》记者介绍,日常生活中,用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号,如果该酒店管理不严或系统存在漏洞,用户会在一瞬间泄露三个关键信息。此外,某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购,形成隐蔽而庞大的市场,这早已不是秘密。菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称,实际均是用于信息买卖的QQ群,为了增加隐蔽性,群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。在记者加进的一个QQ群中,信息被称为“料”,相较于售价几毛钱的身份证、手机信息,兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”,就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号,余额1000元以下的支付宝售价80元、元售价150元,额度越高,售价越高,大家均默契地先付款后拿“料”,拒绝做数据测试。当被记者追问为什么不自己操作时,一个卖主回答:“风险太高,一个IP操作多了会被查。”在这个讲究“十年打工一场梦,人无横财不富裕,马无夜草不肥”的群里,快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全,大家都等着靠做偏门生意成富翁。“换卡攻击没有什么技术难度,关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍,黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头,免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。在《2015中国网站安全报告》中,据补天平台统计显示,补天平台中的泄露信息漏洞,共有4个漏洞可以造成1亿条以上的个人信息泄露,可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。2015年共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能或已造成泄露的个人信息量高达55.3亿条。行业对比方面,从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个泄露信息漏洞可能导致961万条个人信息泄露,但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。记者观察不能把安全只建立在手机验证码上“经济发达地区往往会成为通信网络诈骗的重灾区,但通讯诈骗不是单方面某一人的责任,现在市面上依然有未实名的手机卡,银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”某市公安局反通信网络诈骗中心的工作人员告诉《IT时报》记者。2015年,该市通信网络诈骗案件2万余起,涉案金额近4亿元,同比上升达21%。为打击电信诈骗,该市成立了反通信网络诈骗中心,三大运营商及六大商业银行均参与其中,每单位派驻3人在公安局值班。除了谁该为通讯诈骗负责外,建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗,总是会把矛头对准运营商。许先生的遭遇,中国移动确实存在管理及业务流程设计上的疏忽,但银行的实名制要比手机卡实名更具天然优势,也能控制得更好,在这种情况下,用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障,实际是在降低安全性。” 独立电信分析师付亮说。如今,因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障,可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时,大家似乎忽略了,操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。“各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证,确实是依赖于手机卡实名制,能大大降低非法注册,但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时,有黑客攻击系统,将错误指令改成正确指令,这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉《IT时报》记者。
但对于手机验证码成为与资金相关联应用的安全性问题,该高管颇为无奈地说:“目前,除了短信验证码,你认为还有什么其他可以大范围应用的验证方式吗?”据了解,截至4月13日,支付宝已先行赔付了许先生在其平台上流失的一万多元资金,百度钱包承诺赔付但仍需提交材料走流程,被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示:“该用户的网上银行转账功能在此之前已由本人开通,后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。中国移动的调查结果则显示,自助换卡业务办理流程正常,会积极配合相关部门,提供相关证据,进行后续查证。
本文来源:IT时报
责任编辑:王凤枝_NT2541
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:
:
:
热门影院:
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈新浪广告共享计划>
广告共享计划
微信钱包的重大安全隐患:别人只需一个验证码就能卷走你银行卡里的钱!
使用过微信钱包的朋友一定知道,绑定自己银行卡的时候,只要填写银行卡号、姓名、身份证号、预留的手机号,然后再填入该手机收到的验证码,就能绑定银行卡,如此就开通了银行卡的微信支付功能。
同样地,只要掌握了别人银行卡的信息资料,仅仅只需要一个手机验证码,你的微信钱包就能绑定别人的银行卡。这时候,别人的银行卡就相当于成了自己的银行卡,就能向微信钱包充值,这就相当于转走了别人银行卡里面的资金。因为,无需银行卡的支付密码,也不再需要手机验证码,只要使用微信钱包的支付密码,就能向微信钱包充值。
这是千真万确的事情,本人最近尝试使用微信钱包的时候,就是如上所述绑定自己的银行卡的。尝试向微信钱包的“零钱”充值100元,只需填入微信钱包的支付密码,就充值成功了,无需银行卡的支付密码,也不再需要预留手机的验证码。
至于绑定别人的银行卡,上述情况也得到了验证。本人的侄儿夫妻俩在法国留学,侄媳小董在搞婴幼儿奶粉等商品代购,想将自己微信钱包里面的数千元钱提现转到自己的银行卡里面,但当时在国内办理银行卡的时候,预留的手机号是公公使用的手机,现在想把银行卡绑定到微信钱包,却因为公公不会查看手机短信、不能提供收到的验证码,而导致小董不能绑定自己的银行卡开通微信支付功能。于是,我就让小董尝试绑定我的银行卡,我帮她微信钱包提现,然后再将收到的款打到她的银行卡。结果,我的银行卡被她微信钱包绑定成功,并成功提现数千元到了我的银行卡上。同时,我让她尝试用绑定的我的银行卡向她的微信钱包充值1元,结果也充值成功了,我这个持卡人都神不知鬼不觉!这就是说,她的微信支付可以随意使用我的银行卡了。
由此可见,一个银行卡账号,可以同时被多个不同人的手机、不同微信钱包绑定。
如此,微信钱包严重的安全问题就摆在我们的眼前了:如今,骗子们通过各种渠道都能很方便地掌握别人的银行卡信息,再通过网聊、交友等方式,很容易就能取得对方的信任,无论是通过忽悠也好,还是通过病毒木马也罢,获取对方手机收到的验证码,就能绑定对方的银行卡,利用微信支付功能转走银行卡里的钱。
类似地,在朋友、室友、同事之间,如果有人心怀不轨,在掌握了对方银行卡信息的情况下,通过借用手机打电话、玩游戏,或者在对方暂时离开自己手机的时候乘机使用其手机,就能分分钟绑定对方的银行卡开通微信支付,然后立马删除验证码短信,对方神不知鬼不觉的,事后就可以转走对方银行卡的钱。
另外,如果开通了微信支付的人丢失了手机,捡到手机的人如果有办法获取其微信支付密码,他也能再绑定自己的银行卡,轻松转走别人微信钱包或者银行卡里面的钱。
这只是本人了解、尝试知道的微信钱包的情况,QQ钱包、支付宝钱包等等的情况如何,就不得而知了。
所以啊,一定要保护好自己银行卡的信息资料(卡号、户名、身份证号、预留手机号),同时再看管好自己的手机,以免丢失或者被人临时盗用,从而避免别人盗用自己的银行卡。否则,即使银行卡在你的手里,其支付密码也未泄露,也难免别人通过微信钱包绑定银行卡开通微信支付功能,从而卷走你的钱款。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。///支付宝的手机短信验证码告诉别人安不安全?
为您推荐:&&
支付宝的手机短信验证码告诉别人安不安全?
作者:网络&&&&&&&&
来源:网络&&&&&&&&
阅读量:755&&&&&&&&
& 看到有人在网络中问“支付宝的手机短信验证码告诉别人安不安全”,笔者是相当的担心的,在支付宝密码忘记的适合,可以通过验证码找回密码,而如果你将你的支付宝密码给了别人,也就是说,别人是可以在短时间内将你的手机验证码拿走的,在这种情形下,带来的影响就是你支付宝的最后一道关卡被关闭了,验证码泄露了之后,你的资金安全将会受到非常大影响,将你的资金偷走,就是最坏的结果。& 骗子在盗取你支付宝账户中的资金的时候,最简单的方法就是利用你的支付宝验证码,通常这些是发生在你网购的过程中,如果你刚下完订单,就收到了一条短信“网络异常,您的订单出现问题,请尽快输入手机验证码,我们帮您解决问题”,请记得一定不要将你的验证码告诉别人,否则在接下来的几分钟里,你就会发现支付宝账户中的资金被盗走了,接下来影响你的可能还有银行卡资金的安全。& 对于经常网购的人群来说,本身对于支付宝和淘宝的流程比较熟悉了,一般不会掉进骗子的圈套中,而一些不经常会购物的用户,他们往往会在骗子的诱骗下一步步的上当,支付宝的手机短信验证码告诉别人安不安全?答案一定是不安全的。用户只要知道了你的手机号码的验证码,就可能盗走你的钱,或者是修改你的支付宝密码,如果你的支付宝绑定了银行卡,他们可以从银行卡中将钱转移出来。& 只要手机号收取到了一些并不是自己操作的支付宝验证码,谁也不能告诉,并且最好及时的冻结支付宝账户,避免你的资金被坏人盗窃走。网络支付方便了人们的生活,也确确实实给人们的生活带来了不少的影响,所以任何时候都要慎重。& 免责声明:本文章与图片部分来源于互联网,88金融超市只提供参考并不构成任何投资及应用建议。(如有涉及到版权问题请与本站联系,本站将删除其内容。)更多关注微信公众号“88财富”。
1000个起投
最高可以使用8888元88币
400-165-1818
关&注&我&们
共享理财乐趣
扫一扫下载理财APP
友情链接:
400-165-1818}
我要回帖
更多关于 拦截别人短信验证码 的文章
更多推荐
- ·想做早餐加盟店十大品牌 盟,如何?
- ·企业办公楼更换电梯老化更换谁出钱需要资本化吗?
- ·做饺子加盟连锁店哪家好现在是个好时机吗?
- ·平安车险理赔寿险的理赔通常需要多长时间才能完成?
- ·现在是否适合考虑饺子水饺加盟连锁品牌排行榜前十名?
- ·事业单位辞职违约金在编人员辞职需要交纳违约金么
- ·我也不是针对谁 阴界之门网易阴阳师独眼小僧僧该不该死个那个啥
- ·想学个手艺。学厨师好,还是学蛋糕西点好?哪有前途?很迷茫😭有干过这行的老师傅吗?给
- ·嘉定孔庙怎么走算是寺庙么
- ·政治分析题中有一类题型是“如何理解,”神经官能症该怎样治答
- ·佛的肉鬓怎么出现的,被人八十八佛法器敲打符号的么?
- ·解放军对越南女兵怎么吊打越南兵
- ·基层工作经验证明模板历怎么证明
- ·贵阳鼎恒贵阳阳光招投标网公司
- ·求CNC加工铝料的常用转速与cnc进给量?
- ·中跃建设在烟台建设工程信息网有项目吗
- ·巨丰投顾无锡分公司在无锡有分公司吗?
- ·空银行卡借给别人后果朋友对我有什么影响么
- ·别人知道我的卡密码和获取别人短信验证码码我的资金安全吗
- ·lcf总裁刘福江简历116系统到底什么时候开盘?
- ·开网店前的准备工作都需要做哪些准备工作
- ·我们厂有两油炉,一个两吨的,一个二十吨,另外还有两个燃油热风炉炉都是烧煤炭的这个环保部门准许不
- ·江苏省溧阳市竹箦镇埭头镇保健品店有吗怎么走在哪里
- ·广告传媒猎头哪家好,广告传媒猎头公司哪家好最新排名
- ·2年前成立公司认缴出资时间100万,实际缴纳40万,认缴期10年,没生意了今年想关
- ·大家好:我想问!我自己本人在民间给朋友借钱!钱不是我自己想得太多用!钱是我朋友它自己用…它自几做担保人
- ·买净水器哪个牌子好机品牌哪个好
- ·大学生创业 王者荣耀容易犯的错误什么错误
- ·鸡泽孤儿补贴2017年一月份补贴款什么时候银行转账多久到账2017
- ·微化妆品微商分销系统统可以帮助微商做什么
- ·阿里巴巴马云多少股份62亿控股文化中国,马云都买下了啥
- ·民生信用卡白金卡额度银联个人金卡额度是多少
- ·如何计算工厂车间提高工作效率的设备效率
- ·可以在异地去银行卡可以异地销户吗查询吗?
