返回主站: 张垣生活网
账号注册 登陆
便民服务

工行 “e支付”被遭盗刷因短信验证

发布时间:2015-07-29 09:38 | 来源:张家口新闻网 | 编辑:小月 | 阅读:203 次 | 评论:0

近日,据媒体报道,6月中旬到7月上旬,多名北京地区工行储户遭遇存款被盗刷事件——不法分子偷偷开通了工行仅凭借短信验证码就能快速交易的“e支付”业务。同时,不法分子利用非法途径截获储户短信验证码,从而盗窃存款。

  震惊!

  “e支付”被遭盗刷

  因短信验证?

  近日,据媒体报道,6月中旬到7月上旬,多名北京地区工行储户遭遇存款被盗刷事件——不法分子偷偷开通了工行仅凭借短信验证码就能快速交易的“e支付”业务。同时,不法分子利用非法途径截获储户短信验证码,从而盗窃存款。又是在用户不知情、银行卡没有丢失的情况下,卡里的钱“不翼而飞”。

  对此,有广州市民担心被骗,这一盗刷手法能够如何防范?

  回应:

  业务正常 移动则暂停

  据记者了解,前述报道刊出后,工行随即发表了公告,否认了工行e支付存在漏洞,称“工行快捷支付曝重大漏洞”系误解,工银e支付业务运营正常,也未发生泄露客户信息的情况。工行称,事发原因是不法分子使用非法手段获取了客户的相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交易验证短信并盗取资金。

  “e支付”是工行小额支付快捷业务,每日累计支付的最大限额是1万元,每月5万元。开通时需要验证客户预留在工行的密码和手机号码,支付时需要验证工行向客户预留手机发送的短信验证码。

  北京移动则回应,已经与相关用户、银行取得联系,查找风险漏洞、解决问题,并配合警方调查取证。如查实属于移动业务的问题,“愿意承担赔偿责任”。

  该运营商还表示,为了用户信息安全,目前已暂停了短信保管箱业务的短信查询等功能,并正在对此业务进行优化,优化内容包括“不保存银行下发的短信”、“只能查询24小时前企业短信”、“需要动态密码验证”等,所有业务优化会在8月底前完成。

  风险:

  伪基站发信息植入病毒

  据了解,目前多数手机银行都采取登录密码+支付密码+短信验证码三重防护,其实容易被黑客攻破,如此前多次报道的诈骗短信+钓鱼网址的方式就可以。

  最常见的手段之一:通过伪基站冒充95588发送诈骗短信,要求用户登录一个钓鱼网址,登上后用户发现页面设计与银行完全一样,于是放松警惕在该钓鱼网页上输入了账号、密码、支付密码等内容。

  与此同时,用户手机被偷偷安装了一个支付病毒,可以窃取用户短信内容。利用钓鱼网页上窃取来的账号密码登上网银,然后发起转账,再通过支付病毒拦截短信验证码,并将验证码立即发送到黑客手机,利用该验证码完成转账。

  最常见的手段之二:利用各种垃圾短信植入链接,一旦用户点击,就将病毒“种”在手机上,从而拦截正常的短信,然后转走用户与手机捆绑的账户上的资金。快捷支付甚至不需开通网银,只需提供银行卡号、户名、手机号码等,银行验证手机号码正确性后,第三方支付发送动态口令到用户手机号上,用户输入正确的手机动态口令,即可完成支付。

  应对:

  指纹识别替代短信验证

  安全专家建议,可以安装市场主流的安全软件如手机管家、手机卫士等App。同时,在使用网上银行时,建议通过安全浏览器如UC浏览器、猎豹浏览器等,通过拦截功能拦截诈骗短信,识别钓鱼网址,同时查杀手机支付病毒。

  最值得留意的是,手机用户千万不要在手机上点开陌生网址链接,保持高度警惕。另外,安全专家陆兆华呼吁各大银行尽快研究更安全、可靠的验证方式替代短信验证码。目前,呼声较高的有指纹验证、虹膜验证等生物识别方式,相较短信更具有保密性。

顶部 收藏 打印
表情

注册 | 登陆

最新发布新闻

阅读排行榜

欢迎登陆 张垣生活网

关闭

| 企业(个人)用户登录

  • 验证码
还没有52zjk账号?
或使用合作网站帐号登录
QQ账号登陆 微博账号登陆