安全专家神级推理分钟让你了解银行卡网银被盗的隐患
银行和运营商,客户和银行,运营商和客户,只要留下数据的痕迹,每个环节都可能有瑕疵,给攻击者一个机会。银行希望提供更便捷的微支付服务,吸引更多用户;运营商希望提供更多的增值服务,从而形成长尾效应,创造更高的附加值。这篇文章不是针对工行或者中国移动的,但是它可以发生在任何银行或者运营商身上。《雷锋》的作者。com是安全领域的专家。他希望讨论方便快捷的网上支付潜在的安全风险,并警告三方,以便更好地保护我们的财产安全。
那么,在支付交易过程中,运营商、银行和用户是如何合作的呢?哪个环节会出错?用户银行卡里的钱是怎么丢的?
事件回顾(主人公视为小王):
为了便于理解,提取该过程的几个节点:
2015年7月1日,小王发现自己被强制开通短信保管箱业务。第二天,小王改了密码。
7月6日,小王在各网站上收到了自己注册账户的近10条验证码信息;小王再一次发现自己被迫打开短信保管箱业务;几分钟后,工行向受害者发送短信验证码,显示工行B的一笔9990元存款正在转账。
在这次事件中,我做了如下推论分析:
第一,用户手机要干净。也就是说还没有植入木马后台。
一般来说,网银攻击者喜欢用手机木马直接盗取别人的钱。
手机木马:工作原理越狱后一般在安卓或苹果手机上工作(最近苹果木马不用越狱也能植入)。利用APP或者手机操作系统的漏洞,不仅可以拦截短信,窃听电话,还可以直接获取手机银行的账号和交易密码。
手机木马不仅可以盗取网银账户密码,还可以直接读取和验证短信。换句话说,如果有手机木马,不需要通过短信保险箱获取验证短信,也不需要多次尝试取款密码。但从短信保管箱业务可以看出,小王是被强行打开的,攻击者并没有直接在手机上读取认证短信,因此排除了手机被植入木马后台的可能性。
第二,攻击者没有通过入侵银行的服务器进行窃取。
如果攻击者把银行的服务器拆了,不用短信验证就可以直接转账到自己的账户。即使有短信验证的链接,服务器也可以不需要短信保险箱直接读取。即使银行的监管体系和支付安全一直受到质疑,但不可否认的是,大部分银行服务器的防护措施远高于个人电脑,而不仅仅是一个级别的差别。所以网银服务器被攻破的概率比较小。
在这次事件中,小王还被迫使用了短信保险箱,这意味着攻击者并没有通过入侵银行服务器来窃取。
第三,小王的电脑和网关应该有问题。
计算机和网关的操作过程如下:
在这个过程中,攻击者只需要利用安全漏洞获得受害者计算机或网关的权限,就可以读取受害者的银行卡号码、手机号码等信息。但由于银行的网银系统受到安全控制的保护,很难直接读取取款密码,这也是攻击者多次试图造成银行卡被锁定的原因。
小王在修改移动运营商网站登录密码时,移动运营商网站的安全级别远低于网银,因此密码很容易被攻击者窃听。
小王的B卡卡号第二天就泄露了。在他更改了手机的网站登录密码后,攻击者仍然可以强行打开短信保险箱。虽然我们还没有查小王的电脑和网关,但是很有可能攻击者可以通过电脑木马或者网关劫持的方式获取受害者的账号,小王的手机号很可能也是通过类似的方式获取的。
所以在这个环节,小王的一台电脑和网关应该有问题。工行回应称,事件原因是犯罪分子利用非法手段获取客户相关信息和密码,然后利用客户信息开通客户手机短信保管箱业务,从而获取交易验证短信,盗取资金。当然,银行的责任是不能推卸的,这里就不具体进行了,电子支付后面会解释。
第四,移动运营商业务的安全风险控制存在漏洞。
1.短信保管箱业务本身的风险没有事先评估。
短信作为一种包含用户隐私甚至经常携带支付认证信息的服务,在提供云存储服务时应该更加谨慎。例如,用户应该亲自去营业厅启用服务,或者至少允许用户禁用服务,直到他们亲自去营业厅解除禁令。
2.允许通过wap启用短信保管箱服务,让第三方强行打开服务,从而劫持敏感短信。
根据移动公司的回应:目前根据后台网志,有人使用客户的手机号码和客服网站密码通过手机登录客服WAP页面。目前没有迹象表明对中国移动网站的攻击导致了客户信息的泄露。
原来短信保管箱服务只有本地机回复短信才能激活。但由于系统上线时没有仔细检查旧的wap服务界面,攻击者通过wap服务绕过了本机的短信验证链接,最终导致小王网银被盗。
在正常情况下,运营商在开展新业务时应该进行风险评估。而wap是老业务,短信保管箱是新业务,所以运营商忽略了这个环节,或者说攻击者的大脑是大开的,运营商没有想到有人会用老业务开新业务。如果运营商采取行动,那么这个环节的漏洞被发现的概率就很大,通过wap打开保险箱的道路就可以完全关闭。然而,在这个事件之后,运营商应该关闭wap应用程序。
虽然如莫比尔所说,
,并非中国移动网站被攻击造成了客户信息泄漏,但是由于运营商对wap服务的忽视也会对用户造成财务损失。毕竟,这方面的风险本就该由运营商来管控的。第五:银行使用短信这种不可靠的方式来进行用户身份认证是不妥的。
短信不仅可以通过本次案件中的短信托管服务劫持,还可能被伪基站、手机木马劫持,因此应该使用强度更高的U盾或者随机密码器。这个方法很多银行已经都有了,主要的问题可能还是出现在e支付,因为e支付是小额支付,一般还是用短信验证。
即使必须使用短信来进行二次身份认证,也应该将支付\转帐金额控制在较小的额度。但是,每家银行定义的小额不同。显然工行的额度比较大:工行默认1万,然后可以提升到2万。
之前有用户说e支付的安全隐患曝光,工行回应系误解。其实说到底还是攻击者借助非法途径截获短信验证码,轻而易举地盗窃存款。
通过工商银行查明,小王总计元被转入了一个叫杨少华的账户里。几笔金额其实并不小,有一笔交易是9990元。
第六:用户应该提高安全警惕性。
1、用户启用银行的网上支付、网上交易功能时应该仔细阅读风险提示,并做好帐户的隔离,例如用一张金额较低的卡来专门进行网上交易,而存放金额较高的卡则关闭所有网络支付、交易功能。或者把大额的活期放在货币基金或者定期存款里,但是这样要多一次定期/货基转活期的操作。当然,这个就涉及到了银行的业务,人行和银监会的监管要求也不同,我就不展开来讲。
2、不要使用弱密码,注意定期更换密码,也不要把密码存放在电脑或者手机里面,不同的卡尽可能采用不同的密码。
这个事件中,小王在第一张银行卡频繁被冻结之后,办了第二张工行卡,而他还是使用原来的密码,这种情况下,很容易导致密码泄露。
3、在遇到银行卡被盗刷时,我们要第一时间联系银行冻结相关帐户,而不是花时间和运营商讨论。
总结
在银行和运营商角度,本质上这还是一个新业务创新和风险控制之间平衡的老问题。
银行希望提供更加便捷的小额支付服务,吸引更多的用户使用;运营商希望提供更多的增值服务,从而形成长尾效应,创造更高的附加值。但是业务创新中,信息风险控制措施未能及时跟上,银行方面忽视了短信的不可靠性,而运营商则忽视了短信服务承载的密码认证责任。
再加上平时对用户的教育培训不足,使得用户缺少安全警惕,内部风险控制的敏感度不足,两家企业的电话服务中心员工也都忽视了之前的各种异常情况,最终导致了本次事件的发生。
相关阅读
标签: #网银被盗最新动态
