国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

【編者按】銀行與運營商，客戶與銀行，運營商與客戶，只要留下數(shù)據(jù)痕跡，每一個環(huán)節(jié)都有可能出現(xiàn)紕漏讓攻擊者有機可乘。銀行希望提供更加便捷的小額支付服務(wù)，吸引更多的用戶使用 ；運營商希望提供更多的增值服務(wù)，從而形成長尾效應(yīng)，創(chuàng)造更高的附加值。本文并非針對工行、移動，任何銀行與運營商都有可能發(fā)生。雷鋒網(wǎng)作者shotgun是安全領(lǐng)域的專家，他希望借此來探討當下方便快捷的網(wǎng)絡(luò)支付所潛藏的安全隱患，給三方警示，從而能更好地保護我們的財物安全。

那么，在支付交易的過程中，運營商、銀行、用戶，三者之間如何協(xié)作？哪個環(huán)節(jié)會出現(xiàn)紕漏？用戶銀行卡里的錢是怎么丟的？

事件回顧（主人公視為小王）：

為了方便理解，提取這個過程的幾個節(jié)點：

2015年7月1日，小王發(fā)現(xiàn)自己被強制開通了10086的短信保管箱業(yè)務(wù)。第二天，小王就修改了自己的10086密碼。

7月6日，小王收到近10條自己在各種網(wǎng)站注冊賬號的驗證碼信息； 小王再次發(fā)現(xiàn)自己被強制開通了短信保管箱業(yè)務(wù)； 幾分鐘后，工商銀行向受害者發(fā)來短信驗證碼，顯示工商銀行卡B中一筆9990元的存款正在轉(zhuǎn)賬。

這個事件中，我進行了以下這些推論分析：

第一，用戶的手機應(yīng)該是干凈的。也就是說，沒有被植入木馬后臺。

一般來說，網(wǎng)銀攻擊者喜歡使用手機木馬來直接盜取他人的錢。

手機木馬的工作原理: 一般工作在安卓或者越獄后的蘋果手機上（近期也出現(xiàn)了不需要越獄就可以植入的蘋果木馬），利用APP或者手機操作系統(tǒng)的漏洞，不僅僅可以截獲短信、竊聽通話，甚至還可以直接拿到手機銀行的賬號和交易密碼。

手機木馬不僅可以偷取網(wǎng)銀的賬號密碼，還可以直接讀取驗證短信。換句話說，如果有手機木馬，那么是不需要通過短信保險箱來獲取驗證短信，也不需要多次嘗試取款密碼。但是從小王被強制開通了10086的短信保管箱業(yè)務(wù)可以看出，攻擊者并沒有直接在手機上讀取認證短信，所以排除了手機被植入木馬后臺的可能。

第二，攻擊者不是通過入侵銀行的服務(wù)器來竊取。

如果攻擊者拿下了銀行的服務(wù)器，那么就可以直接轉(zhuǎn)帳到自己的賬號，根本不需要短信驗證，即使有短信驗證的環(huán)節(jié)，服務(wù)器上也可以直接讀取，壓根不需要短信保管箱。就算銀行的監(jiān)管系統(tǒng)和支付安全一直都飽受質(zhì)疑，但是不可否認的是，絕大多數(shù)銀行服務(wù)器的保護措施都比個人電腦高很多，不只是一個級別的差距。所以，出現(xiàn)網(wǎng)上銀行服務(wù)器被攻破的概率相對較小。

在這個事件中，小王同樣是被強制使用短信保管箱，那么也就說明，攻擊者并非通過入侵銀行服務(wù)器來竊取的。

第三，小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個出了問題。

電腦、網(wǎng)關(guān)的運行過程如下：

在這個過程中，攻擊者只需要利用安全漏洞獲得受害人電腦或者網(wǎng)關(guān)中任意一個的權(quán)限，就可以讀取到受害人的銀行卡號、 手機號碼等等信息。但是因為銀行的網(wǎng)銀系統(tǒng)受到安全控件的保護，所以取款密碼是很難直接讀取，這就是攻擊者多次嘗試導致銀行卡被鎖的原因。

而當小王修改移動運營商的網(wǎng)站登錄密碼時，由于移動運營商的網(wǎng)站安全級別遠低于網(wǎng)銀，所以該密碼很容易被攻擊者直接竊聽到。

小王B卡的卡號在第二天就泄露，他在修改了手機的網(wǎng)站登錄密碼后，攻擊者還是可以強行打開短信保管箱。雖然我們目前還沒能檢查過小王的電腦和網(wǎng)關(guān)，但是攻擊者通過電腦木馬或者網(wǎng)關(guān)劫持獲取受害人的賬號的可能性很大，而小王的手機號碼，也很可能是通過類似的方式被獲得的。

所以說，這個環(huán)節(jié)中，小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個出了問題。根據(jù)工行做出的回應(yīng)，事發(fā)原因是不法分子使用非法手段獲取了客戶相關(guān)信息和密碼，再利用客戶信息開通了客戶手機的“短信保管箱”業(yè)務(wù)，從而獲取交易驗證短信并盜取資金。當然，銀行方面的責任不可推脫，這里就不具體展開，后面“e支付”會再說明下。

第四：移動運營商業(yè)務(wù)的安全風險控制存在漏洞。

１、短信保管箱業(yè)務(wù)本身存在的較大風險未能事先評估出來。

短信作為包含用戶隱私，甚至經(jīng)常會攜帶支付認證信息的服務(wù)，提供云保管服務(wù)應(yīng)該更加慎重。例如應(yīng)該由用戶親自前往營業(yè)廳才能夠啟用，或者至少允許用戶可以禁用該服務(wù)，直到親自前往營業(yè)廳解禁。

2、允許通過wap方式啟用短信保管箱服務(wù)，使得第三方可以強行打開該服務(wù)，從而劫持敏感的短信。

根據(jù)移動公司的回應(yīng)：“目前經(jīng)過后臺網(wǎng)絡(luò)日志顯示，不知情定制均系有人使用客戶的手機號和客服網(wǎng)站密碼，通過手機登錄客服WAP頁面開通，目前并沒有任何跡象顯示是中國移動網(wǎng)站被攻擊造成了客戶信息泄漏?！?/span>

原本“短信保管箱服務(wù)”必須本機回復短信才能夠激活，但是因為系統(tǒng)上線時未能仔細檢查老舊的wap服務(wù)接口，使得攻擊者通過wap服務(wù)繞過了本機短信驗證環(huán)節(jié)，最終導致了小王的網(wǎng)銀失竊。

正常情況下運營商一個新業(yè)務(wù)上線應(yīng)該做風險評估的。而wap是老業(yè)務(wù)，短信保管箱是新業(yè)務(wù)，運營商疏忽了這個環(huán)節(jié)，或者說，攻擊者的腦洞開得很大，運營商并沒有想到會有人用老古董業(yè)務(wù)去開新業(yè)務(wù)。如果運營商有行動，這個環(huán)節(jié)的紕漏會有很大的概率被發(fā)現(xiàn)，完全可以關(guān)掉通過wap開保管箱這條路。不過，經(jīng)過這次事件之后，運營商應(yīng)該會把wap申請關(guān)掉。

盡管就像移動說的那樣，并非“中國移動網(wǎng)站被攻擊造成了客戶信息泄漏”，但是由于運營商對wap服務(wù)的忽視也會對用戶造成財務(wù)損失。畢竟，這方面的風險本就該由運營商來管控的。

第五：銀行使用短信這種不可靠的方式來進行用戶身份認證是不妥的。

短信不僅可以通過本次案件中的短信托管服務(wù)劫持，還可能被“偽基站”、“手機木馬”劫持，因此應(yīng)該使用強度更高的U盾或者隨機密碼器。這個方法很多銀行已經(jīng)都有了，主要的問題可能還是出現(xiàn)在“e支付”，因為“e支付”是小額支付，一般還是用短信驗證。

即使必須使用短信來進行二次身份認證，也應(yīng)該將支付\轉(zhuǎn)帳金額控制在較小的額度。但是，每家銀行定義的“小額”不同。顯然工行的額度比較大：工行默認1萬，然后可以提升到2萬。

之前有用戶說“e支付”的安全隱患曝光，工行回應(yīng)“系誤解”。其實說到底還是攻擊者借助非法途徑截獲短信驗證碼，輕而易舉地盜竊存款。

通過工商銀行查明，小王總計13990元被轉(zhuǎn)入了一個叫“楊少華”的賬戶里。幾筆金額其實并不小，有一筆交易是９９９０元。

第六：用戶應(yīng)該提高安全警惕性。

1、用戶啟用銀行的網(wǎng)上支付、網(wǎng)上交易功能時應(yīng)該仔細閱讀風險提示，并做好帳戶的隔離，例如用一張金額較低的卡來專門進行網(wǎng)上交易，而存放金額較高的卡則關(guān)閉所有網(wǎng)絡(luò)支付、交易功能?；蛘甙汛箢~的活期放在貨幣基金或者定期存款里，但是這樣要多一次定期/貨基轉(zhuǎn)活期的操作。當然，這個就涉及到了銀行的業(yè)務(wù)，人行和銀監(jiān)會的監(jiān)管要求也不同，我就不展開來講。

2、不要使用弱密碼，注意定期更換密碼，也不要把密碼存放在電腦或者手機里面，不同的卡盡可能采用不同的密碼。

這個事件中，小王在第一張銀行卡頻繁被凍結(jié)之后，辦了第二張工行卡，而他還是使用原來的密碼，這種情況下，很容易導致密碼泄露。

3、在遇到銀行卡被盜刷時，我們要第一時間聯(lián)系銀行凍結(jié)相關(guān)帳戶，而不是花時間和運營商討論。

總結(jié)

在銀行和運營商角度，本質(zhì)上這還是一個新業(yè)務(wù)創(chuàng)新和風險控制之間平衡的老問題。

銀行希望提供更加便捷的小額支付服務(wù)，吸引更多的用戶使用 ；運營商希望提供更多的增值服務(wù)，從而形成長尾效應(yīng)，創(chuàng)造更高的附加值。但是業(yè)務(wù)創(chuàng)新中，信息風險控制措施未能及時跟上，銀行方面忽視了短信的不可靠性，而運營商則忽視了短信服務(wù)承載的密碼認證責任。

再加上平時對用戶的教育培訓不足，使得用戶缺少安全警惕，內(nèi)部風險控制的敏感度不足，兩家企業(yè)的電話服務(wù)中心員工也都忽視了之前的各種異常情況，最終導致了本次事件的發(fā)生。

- 熱門文章閱讀 -

• 【特寫】揭秘網(wǎng)絡(luò)女主播：百萬年薪下的暗黑成長史
  

• 砍掉3D的小米電視2S體驗：它與前代比還有這些區(qū)別
  

• 【科普】為什么安卓、Windows應(yīng)該比iPhone早一步用上RAW格式？