体验式盗刷——谁动了我的银行卡？

结合实例，浅谈用卡安全追加修改（2016/3/811:43）：看到很多值友都在探讨我被盗刷的原因，其实这个真的不好说，如何被盗刷的估计也只有等到警察破案之后才能够知道，很多值友也在说是我手机ROOT了被植入木马什么的，对这个是有可能。但是在目前这种安卓的环境下，并不是所有的手机都不需要ROOT的。要真想探究这方面的，那可今日凌波明日香| 赞211 评论309 收藏925查看详情

无意间看到本文。大致案情是，某天17:38时，值友突然收到工行卡的余额变动短信，有人查询银行卡余额，他以为是诈骗短信不予理会。后17:51时，支出682.50元，摘要：B2C。值友立即挂失，并报案。经查询明细，本笔交易支出的对手方为：网银在线（北京）科技有限公司客户备付金。经反复沟通后查明，本案是通过“网关支付”模式支付，用于购买虚拟充值产品，交易完成，无法冻结。

且网银在线（北京）科技有限公司对网关支付模式的争议交易不予赔付。

那么问题来了，什么是网关支付，这位值友的资金究竟是如何被盗？

一、网关支付模式到底是什么

我们来看看网银在线（北京）科技有限公司的解释：

网关支付是网银在线推出的基于银行卡在线支付的第三方电子支付系统，通过整合各家银行的支付接口，实现用户可直接把资金从银行卡中转账到网站账户中的支付服务，目前支持全国26家国内主流银行在线支付。致力于为国内外从事电子商务的企业或个人提供安全、快捷、稳定的支付服务。

这里拿网关支付和第三方支付（快捷支付）相比较，大家就明白了。为了逆向推导交易是如何完成的，我选择使用值友发生盗刷的工行卡来模拟被盗刷的过程。

（一）网关支付

我在京东充值10元话费的真实交易，首先是通过网关支付模式交易。

第一步选择支付方式，我选择网银支付

第二步选择支付银行，我选择工商银行

第三步选择我的储蓄卡，跳转网银支付

第四部工行网银的验证方式：短信OR 密码器/U盾/口令卡

第五步验证手机号码、卡别名或卡号后6位/ 验证U盾（值友收到的是交易验证码，所以不是通过U盾进行交易的，而是前一种交易方式，即工银E支付）

上图是U盾的交易方式，犯罪分子拿到U盾的概率几乎为0，所以应该是通过E支付的方式

第六部验证短信验证码，交易成功

最后我们来看看网关支付模式下工商银行查询到的流水是如何显示的

（二）快捷支付

第一步选择快捷支付（有开通并绑定的快捷支付银行）

第二步输入京东支付密码

第三步交易成功

查询明细显示如下：

从上述两种不同交易模式可以看出，网关支付交易，实际上身份验证是由银行完成的，第三方支付平台只是做该笔交易的信息传递者。而快捷支付的身份验证由第三方支付机构完成。

以下是网关支付的大概模式（拟人、脑补）：

京东充值：网银在线，值友又要剁手了，100元，工行！

网银在线：好咧，马上帮你转接工行！

工商银行：是卡号为6222 XXXX的值友要支付？说暗号，大妈三宝是个啥？

值友：……

工商银行：网银在线，值友身份验证通过，告诉商户我已经打钱过去了。

网银在线：好咧，马上帮你转接商家！

京东充值：钱收到了，发货！

所以，网关支付模式中，第三方支付机构只是扮演者支付指令传递的角色，网关支付的身份验证是由银行完成的，并不像快捷支付一样，由第三方支付机构验证。

二、为什么案例中的值友被盗刷

（一）工行短信支付（e支付）

两种情况

1、本案值友已经开通过e支付。E支付的支付方式为：在工行的支付页面，输入手机号码，和已经开通e支付的银行卡的卡号后6位或卡号别名，手机会收到验证码，输入验证码后，交易成功。

上述情况下，值友的短信验证码泄露了，才会导致交易发生。

2、值友并未开通e支付。那么e支付就是由犯罪分子所开。开通e支付需要验证哪些要素？

上图：

第一步：登陆网银，选择要开通e支付的账号

第二步，输入银行卡密码、手机银行绑定的手机号收到的短信验证码

第三步，开通成功

如果是上述情况盗刷，那就是值友的网银密码、银行卡密码均已泄露，才会导致交易发生。

（二）U盾/口令卡/密码器

这个不用说了，东西都在自己手上，除非主动泄露，他人能取得U盾、口令卡、密码器的几率几乎为0。

三、银行卡信息如何泄露

问题又来了，验证码明明在我手机上，怎么被他人知道了？网银密码明明是我设置的，怎么被他人知道了？

（一）被动泄露

1、撞库

张三习惯在每一个网站以”zhangsancool“作为用户名，并使用万年不变的”coolzhangsan”作为密码，所以在注册网银的时候，也选择了此账号和密码。突然有一天，张三使用的某论坛数据库泄露，张三的账号密码被犯罪分子获取。犯罪分子灵机一动，会不会张三的工行网银也用这个账号密码呢？一试就成功。

2、使用公共WIFI信息泄露

还记得今年315晚会，现场演示的使用公共wifi窃取信息么？

央视315曝光公共免费WiFi可瞬间盗取用户隐私_网易科技央视315曝光公共免费WiFi可瞬间盗取用户隐私,公共WiFi 用户隐私tech.163.com直达链接

3、不明APP获取短信权限

有些来源不明的APP，明明与短信无关系，非得开通短信权限，然后就对你的手机进行”不可描述“的事情。如果手机root了，那更加是门户大开。

4、钓鱼短信

尊敬的家长您好，孩子本次考试的成绩单已出，请点击X.com；

你老公已经和我在一起了，请放手不要破坏我们的幸福，我们的照片请点击X.com；

毕业后好久不见，今天我们几个在广东的同学聚了一下，聚会照片请点击X.com；

点击进入后，可能手机就被植入木马窃取信息了。

人生处处是套路！

（二）主动泄露

1、伪基站

明明是工行客服95588发过来的短信，说密码器过期，需要激活，还附上了链接http://www.1cbc.com.cn，怎么就出问题了？因为，工行是ICBC不是1CBC。这是山寨的网站，而且真不是95588发给你的。

2、电话诈骗

女儿被绑架、儿子住院、包裹有毒品、信用卡透支要抓人，遇到这些电话你怕不怕？会不会泄露验证码？很多人因此泄露了。

套路满满！

最后：

乱七八糟的链接还点吗？——NO！

“不可描述”的APP还给它各种权限吗？——NO！

公共WIFI还蹭吗？——NO！

验证码还给人家吗？——NO！

论坛、微博、QQ、网银还用同样的账号密码？——NO！

See you next time！