体验式盗刷——谁动了我的银行卡?

2017-04-18 14:28:57 180点赞 604收藏 193评论
结合实例,浅谈用卡安全追加修改(2016/3/811:43):看到很多值友都在探讨我被盗刷的原因,其实这个真的不好说,如何被盗刷的估计也只有等到警察破案之后才能够知道,很多值友也在说是我手机ROOT了被植入木马什么的,对这个是有可能。但是在目前这种安卓的环境下,并不是所有的手机都不需要ROOT的。要真想探究这方面的,那可今日凌波明日香| 211 评论309 收藏925查看详情


无意间看到本文。大致案情是,某天17:38时,值友突然收到工行卡的余额变动短信,有人查询银行卡余额,他以为是诈骗短信不予理会。后17:51时,支出682.50元,摘要:B2C。值友立即挂失,并报案。经查询明细,本笔交易支出的对手方为:网银在线(北京)科技有限公司客户备付金。经反复沟通后查明,本案是通过“网关支付”模式支付,用于购买虚拟充值产品,交易完成,无法冻结。

且网银在线(北京)科技有限公司对网关支付模式的争议交易不予赔付。

那么问题来了,什么是网关支付,这位值友的资金究竟是如何被盗?


一、网关支付模式到底是什么

我们来看看网银在线(北京)科技有限公司的解释:

网关支付是网银在线推出的基于银行卡在线支付的第三方电子支付系统,通过整合各家银行的支付接口,实现用户可直接把资金从银行卡中转账到网站账户中的支付服务,目前支持全国26家国内主流银行在线支付。致力于为国内外从事电子商务的企业或个人提供安全、快捷、稳定的支付服务。


这里拿网关支付和第三方支付(快捷支付)相比较,大家就明白了。为了逆向推导交易是如何完成的,我选择使用值友发生盗刷的工行卡来模拟被盗刷的过程。

(一)网关支付

我在京东充值10元话费的真实交易,首先是通过网关支付模式交易。

第一步选择支付方式,我选择网银支付

体验式盗刷——谁动了我的银行卡?

第二步选择支付银行,我选择工商银行

体验式盗刷——谁动了我的银行卡?

第三步选择我的储蓄卡,跳转网银支付

体验式盗刷——谁动了我的银行卡?

第四部工行网银的验证方式:短信OR 密码器/U盾/口令卡

体验式盗刷——谁动了我的银行卡?

体验式盗刷——谁动了我的银行卡?

第五步验证手机号码、卡别名或卡号后6位/ 验证U盾(值友收到的是交易验证码,所以不是通过U盾进行交易的,而是前一种交易方式,即工银E支付)

体验式盗刷——谁动了我的银行卡?

体验式盗刷——谁动了我的银行卡?

上图是U盾的交易方式,犯罪分子拿到U盾的概率几乎为0,所以应该是通过E支付的方式

体验式盗刷——谁动了我的银行卡?

第六部验证短信验证码,交易成功

体验式盗刷——谁动了我的银行卡?

最后我们来看看网关支付模式下工商银行查询到的流水是如何显示的

体验式盗刷——谁动了我的银行卡?

体验式盗刷——谁动了我的银行卡?

(二)快捷支付

第一步选择快捷支付(有开通并绑定的快捷支付银行)

体验式盗刷——谁动了我的银行卡?

第二步输入京东支付密码

体验式盗刷——谁动了我的银行卡?

第三步交易成功

体验式盗刷——谁动了我的银行卡?

查询明细显示如下:

体验式盗刷——谁动了我的银行卡?


从上述两种不同交易模式可以看出,网关支付交易,实际上身份验证是由银行完成的,第三方支付平台只是做该笔交易的信息传递者。而快捷支付的身份验证由第三方支付机构完成。

以下是网关支付的大概模式(拟人、脑补):

京东充值:网银在线,值友又要剁手了,100元,工行!

网银在线:好咧,马上帮你转接工行!

工商银行:是卡号为6222 XXXX的值友要支付?说暗号,大妈三宝是个啥?

值友:……

工商银行:网银在线,值友身份验证通过,告诉商户我已经打钱过去了。

网银在线:好咧,马上帮你转接商家!

京东充值:钱收到了,发货!

所以,网关支付模式中,第三方支付机构只是扮演者支付指令传递的角色,网关支付的身份验证是由银行完成的,并不像快捷支付一样,由第三方支付机构验证。

二、为什么案例中的值友被盗刷


(一)工行短信支付(e支付)


两种情况

1、本案值友已经开通过e支付。E支付的支付方式为:在工行的支付页面,输入手机号码,和已经开通e支付的银行卡的卡号后6位或卡号别名,手机会收到验证码,输入验证码后,交易成功。

上述情况下,值友的短信验证码泄露了,才会导致交易发生。

2、值友并未开通e支付。那么e支付就是由犯罪分子所开。开通e支付需要验证哪些要素?

上图:

第一步:登陆网银,选择要开通e支付的账号体验式盗刷——谁动了我的银行卡?

第二步,输入银行卡密码、手机银行绑定的手机号收到的短信验证码

体验式盗刷——谁动了我的银行卡?

第三步,开通成功

体验式盗刷——谁动了我的银行卡?

如果是上述情况盗刷,那就是值友的网银密码、银行卡密码均已泄露,才会导致交易发生。

(二)U盾/口令卡/密码器

这个不用说了,东西都在自己手上,除非主动泄露,他人能取得U盾、口令卡、密码器的几率几乎为0。

三、银行卡信息如何泄露

问题又来了,验证码明明在我手机上,怎么被他人知道了?网银密码明明是我设置的,怎么被他人知道了?

(一)被动泄露

1、撞库

张三习惯在每一个网站以”zhangsancool“作为用户名,并使用万年不变的”coolzhangsan”作为密码,所以在注册网银的时候,也选择了此账号和密码。突然有一天,张三使用的某论坛数据库泄露,张三的账号密码被犯罪分子获取。犯罪分子灵机一动,会不会张三的工行网银也用这个账号密码呢?一试就成功。

2、使用公共WIFI信息泄露

还记得今年315晚会,现场演示的使用公共wifi窃取信息么?

央视315曝光公共免费WiFi可瞬间盗取用户隐私_网易科技央视315曝光公共免费WiFi可瞬间盗取用户隐私,公共WiFi 用户隐私tech.163.com直达链接


3、不明APP获取短信权限

有些来源不明的APP,明明与短信无关系,非得开通短信权限,然后就对你的手机进行”不可描述“的事情。如果手机root了,那更加是门户大开。


4、钓鱼短信

尊敬的家长您好,孩子本次考试的成绩单已出,请点击X.com;

你老公已经和我在一起了,请放手不要破坏我们的幸福,我们的照片请点击X.com;

毕业后好久不见,今天我们几个在广东的同学聚了一下,聚会照片请点击X.com;

点击进入后,可能手机就被植入木马窃取信息了。

体验式盗刷——谁动了我的银行卡?

人生处处是套路!


(二)主动泄露

1、伪基站

明明是工行客服95588发过来的短信,说密码器过期,需要激活,还附上了链接http://www.1cbc.com.cn,怎么就出问题了?因为,工行是ICBC不是1CBC。这是山寨的网站,而且真不是95588发给你的。


2、电话诈骗

女儿被绑架、儿子住院、包裹有毒品、信用卡透支要抓人,遇到这些电话你怕不怕?会不会泄露验证码?很多人因此泄露了。

套路满满!


最后:

乱七八糟的链接还点吗?——NO!

“不可描述”的APP还给它各种权限吗?——NO!

公共WIFI还蹭吗?——NO!

验证码还给人家吗?——NO!

论坛、微博、QQ、网银还用同样的账号密码?——NO!

See you next time!

展开 收起
193评论

  • 精彩
  • 最新
  • 那么问题来了,这么多论坛,这么多网站,不能用一样的ID,密码,那么如何巧记,巧设密码。 或者有没有好的 软件 记录密码。分享下!

    校验提示文案

    提交
    当时京东泄露信息的时候,站内有很多达人分享了设置密码的心得,可以搜索看看。

    校验提示文案

    提交
    教你个办法, 固定密码+网站特有字符,这样每个网站密码都不一样可以杜绝撞库攻击。比如新浪网是jiqimao1xlw,值得买是jiqimao1zdm

    校验提示文案

    提交
    还有11条回复
    收起所有回复
  • 公共WIFI这个 谁出去吃饭还不加个wifi啊

    校验提示文案

    提交
    没办法……只能建议开大点的流量包

    校验提示文案

    提交
    自带梯子,梯子不仅可以爬墙,还能加密

    校验提示文案

    提交
    还有20条回复
    收起所有回复
  • 工行我认为是网络支付做的最差的银行,我经常收到短信说我的帐号在哪里被登录,但是我自己登录都需要验证码或者登录进去提示有风险,但是不知道别人是怎么登录进去的。信用卡就不说了,重来没有收到过账单,逾期了也不得通知,反正就高额利息给你收起走。

    校验提示文案

    提交
    你该检查自己的手机是否有我文中说的那些情况了。

    校验提示文案

    提交
    账单收取方式你在填写申请信用卡表的时候就选择过了,一般都是短信,邮箱也有。你要是换手机号不通知银行,收不到可能性大。其次只要手机号没问题,一般到期还款日前两天会有个短信提醒。最后万一忘了,到期还款日第二天会发短信给你告诉你逾期了,收你滞纳金了。利息账单日才会体现一部分,加入一直不还钱的话。如果一直使用良好偶尔发生逾期可以打电话给客服申请下,卡部可能会酌情冲销息费。最好是不要逾期,万一上报征信,五年以内酌情影响贷款。建议多体验下几家银行的服务。个人觉得自己不瞎搞,一般不出事。万一出事了,及时联系银行止损申请拒付啥的。要是白金卡以上我记得可以先行赔付,这个不主动宣传的。拒付一般时间都很长90天左右好像。

    校验提示文案

    提交
    收起所有回复
  • 现在快捷支付这快风险蛮大的

    校验提示文案

    提交
    快捷支付还有个先行赔付机制。怕就怕网关支付,维权难度较大。

    校验提示文案

    提交
    还是一年花几块钱买个盗刷险,让银行跟保险公司扯皮去。。。自己跟银行扯皮耗时太久

    校验提示文案

    提交
    还有5条回复
    收起所有回复
  • “不可描述”的APP还给它各种权限吗?——NO!
    这点说起来很操蛋,现在很多APP,包括一些正规的、挺知名的APP,还有一些学校、单位要求安装的APP,都要开通各种权限,短信、电话、定位等等等等。不给授权,有的干脆退出不给你运行,咋办呢?

    校验提示文案

    提交
    我是指非正规应用市场下载的,比如说“羞羞的”app。你指的正规的APP不包括在我的“不可描述”的范围内。

    校验提示文案

    提交
    问题是,正规应用市场下载的,也是一样啊。来,我稍微列举一下手机里面要求读取我短信的APP名单(有提出授权申请的都算,部分我可以禁止授权,部分禁止了还不让用,名单没有全部列出:微信、多看阅读、支付宝、360儿童卫士、360智能摄像机、百度医生、滴滴出行、家校帮、家长通、天翼视讯、一起作业学生、翼支付、中粮、百度地图、QQ、搜狗输入法。这里面的APP,哪个不是正规的,而且我都是从正规渠道下载的。这些APP读取短信都是非必须的功能。

    校验提示文案

    提交
    收起所有回复
  • 我上月的工行借记卡也被盗刷了! [生气] 花费499,去了工行也无法追回,工行只给我打了个流水单,说是通过银联(广东)分公司刷走的,让我去报案,然后跟我说金额小,也不会立案,自认倒霉吧!TMD!一点说法都没给,我手机一直在身边,验证码都没收到,钱就没了!上网一搜好多这种情况,工行都不会自己反省一下的,宇宙行就是不一样!还告诉我非正常连接别点,我又不是傻子,短信链接都没点过,手机没越狱,全都是通过app store下载的程序,跟我说我手机可能被注入木马了,让我直接销户得了。销户排队办了2个小时,一会儿又说挂失状态不能消,得先排队去消除挂失,回来了又说我这卡带理财得去找前台经理带我去消理财账户,折腾了老半天才完,刚结束就让我办新卡!我办你奶奶个腿! [中枪]

    校验提示文案

    提交
    找银联(广东)分公司,也许你的钱还在。

    校验提示文案

    提交
    打电话了,人家说无法追回,自己以后多注意 [鞭子] 注意他妹!一帮就是互相推脱,店大欺客!我直接把工行的所有卡全注销了,跟大老爷们着不了那急! [投降]

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 我想了半天才发现这文章就是孔吓小白,工行E支付需要短信验证,对方连验证码都搞到手了,那还说个XX [小怒]
    吓滴我去手机银行里面把E支付短信支付关了 [抠鼻]

    校验提示文案

    提交
    不是要恐吓谁,案例中的值友并非主动泄露,可能是木马在手机内静默截取了短信验证码的内容,再发给了犯罪分子。

    校验提示文案

    提交
    嗯,我觉得也只有这样才能盗刷成功。没其他意思,还是支持作者滴 [赞一个]

    校验提示文案

    提交
    还有3条回复
    收起所有回复
  • 微信钱包里有个数字证书,那个要装吗

    校验提示文案

    提交
    那个据说是微信提高支付安全性的工具,可以安装。我已经安装了。

    校验提示文案

    提交
    收起所有回复
  • 那么问题来了,三宝是啥

    校验提示文案

    提交
    同志,组织考验你的纯洁性的时候到了!

    校验提示文案

    提交
    收起所有回复
  • 如果手机在手,对方没有收取到相关短信,怎么能盗刷成功呢?

    校验提示文案

    提交
    中木马,木马通过静默方式截取短信发送给犯罪分子

    校验提示文案

    提交
    银行预留手机号被改了

    校验提示文案

    提交
    收起所有回复
  • 那么已经开通了e支付的,是不是就要关闭了?

    校验提示文案

    提交
    文章目的是让大家在享受快捷、便捷支付的同时,注意保护好自身隐私和账户安全,没说e支付不能用 [吐血] [吐血] [吐血]

    校验提示文案

    提交
    收起所有回复
  • 道理我都懂,但案例中的钱到底是怎么被盗刷的呢?

    校验提示文案

    提交
    验证码泄露,主动泄露、被动泄露都有可能。

    校验提示文案

    提交
    个人信息和密码被盗

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 谢谢值友分析,解决了我的困惑,以后更会加强自己的防范意识了! [赞一个] [赞一个] [赞一个] [赞一个]

    校验提示文案

    提交
    吸引你注意了啊 [笑] [笑]

    校验提示文案

    提交
    收起所有回复
  • 我也被京东支付盗刷了,意思是,不赔付?

    校验提示文案

    提交
    是京东答复值友,对于网关支付盗刷不予赔付。

    校验提示文案

    提交
    收起所有回复
  • 个人认为快捷支付存在安全隐患!本人前两天在某旅游网站订房,进行实名认证的时候,网站提示会从我的卡中扣款0.01元,而我只提供了姓名+电话+卡号,并未提供取款密码,扣款却成功了,我随即咨询工行客服,答复通过的是快捷支付渠道,且无法主动关闭该支付渠道,叫我自行与第三方平台进行咨询!现在问题来了,如果该旅游网站泄露了实名认证用户的资料,“姓名+电话+卡号”被不法分子拿到,岂不是可以对卡内的余额进行任意妄为了…… [深思]

    校验提示文案

    提交
    手机银行可以关闭,我在“帮值友追回12万”的那篇文章中有详细办法。

    校验提示文案

    提交
    收起所有回复
  • 每月还卡帐时都觉得是被盗刷了

    校验提示文案

    提交
  • 作者少说了一项,除上述方式外,磁条卡在刷卡消费时很容易被复制卡信息,再写入空白卡内盗刷出去。 [doge]

    校验提示文案

    提交
    从今年5月起银行将全面关停芯片磁条复合卡的磁条交易——银联公众号03-28文

    校验提示文案

    提交
    这是说有芯的用芯,没有芯的照样用磁条

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 防盗的最好方法只有:穷!

    校验提示文案

    提交
    穷也无解的。骗子会帮你办贷款办分期的。 [晕倒]

    校验提示文案

    提交
    收起所有回复
  • 强烈建议大家将运营商服务密码重置成随机数列,使其和自己其他六位数字密码解除关联,从而避免被撞库攻破。

    校验提示文案

    提交
    然后我自己也忘了( •̅_•̅ )

    校验提示文案

    提交
    就用随机密码撒

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 我觉得对于现今各种不安全、不可靠的支付验证手段,客户被盗刷的钱应该由支付平台和客户各承担一半,免得支付平台不断推出各种不负责任的的稀奇古怪的支付方式,不被盗刷全凭个人意识好。

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
相关好价
最新文章 热门文章
604
扫一下,分享更方便,购买更轻松