提问:
一夜收到百余短信,京东白条被盗刷是怎么回事
随便找财经网回答:
一位网友近日发帖,称早上醒来,发现手机接收到100多条验证码,支付宝余额、余额宝和关联银行卡的钱都被转走了。京东被开通金条、白条功能,借款并转走一万多。这个消息引起极大关注。
扬子晚报紫牛新闻记者调查发现,近期遭受这类短信验证码攻击的人不在少数,此前的报道对于攻击方式的解释并不全面,而提出的“睡觉时关机”等防范建议也不一定有用。
专家指出,连续发生的短信验证码攻击事件,是攻击工具产业化的标志。利用手机短信验证身份已无法保证安全,需要尽快改进,选择安全性更高的方式。
连续发生短信验证码攻击事件
多发生在深圳龙岗
8月1日,深圳市龙岗区的网友“独钓寒江雪”发帖说,“7月30日凌晨5点被尿憋醒,发现手机一直在震,一看,接收了100多条验证码,支付宝、京东、银行什么都有。吓得一下子清醒,去看支付宝,余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。”
这位网友并不是唯一一个受害者,也不是最早的受害者。深圳市龙岗区的汤先生告诉紫牛新闻记者说,他在7月6日凌晨遭到类似攻击:“我被犯罪分子开通了京东金条。从申请到京东通过审核,只用了一分钟,11000元金条借款迅速被转走。除了京东金条,攻击者还通过京东盗刷了银行卡的6000多元余额。总共损失1.7万多元。”
另一位受害者住在深圳市龙岗中心城附近,他告诉紫牛新闻记者说,7月24日早上6点多钟睡觉时,突然听到手机响个不停,拿起手机一看,发现收到100多条短信验证码,“支付宝、京东的、银行的、购房的什么都有,忽然间我看到了消费款2999元,一下子清醒起来。”他马上打电话给建设银行把卡挂失、京东账户冻结、随后到派出所报案,报案期间才发现支付宝被盗刷了466.12元,建设银行卡被盗刷5000元,京东白条借款19000元。
深圳市龙岗区还有一位更早的受害者,他告诉紫牛新闻记者说,5月27日夜间遭到短信验证码攻击,犯罪分子通过这种方式侵入招商银行一网通客户端,把他的信用卡额度从3万元提到4万元,然后全部盗刷走。由于他的农行卡也捆绑在招行的一网通里,所以这张卡的余额也被刷走一部分。第二天早上他打开手机,才发现接收到70多条短信验证码和扣款信息。
7月5日夜间,他妻子遭到同样的攻击,接到第一条短信消息的时候,银行卡就被扣了900多元。因为家里之前遇到过此类事件,所以这次反应比较快,马上给银行打电话冻结银行卡,不过最终还是损失了2000多元。
手机上不断收到验证码
深圳市龙岗区虽然可能是多发区,但这类攻击并不局限于那里。武汉的受害者倩倩(化名)告诉紫牛新闻记者说,她在7月18日凌晨遭到这种攻击,建行网银被盗刷,京东账户遭到入侵,但因为银行卡余额只有300多元,所以实际损失不太多。
被盗刷的网友发微博公布交涉情况
维权频频遭遇推诿
受害者经历“可以写一本书”
遭到攻击之后,受害者们维权的经历相当艰难。他们不得不去派出所报案立案录口供,到银行打流水账,查询账户的异常,联系支付宝客服、京东客服、各家银行客服,等待各种专员回复。
汤先生的损失主要出现在京东的平台上,他认为京东在识别用户账户的真实性方面存在严重不足,金条借款审核过程形同虚设,他说起初和京东人员多次沟通,但每次都是推卸责任。其他受害者和支付宝等机构交涉时,也经常遇到类似情况,不是扯皮就是拒绝理赔。
一些受害者无奈之下选择在网上曝光,而且网友“独钓寒江雪”的经历经媒体披露后,京东和支付宝等第三方支付平台的态度开始变得积极。
京东4日表示可以免去“独钓寒江雪”11000元的金条借贷。支付宝工作人员5日告诉他,将补偿通过支付宝消费出去的Q币充值订单932.31元,行使代位求偿权利。
受害者收到的提示短信
汤先生6日已经接到京东的电话,表示愿意赔付损失,不过还需要提交一些资料。
京东金融市场营销部的吴芳女士告诉紫牛新闻记者,“京东金融对此事高度关注,并设立了专门的盗刷案件处理通道,针对用户反馈的情况我们会第一时间对案件进行核实。秉承用户利益为先的原则,我们会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。同时,京东金融已积极向公安机关报案并配合警方工作,未来将进一步协助警方对此类犯罪进行深度打击和治理。”
京东金融客服回应
相比之下,受害者们普遍感觉和银行交涉更加困难。
倩倩起初找银行,遇到推诿。她到派出所做了笔录,但是金额不够立案标准。警方让她向银监会投诉银行。她投诉之后,银行打电话回复说,案子发回开户行,找了人联系我提供资料进入理赔流程。但是提供资料后能不能理赔看省行的审核,最多可以赔付盗刷金额的70%。
倩倩说:“我的金额其实很小,维权的成本已经远超被盗刷的金额了,就是想争口气。现在这个事情爆发出来,我感觉相关部门是需要做改进的,而不是甩锅说和自己没关系,这种各方推诿维权无望的感觉太难受了。”
自己和妻子都曾遭到这种攻击的那位受害者告诉紫牛新闻记者说,“从5月份到现在的8月份,关于银行卡被盗刷的维权经历,我都可以写一本书了。”
一两百元搞定攻击设备
手机短信已经没有安全性
这种短信验证码攻击事件曝光后,有人称这是“GSM劫持+短信嗅探”攻击,犯罪分子建立伪基站,获取周围的码,再利用短信嗅探设备来嗅探短信。不过信息安全界资深人士说,并不能确定具体的攻击类型,目前有多种方法可以达到获取短信验证码的目的。
中国海天集团有限公司创始人兼CEO邹晓东(Seeker)在网络安全界享有盛誉,被称为“黑客炼金术士”,他在2016年就曝光了利用伪基站攻击短信验证码的漏洞。
伪基站
邹晓东告诉紫牛新闻记者,笼统说有4种攻击短信验证码的方法,其中两种不需要伪基站。更可怕的是,在4种方法里,有3种可以把短信拦截下来,不让受害者的手机接收到。如果看不到手机上出现莫名其妙的验证码和消费提示,受害者可能根本不知道账户遭到攻击。
邹晓东说,看起来最近这些受害者遇到的是最低级的一种攻击方法,而且全部攻击设备最低只用100~200元就能搞定。因为比较低级,难度不大,容易被黑色产业者掌握,产生较大社会影响。
早在2011年,手机通讯的GSM网络就已经遭到破解。GSM网络除了可以通话,还能传送短信。虽然现在手机通讯普遍升级到安全性更高的4G网络,但GSM网络还在同时发挥作用。
犯罪分子利用干扰器等设备把周围的手机驱赶到GSM网络,然后就可以侦听受害者的短信验证码。
另外,现在个人信息泄露非常严重,个人用户的、身份证号码、银行卡号、家庭和工作地址等等信息,几乎都能以非常低的价格买到,如果掌握了用户的和短信验证码,对于攻击者来说,这样的用户基本上就等于透明的。
银行和第三方支付平台在验证用户身份时,如果只通过短信,对此这类攻击者来说,就毫无安全性可言。
有人建议用户晚上关掉手机,以此防范短信验证码攻击。对此邹晓东说,“关机或者飞行模式有用,但是别忘了开机时仍然会被攻击,而且有多种办法让受害者手机收不到或者不提示短信。”
存在漏洞不及时改进
商家应承担主要责任
邹晓东说:“从黑客角度看,没有谁家系统是百分百安全的,各家服务在设计的时候也不可能追求百分百安全,都为了易用性做了一定的折衷。用户和商家过去都享受了易用性带来的好处,只要安全风险控制在一定范围内,就不会去较真。当黑产的攻击威胁加大时,商家就应该及时响应,增加安全措施。同时,易用性过去给商家带来的好处多于给个体用户的好处,所以从道义上,就深圳这个事件,商家应该承担多数损失。”
知名法律博主“逻格斯logics”告诉紫牛新闻记者,“目前我国在银行卡盗刷案件中的裁判思路是比较明确的,就是倾斜保护储户的利益,严格要求银行尽到安全保障义务。”
他说上海有个案件被最高院选入保障民生典型案例,法官是这么认为的:银行更有条件防范犯罪分子利用银行实施的犯罪,故银行应当制定完善的业务规范,并严格遵守规范,尽可能避免风险,确保储户的存款安全。
“逻格斯logics”认为,对于短信验证漏洞导致的用户损失,法院可能会认定银行提供的手机网银服务未能抗拒类似的技术手段,属于未尽法律规定的“安全保障义务”,要求银行承担赔偿责任。
他指出,“安全保障义务”是侵权责任法规定的,对于京东和支付宝等第三方支付机构同样适用,而且《非金融机构支付管理办法》第八条第(八)项规定了第三方支付机构要“有符合要求的营业场所和安全保障措施”,因此应当可以参照适用。
攻击工具或已产业化
该向短信验证码说再见
邹晓东告诉紫牛新闻记者,短信验证码确实比较脆弱,漏洞一直存在,解决方案也有,只是因为使用起来方便,才勉强作为一种身份认证方式。
邹晓东认为,安全的系统都应该至少采用“双因子认证”,就是指结合密码以及实物这两种条件对用户进行认证的方法,两者都通过,才算通过身份认证。
事实上,对于“双因子认证”,央行早就提出了要求。2016年6月13日,中国人民银行就发出《关于进一步加强银行卡风险管理的通知》,要求各商业银行、支付机构、卡清算机构加强对支付敏感信息的内控管理和安全防护工作。
该通知明确要求加强业务开通身份认证安全管理。自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。身份鉴别应使用数字证书、交易密码、动态令牌设备等方式至少组合两种认证。
通知还要求各商业银行、支付机构应利用大数据分析、用户行为建模等手段,建立交易风险监控模型和系统,及时预警异常交易,并采取调查核实、风险提示、延迟结算等措施。针对批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等手段。
很多受害者都在短时间内接收到上百条验证和交易短信,相关银行和支付机构有没有尽到央行要求的监控义务,是令人怀疑的。
银行和第三方支付机构也一直在为安全而努力。吴芳说,一直以来,京东金融都在凭借在数据和技术方面的能力与警方密切合作,仅2017年,京东金融的风控打黑团队,一共推动和深度配合各地公安机关破获网络黑产案件30余起,避免用户损失上亿元。但是黑产一直很猖獗,手法也是不断变化,防不胜防。
邹晓东指出:“如果连续发生多起短信验证码攻击事件,就是攻击工具可能产业化的标志。这种情况下,就更不能只依赖于短信验证码。”
手机短信曾经有过辉煌的时候,2012年全国手机短信发送量达到惊人的8973.1亿条。随着通讯方式的变化,手机短信近年来迅速衰落,而接收验证码几乎成为它的一个主要功能。不过面对黑产的攻击,也许我们应该向手机验证码说再见了。
|
- 相关文章推荐
另一视角
换一换- 微信客户服务平台(微信诞生于哪一年)
- 北京整体喷砂机械厂家排名并附上它们的简要介绍
- 创业分析和综合分析一样吗?(不同概念的不同场景)
- ppp项目贷款怎么申请和审批?
- 360贷款投诉电话大全(快速解决贷款问题,让你安心借款)
- 2023元旦高速公路有免费吗?
- 现在的取暖煤真的降价了吗?
- 煤炭价格下月能降下来吗?
- 煤炭价格为什么会爆涨?
- 我们这边现在一吨自己烧锅炉的1400—1800元了,你们那里多少钱啊
- 广东又开始限电了,是不是制造业产能过剩了?
- mg通胀连续超记录之后,还会怎么走?
- 欧盟提出应对气候变化一揽子计划,企业和消费者将受到哪些影响?
- 苏伊士运河被堵事件分析
- 苏伊士运河被堵,长荣公司预计赔多少钱?
- 为什么日本作为发达国家,日元却这么不值钱?
- 澳大利亚铜精矿出口暴跌80%,澳企还能顶得住吗?
- 听说在新西兰居住超过10年,到65岁就可以领取退休金对吗?
- 俄罗斯真的有全民免费医疗吗?
- 欧盟各国,农村老人的养老金与城市老人养老金差距大吗?
- 信用卡贷款新口子_信用贷卡是什么意思_用信用卡贷款的口子
- 好下款的大额贷款口子_大额好下款的口子
- 宁波银行客服电话打来干嘛(宁波银行打电话过来对账)
- 成都公积金咨询电话号码 成都公积金查询
- 沈阳信用卡代办(爱尔兰签证沈阳代办处)
- 工行分期付款(工行分期怎么使用)
- 欧洲杯玩绝杀怎么玩184857丶cc 托雷斯和特雷泽盖哪个历史地位高
- 招商银行贷款延期申请(招商银行怎么申请年费延期)
- 瑞士信贷银行(瑞士信贷是什么银行)
- 招商银行白金卡和金卡 华为金卡和白金卡区别
- 网贷逾期一年多,没人催收也没被起诉?
- P2P里的借方都可以不还钱了吗?为何不归为“失信”人?
- 如果网贷全面取缔来临,出借人和借款人,哪一个最受益?
- 卢志强从未投资团贷网 22万出借人觉得呢?
- 有多少人受了P2P的亏?有多少人投进去的钱拿不回来的?
- 手机hao被盗用,申请网贷,金融机构找我追款,怎么处理?
- 平台进行协商后要求借款者只还本金,不还征信会受到影响吗?
- 借了网贷钱后,还款也有套路?
- 欠了一大笔网贷,即将全面逾期,应该如何度过这个时期?
- 网贷逾期后,这个还款协议千万不能签!否则这辈子别想还清知道吗
- 光大银行官网(哪里有光大银行)
- 19岁怎么借钱马上到账(19岁贷款买车容易通过吗)
- 股市软件手机版哪个好(股票app哪一个更好)
- 征信花了还能贷款吗(征信花还能贷款吗)
- 95588信用卡中心(工商银行95588怎么转人工服务)
- 花呗利息每天多少(1万花呗利息一天多少)
- 个人征信查询官网注册(征信账号怎么注册)
- 农信个人网上银行登录入口(农村信用社个人网银登录入口)
- 股票下架了叫什么(股票不卖什么意思)
- 特步股票(特步世界500排名)
- 是高市净率好还是低市净率好?
- 为什么最近很多人买基金都亏了?
- 基金都是牛市赚大钱,熊市亏大钱,为什么出现这样的情况?
- 为什么很多新基民喜欢买新基金?
- 首只ETF发行失败,基金募资失败或被清盘,投资者有哪些损失?
- 按照排行榜买基金,为什么总受伤?
- 100万用来买大盘基金,年收益用来当生活费,能不能做到一辈子不
- 投资者买基金时,买的是什么?
- “爆款基金”值得投资吗?
- 基金的表现,会均值回归吗?
- 如何看待那些把人民币兑换成美元现金放在家里的人?
- 今日人民币最新外汇牌价查询(2021年11月12号)
- 今日人民币最新外汇牌价查询(2021年11月11号)
- 今日人民币最新外汇牌价查询(2021年11月9号)
- usa的钱我们叫美元,那人民币走出国门,在国外叫什么?
- 今日人民币最新外汇牌价查询(2021年11月7号)
- 今日人民币最新外汇牌价查询(2021年11月6号)
- 今日人民币最新外汇牌价查询(2021年11月4号)
- 今日人民币最新外汇牌价查询(2021年11月2号)
- 今日人民币最新外汇牌价查询(2021年11月1号)
- 第24届冬奥会铜合金纪念币预约为何没有出现“秒杀”?
- 河南发现50吨特大金矿,对世界金价有影响吗?
- 个人储备较多黄金算违法吗?
- 可以把手里的闲钱买成黄金,来抵御货币贬值?
- 现货黄金行情分析软件下载后怎么做?
- 黄金典当和黄金回收,哪种方式好?
- Taper临近,滞胀担忧来袭,黄金真能翻身吗?
- 黄金现在跌到多少钱一克了?
- 非农数据“爆冷”,金价后续又将有怎样的走势?
- 2021年10月11号金店黄金价格今天多少一克?
- 2024元旦哪天是法定节假日呢英语 2024元旦是星期几
- 2023元旦高速收费吗现在 2023元旦为啥不免高速费
- 2023元旦农历日期 23年元旦时间
- 2023元旦哪天算加班呢视频 2023劳动节哪天算加班
- 2023元旦放假时间表图片大全 23年元旦假期安排
- 2023元旦海报宣传语图片 2023年元旦海报宣传语
- 2023元旦法定节假日是几天休息 2023法定节假日放假安排
- 2023元旦法定节假日是哪几天 2023年1月份国家法定假期几天
- 2023元旦节高速免费几天 2023年元旦免过路费吗
- 2024元旦要补班么 2024跨年是星期几
- 宝马金融贷款操作指南(详解宝马金融贷款流程)
- 夫妻两人每人月薪3000,工作稳定,小县城,能养的起比亚迪汉吗?
- 最近大雪,很多电动汽车都开不了了,电动汽车的发展之路是不是还
- 网友都说小米汽车以后会超越特斯拉,在技术上有实现的可能性吗?
- 特斯拉生产供应链基本都靠中国,为什么我们不能成,特斯拉能成?
- 汽车传感器市场分析,国产机会如何?
- 大家聊聊今年汽车行业市场行业现状与趋势?
- 存一万给一辆电动车,银行为什么那么大方?
- 为什么有那么多人骑电动车上班?
- 你觉得自动驾驶的前景如何?
- 中国城市GDP排名2020年排行榜-2020全国GDP省份排名一览表
- 2020年中国区块链企业百强榜
- 2019年全球银行千强排名,中国包揽前四,总利润3120亿美元
- 华尔街金融巨头有哪些?华尔街十大金融巨头排名排行榜
- 法国各大银行排名排行榜:法国巴黎银行排第二,第一名成立最早
- 德国银行排名排行榜:德国商业银行登榜,第一名德意志银行
- 巴西各大银行排名排行榜:巴西哪家银行最好?巴西银行仅第三
- 加拿大银行排名排行榜:皇家银行第一 历史最悠久的排名第四
- 2020全球500强排名排行榜完整版 世界五百强排名一览表
- 2020福布斯全球最新富豪排名排行榜 杰夫·贝佐斯位居世界首富第
- 比特币交易软件app 比特币交易app哪个好
- 狗狗币未来能涨到多少 2023年狗币价格
- 狗狗币现在多少钱了 2023年狗币价格
- 狗狗币升值了多少 狗狗币属于哪个公链
- 交易猫游戏交易平台官网 网上比较可信的游戏交易平台是哪个
- bigone交易平台 bigone官网
- 狗狗币是骗局吗? 比特币和狗狗币的区别
- 狗狗币最新走势图及价格 2023年六月到2023年12月份狗狗币价格
- 狗狗币最高的时候多少钱一个 比特币和狗狗币的区别
- 狗狗币是什么时候暴涨的 秋田犬币什么时候上线的