首页 >> 通信网络安全频道 >> 行业动态 >> 正文
 
广发信用卡屡遭盗刷 手机动态密码或存致命漏洞
http://www.cww.net.cn   2011年8月29日 11:45    IT时报    
作 者:郝俊慧

原本为了增加安全系数的手机动态密码,如今却成了广发网银最大的漏洞。近段时间,广发信用卡盗刷事件频发,作案者手段几乎一致:在受害者网银中修改手机号码,利用新号码接受动态密码,从而完成盗刷支付。近10名被盗刷者向《IT时报》记者提出的相同问题是:网上支付环节中最重要的一环——手机,为什么能如此轻易修改?第三方支付平台能否承担更多的风险控制功能?

用户投诉

一夜“飞”走5000元

8月23日早上王青(化名)打开手机,几条“一拥而入”的短信,让他感到“大势不妙”:“尊敬的×××,您在广发银行网上银行的手机号已经重新设置成功。”“贵卡末四位××××于23日02时消费人民币2000.00元,授权号末四位××××。”几条短信看下来,王青明白了,自己的广发信用卡被盗刷了,损失5000元。

王青立刻拨打了广发信用卡的客服电话,经过查询,第一笔2000元被通过支付宝购买了彩票,第二笔3000元则通过银联在线支付了出去,由于采用即时到账的支付方式,这5000元是追不回来了。

上网搜索一番,王青才发现,原来发生在自己身上的“噩梦”并非个例。从今年7月初开始,便陆陆续续有人在网上投诉,广发上线新网银系统后,信用卡被盗刷。叶迷(化名)是另一名广发信用卡被盗刷者。今年7月4日,他的一张广发信用卡在凌晨两点多的时候被盗刷2000元,通过环迅支付用于购买一家名为腾驰策划公司的服务,被盗经历与王青如出一辙。经过一个多月的联系,叶迷得到的最新回复是:广发银行风险控制部门已介入调查,在此期间,无需还款。

记者调查

第三方支付难止损

在记者拿到的一份广发信用卡被盗刷者的名单中,有5个被盗者与叶迷一样,数千元的款项均被转移至那家名为腾驰策划的公司。到底这是一家怎样的公司呢?8月24日,记者多次拨打腾驰网站上的电话,始终无法接通,其中公布的400电话,更是被接线方否认属于腾驰。叶迷告诉《IT时报》记者,曾有深圳的受害者去腾驰网站上标明的地址查访,却并没有找到这家公司。

通过第三方支付平台——环迅支付,记者拿到一份来自腾驰的声明,称他们也是受害者,盗刷者是他们的一名会员,目前已无法联系,其账户也被冻结。声明的落款是7月26日。环迅支付相关人士向记者证实,这是一家正规运营的公司,证照齐全,销售的是网络优化等服务。

7月4日失窃当日,叶迷向环迅提出终止付款的要求,但最终并没有被支持。环迅支付相关人士告诉记者,普通用户与环迅之间都是T+1的结算方式,也就是说,第一天凌晨发生的盗刷,第二天才会真正由环迅支付给商户,如果盗刷者购买的是实物商品,且当天便与环讯联系,便有可能追回被盗款项。但由于盗刷者通常购买的都是彩票、充值卡等虚拟商品,采用的是即时到账的结算方式,所以第三方支付平台很难止损。

广发网银可随意更改手机

经过对多名受害者采访,《IT时报》记者基本复盘了整个被盗刷的经过。5月20日,广发信用卡的新网银上线,其中一项重要修改是,取消原有固定的支付密码,而采用手机动态密码的方式,也就是说,每次支付前,手机将收到一条动态密码,以此作为支付凭据。

然而,这种新操作模式有个致命的弱点,除非用户设置了“私密问题”,否则黑客只需知道网银登录名和密码,便可在网银上修改手机号码,且修改后的密码直接发送至新号码处,从而完成支付。“广发称这是为了方便丢失手机用户,可到底是网银安全重要,还是为这极少数丢手机用户服务重要?”王青对广发的解释很不理解。

在记者拿到的这份被盗刷名单中,有五六起案件的盗刷者修改后新手机为同一个“159”开头的号码,基本可确定,这些案件均一人所为。然而由于涉案金额并不高,每件盗刷案大多在数千元左右,被害者分布范围广,遍布浙江、广东、北京等地,尽管都已经报警,但警方明确表示,案值太小,恐怕很难破案。

[1]  [2]  
编 辑:赵宇    联系电话:010-67110006-864
分享到新浪微博 分享到搜狐微博 分享到腾讯微博 分享到网易微博 分享到139说客 分享到校内人人网 分享到开心网 分享到豆瓣 分享到QQ书签       收藏   打印  进入论坛   推荐给朋友
关键字搜索:广发  信用卡  手机  动态密码  安全  
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动