通信人家园

标题: 今早看微博，央视关于手机银行账户被盗的报道 [查看完整版帖子] [打印本页]

时间: 2018-8-24 09:08

作者: 110745 标题: 今早看微博，央视关于手机银行账户被盗的报道

看了真是吓人，不需要任何操作，钱就被偷走了，小区接二连三发生，警察都有点蒙圈，最后通过监控嫌疑车辆，把罪犯抓住了，不过原因连警察也说不清楚，只说跟伪基站有关，什么情况，以后微信支付宝还能玩不？

时间: 2018-8-24 09:47

作者: webseeking

小区接二连三发生? 这也太狠了点

时间: 2018-8-24 09:54

作者: qmp198596

2G GSM的漏洞可以窃取银行与号码间的短讯

时间: 2018-8-24 10:16

作者: dgzq662885

短信嗅探

时间: 2018-8-24 10:17

作者: dgzq662885

https://tech.sina.com.cn/roll/20 ... hvciix2274568.shtml
手机里的钱被一夜被转走：还原“短信嗅探”盗刷事件始末

时间: 2018-8-24 11:27

作者: fitnig

大额的钱存在存折里，由于存取款只能去柜台，只要拿不到存折验证码随便折腾。就算他造了假存折在柜台也是分分钟被识破

时间: 2018-8-24 11:36

作者: piview

GSM漏洞,移动为主。

时间: 2018-8-24 11:49

作者: Gratch

fitnig 发表于 2018-8-24 11:27
大额的钱存在存折里，由于存取款只能去柜台，只要拿不到存折验证码随便折腾。就算他造了假存折在柜台也是分 ...

年轻人谁用存折？

时间: 2018-8-24 11:53

作者: 110745

webseeking 发表于 2018-8-24 09:47
小区接二连三发生? 这也太狠了点

央视报道的，最后是通过排查小区可疑车辆抓住罪犯的，警察都搞不懂这种黑科技

时间: 2018-8-24 11:54

作者: 110745

sstfwd 发表于 2018-8-24 09:59
就算GSM、伪基站、短信中间人，还得需要手机银行的登录密码。登录密码怎么泄露的？

银行卡绑定支付宝，通过支付宝转账不需要银行卡密码

时间: 2018-8-24 12:06

作者: winnyterry

说到底就是短信验证码成为金融级别密保手段惹出的祸。短信验证码本来就不应该成为密保手段的。这个问题上，第三方机构应该承担7成责任，运营商2成，用户1成。

时间: 2018-8-24 12:49

作者: 110745

winnyterry 发表于 2018-8-24 12:06
说到底就是短信验证码成为金融级别密保手段惹出的祸。短信验证码本来就不应该成为密保手段的。这个问题上， ...

最好是刷脸，指纹等支付

时间: 2018-8-24 12:54

作者: 掌心化雪2

已全部绑定电信卡

时间: 2018-8-24 13:29

作者: 理想2016

winnyterry 发表于 2018-8-24 12:06
说到底就是短信验证码成为金融级别密保手段惹出的祸。短信验证码本来就不应该成为密保手段的。这个问题上， ...

我赞同就是验证码的权限太大了

时间: 2018-8-24 13:50

作者: winnyterry

110745 发表于 2018-8-24 12:49
最好是刷脸，指纹等支付

其实第三方并不傻，用短信验证码做密保手段，成本低，出了问题舆论又容易被误导，可以甩锅运营商。如果用刷脸，指纹，U盾这些密保方式，一定比用短信安全得多，但同时成本也就高得多。第三方不愿意买单就用短信验证码来应付了。这第三方的7成责任真TM不过份。

时间: 2018-8-24 14:17

作者: fitnig

110745 发表于 2018-8-24 11:54
银行卡绑定支付宝，通过支付宝转账不需要银行卡密码

工*行能关闭快捷支付通道，关闭后有相关信息也不能通过快捷支付转账

时间: 2018-8-24 15:16

作者: wollpo

电信卡了解一下

时间: 2018-8-24 15:33

作者: 110745

本帖最后由 110745 于 2018-8-24 15:39 编辑

winnyterry 发表于 2018-8-24 13:50
其实第三方并不傻，用短信验证码做密保手段，成本低，出了问题舆论又容易被误导，可以甩锅运营商。如果用 ...

密码被攻破的也大有人在，必要一味怪验证码，最主要还是2G网络存在巨大漏洞，而一些人又不愿用4G。

时间: 2018-8-24 15:43

作者: 内蒙老通信

移动难道没有责任吗

时间: 2018-8-24 15:51

作者: 110745

本帖最后由 110745 于 2018-8-24 15:54 编辑

内蒙老通信发表于 2018-8-24 15:43
移动难道没有责任吗

要说责任的话就多了，这个社会都有责任，是什么造就了一个骗子横飞的社会？再追就追根溯源到人种问题了，像某个香港人开的论坛，动不动就人种有问题，说得他不是华人一样

时间: 2018-8-24 15:57

作者: ysps

110745 发表于 2018-8-24 15:33
密码被攻破的也大有人在，必要一味怪验证码，最主要还是2G网络存在巨大漏洞，而一些人又不愿用4G。

你觉得那些被盗的是不愿意用4G的？不愿意用4G的那些更多是智能机也不用妄论支付宝微信这些第三方支付，银行卡可能也是抗拒的，这些人根本不是盗窃团伙的目标。
那些乐意使用4G的弄潮儿，一年换几次手机的，网上各种支付平台各种借贷平台各种乱七八糟的网站都敢注册的弄潮儿，才是真正的肉鸡，因为你们的信息泄漏得完整，操作方便美味可口，4G？伪基站干扰一下逼回2G待机就是一个开关的事吧？

时间: 2018-8-24 16:03

作者: gzmino

sstfwd 发表于 2018-8-24 09:59
就算GSM、伪基站、短信中间人，还得需要手机银行的登录密码。登录密码怎么泄露的？

撞库啊。
你的手机号在各大小网站注册过，密码也很大机率和网银是相同的。
有些网站还有你的身份证号码。
然后高级点的，多个网站里的相同手机的合成一份数据，你的资料就全了。

时间: 2018-8-24 16:11

作者: power_lau

winnyterry 发表于 2018-8-24 12:06
说到底就是短信验证码成为金融级别密保手段惹出的祸。短信验证码本来就不应该成为密保手段的。这个问题上， ...

对。
你说的有道理。
所以，我觉得：
1）绑定微信支付/支付宝/还有各种快捷支付的，必须使用一张专门的卡。卡上的余额就一两千块就行。
2）上面说的这张专用卡，最好是在这个银行没有其他卡和存款。万一被攻破，不会有其他账户的连带风险。
3）如果不能实现上面两条，则可以用中国银行那种动态电子口令+短信验证码双重验证。这个也会放心一点。虽然要带着电子口令卡到处跑有点麻烦。

时间: 2018-8-24 16:45

作者: winnyterry

在国内，通信号码所有权归国家所有，号码及基于号码之上的业务管理权归运营商所有，用户在缴纳服务费后拥有号码使用权。

好了，问题来了：第三方在没有知会号码及号码业务管理者及取得号码管理者同意的先提下，私自改变了通信号码的使用属性，赋予了新的安全密保属性。但由于技术原因，通信号码作为安全密保手段后出事了，造成了用户的损失。理论上，我认为这应该是第三方的主要责任。运营商和用户都应该是受害者。

就像共享单车，原来使用就是个人出行的使用需要，但由于图方便，有人私自找路边的修车档装了个货架，用来运货，改变了共享单车的使用属性，但不幸地，架子装不稳，货掉下来坏了。你觉得应该追究共享单车公司还是路边修车档还是用户自己的责任呢？！这和短信验证码的问题道理是一样的。

由于第三方没有经过业务管理者同意，私自改变了原产品或服务的使用属性，而带来的用户损失，第三方绝对是主责任人，并不能甩锅运营商或用户的。

时间: 2018-8-24 17:44

作者: gzh72

winnyterry 发表于 2018-8-24 16:45
在国内，通信号码所有权归国家所有，号码及基于号码之上的业务管理权归运营商所有，用户在缴纳服务费后拥有 ...

有道理。

时间: 2018-8-24 18:03

作者: winnyterry

power_lau 发表于 2018-8-24 16:11
对。
你说的有道理。
所以，我觉得：

前两点基本是治标不治本的，都是斩脚趾避沙虫的办法。主要是第三方要负起用户资金安全的责任，不能为了省成本而使根本不合适的安全级别低的手段来作为自己用户的密保认证手段。

时间: 2018-8-24 19:32

作者: 110745

本帖最后由 110745 于 2018-8-24 19:34 编辑

winnyterry 发表于 2018-8-24 16:45
在国内，通信号码所有权归国家所有，号码及基于号码之上的业务管理权归运营商所有，用户在缴纳服务费后拥有 ...

这事本来就不应该怪营运商，2G网络漏洞也不是运营商的事，属于开发者当年考虑不周，主要责任在支付平台。

时间: 2018-8-24 23:25

作者: lyp568

winnyterry 发表于 2018-8-24 18:03
前两点基本是治标不治本的，都是斩脚趾避沙虫的办法。主要是第三方要负起用户资金安全的责任，不能为了省 ...

处于停机状态的是不是没事？

时间: 2018-8-25 15:35

作者: 110745

lyp568 发表于 2018-8-24 23:25
处于停机状态的是不是没事？

不插卡都有事

时间: 2018-8-25 17:08

作者: 越祈

sstfwd 发表于 2018-8-24 09:59
就算GSM、伪基站、短信中间人，还得需要手机银行的登录密码。登录密码怎么泄露的？

社工、撞库、旁窥

时间: 2018-8-25 17:26

作者: xc21768

楼主标题有点吓人，其实手机银行还是很安全的，问题出在支付宝这种快捷支付上面。
我绑定支付宝微信的只有两张卡，一张信用卡，用于日常消费，一张开通网上银行的储蓄卡，用于微信、支付宝转帐，储蓄卡里面一般放1000元，以前还信用卡，或是往网银转帐都是去银行网点，后来实在觉得麻烦，就把工资卡注册了一个手机银行，主要用于信用卡还款以及转帐汇款，平时消费基本上不用。

手机号，很早以前就用电信的cdma了，就是觉得安全（现在看来这个决定很英明），后来电信天翼出来后，第一时间就换了189的号，现在全家用电信的套餐。

时间: 2018-8-25 21:03

作者: 110745

61home 发表于 2018-8-25 20:45
你的这些秘密，登陆密码，早就进了黑产数据库了。除非不用互联网。

我一直认为密码对于平台内部是可以随时查到的，只要存在于平台服务器的一切信息都应该查得到，所以说内部泄密也不是什么难事

时间: 2018-8-25 21:04

作者: 110745

xc21768 发表于 2018-8-25 17:26
楼主标题有点吓人，其实手机银行还是很安全的，问题出在支付宝这种快捷支付上面。
我绑定支付宝微信的只有 ...

信用卡是不可以面对面扫码支付的，你可知道？

时间: 2018-8-25 21:08

作者: 110745

xc21768 发表于 2018-8-25 17:26
楼主标题有点吓人，其实手机银行还是很安全的，问题出在支付宝这种快捷支付上面。
我绑定支付宝微信的只有 ...

请看我截图，这才是回复

附件: Screenshot_20180825-210815.png (2018-8-25 21:08, 137.99 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=MzY4ODI3fGNlYzJiN2NifDE3NTMyOTY1NDh8MHww

时间: 2018-8-25 23:35

作者: xc21768

110745 发表于 2018-8-25 21:04
信用卡是不可以面对面扫码支付的，你可知道？

你到底看明白我说的话没有？我知道信用卡不能面对面扫码支付，也不能微信转帐，我不是说了，这个要用到另一张开通网银的储蓄卡吗？这张卡里少放点钱就行了。
总之，别把有较大余额的银行卡跟支付宝、微信这些线上支付方式绑定就行了，手机银行本身安全性还是很高的。

时间: 2018-8-26 12:01

作者: lyp568

110745 发表于 2018-8-25 15:35
不插卡都有事

不插卡有事，欠停都有事？

时间: 2018-8-26 16:53

作者: 虚拟语气

110745 发表于 2018-8-24 11:54
银行卡绑定支付宝，通过支付宝转账不需要银行卡密码

关闭快捷支付，网上支付渠道限额为零。
除了U盾能转账，其余渠道一律关闭，看他怎么GSM嗅探。

时间: 2018-8-27 09:21

作者: winnyterry

61home 发表于 2018-8-25 20:53
楼上同志们也太小看黑色产业了。接触互联网的人，只要凭一个手机号码基本上，姓名，身份证号码都可以查出来 ...

关键是第三方不用短信验证码作为金融级的密保手段，就能最大程度避免嗅探短信的伤害。其它的问题都不是这个贴子话题的范畴了。

通信人家园 (https://www.txrjy.com/)