通信人家园
标题:
移动“和包”存漏洞?用户遭“嗅探”窃码、盗刷银行卡
[查看完整版帖子]
[打印本页]
时间:
2022-1-21 09:20
作者:
国王长了驴耳朵
标题:
移动“和包”存漏洞?用户遭“嗅探”窃码、盗刷银行卡
原标题:睡梦中收百条验证码后银行卡被盗刷 女子遭“嗅探”窃码
“冬至这天把我从睡梦里叫醒的不是饺子,而是银行卡里的钱没了!”近日,北京通州的刘女士向澎湃新闻反映称,2021年12月21日深夜自己手机里收到了上百条验证码短信,醒来后发现名下多个银行卡被绑定中国移动“和包快捷支付”,其中一张银行卡被盗刷8640元,“其他银行卡也被绑定了,只是里面没有钱,真的是细思极恐。”
2022-1-21 09:18 上传
下载附件
(168.63 KB)
刘女士名下多张银行卡深夜被绑定和包支付
刘女士说,经警方调查,她经历的是一种新型技术类网络盗刷,通过“嗅探”技术窃取登录验证码来实现盗刷银行卡。事发后,她要求被盗刷银行卡发卡行追回款项,至今一个多月仍未完全追回。1月19日,澎湃新闻记者致电刘女士报案的派出所,警方表示该案目前仍在调查中。
对此,发卡行农业银行北京紫竹桥支行相关负责人表示,目前已经追回1650元,仍有6990元正在处理中。刘女士希望通过自己的遭遇来警醒大众,引起相关部门对“嗅探”盗刷案件的重视,“如果是我被诈骗自己泄露了银行卡信息,我认倒霉,但我就是在睡觉,银行卡却被盗刷了,这种事会发生在我身上,就有可能发生在更多人身上。”
睡梦中手机收到上百条验证码,银行卡被盗刷
2021年12月21日凌晨,正在睡熟的李女士被手机铃声吵醒,“是中国银联的自动语音机器人打来的,第一个我挂掉了,因为不知道是什么事,第二个接起来,语音播报说我卡内的钱被快捷支付转走了,问我是不是本人操作,当时我就睡意全无了。”
打开手机后,李女士发现一夜之间手机里多了上百条验证码,来自各个银行、支付宝等平台,如“开通和包支付账户”“重置支付密码”“签约银行卡等”,看到这些短信,李女士第一时间把手机调成了飞行模式,后来不放心,直接关机了。
一大早李女士就赶到银行查询银行卡流水,打开手机后她发现,自己名下大多数银行卡都被开通了中国移动“和包快捷支付”,“除了一张存款最多的招商银行卡,其他卡都开通了。”李女士说,自己的其他银行卡中都没有存款,但一张农业银行的公积金联名银行卡被盗刷了8640元。
李女士说,经查询,被盗刷的钱分为14笔,均通过中国移动“和包快捷支付”进行消费,其中1650元用于苹果公司消费,6990元用于“(特约)时韵(广告宣传)”。
对于自己的银行卡被盗刷,刘女士十分不解,“我平时工作很忙,从来不打游戏,也不是手机依赖者,可以确定自己也没有点开过任何可疑的链接,而且被盗刷的公积金卡,从未进行过网络支付和绑定交易,只是每年定期去银行取现,这样的银行卡信息都能泄露,什么才是安全的?”
刘女士称,自己多次向中国移动就“被乱发验证码、乱开钱包支付业务”投诉,但答复均是“没有任何责任”。
同时,刘女士也要求被盗刷银行卡的开卡银行进行追款。她称,经银行调查,被盗款项一部分进入了非她名下的苹果账户进行充值消费,苹果公司查询后锁定了该账号消费,但因账户中没有余额而尚未处理,“我们要求苹果公司提供账户信息,但他们以对用户的隐私保护为由,拒绝提供。”另一部分显示“(特约)时韵(广告宣传)”的被盗款项则显示进入了杭州市民卡。
银行:已追回部分被盗刷款项
事发后,刘女士第一时间向北京通州九棵树派出所报警。她说,警方表示,经调查,她遭遇的是一种新型技术类网络盗刷,“就是通过伪基站获取手机信号,窃取登录验证码,从而进行盗刷行为,是一种不需要接触的‘嗅探’技术。”
澎湃新闻了解到,近些年,“嗅探”盗刷银行卡事件屡见不鲜。近日,山东滨海公安局滨南分局也侦破了辖区内首例利用“嗅探”技术盗刷资金案,据警方介绍,犯罪嫌疑人通过架设伪基站,使用“嗅探”设备获取一定范围内的手机号码,被获取手机号码收到的短信内容也会自动显示在“嗅探”系统电脑上,随后犯罪嫌疑人再用获取的手机号登录支付平台,使用“嗅探”设备截获验证码等信息,进一步获取该手机用户的详细关联信息,最终通过第三方平台完成账户资金盗刷。
1月19日,澎湃新闻记者致电通州九棵树派出所,警方表示该案目前仍在调查中。
同日,中国移动和包支付客服人员表示,“和包支付”绑定银行卡,确实不需要人脸识别等本人验证方式,提供银行卡号和手机验证码即可完成绑定。对于刘女士银行卡被盗刷一事,客服人员表示需要反馈给客服代表进行处理,截至发稿尚未进一步回应。
澎湃新闻记者了解到,2021年5月25日,最高人民法院发布了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》,其中明确规定,发生伪卡盗刷交易或者网络盗刷交易,借记卡持卡人基于借记卡合同法律关系请求发卡行支付被盗刷存款本息并赔偿损失的,人民法院依法予以支持。
对此,刘女士也多次要求被盗银行卡开户行农业银行北京紫竹桥支行追回被盗款项。
1月19日,澎湃新闻记者致电农业银行北京紫竹桥支行,相关负责人表示,目前正在为刘女士追回被盗款项,其中用于美国苹果公司消费的1650元已经拨款至农业银行,“现在处于60至90天的争议期,如果苹果公司方面不提起复议,钱就能返还到刘女士账户中。”而剩余的6990元,还在处理阶段。
如今距离银行卡被盗刷已经过去了一个月,刘女士仍然心有余悸,“其他银行卡都被绑定了‘和包支付’,只是里面没有钱,真的是细思极恐。”刘女士说,被盗次日凌晨她又收到了一条验证码,在此之后,她睡前都会将手机关机,而且解绑了所有银行卡的网上支付,“虽然移动支付很便捷,但和安全是矛盾的,我不想再有被惊醒的夜晚。”
附件:
1578EA3C9BF36242B82A8E822ECDF5F4B169E189_size187_w550_h1210.jpg
(2022-1-21 09:18, 168.63 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NTE0OTEyfDYxMTgyN2EzfDE3NTI5MjQ3MDh8MHww
时间:
2022-1-21 10:11
作者:
乂夂
移动2G高端用户
时间:
2022-1-21 10:12
作者:
乂夂
全文没有提到2G的漏洞,移动保护费给的蛮足的吧
时间:
2022-1-21 10:19
作者:
为别人打工的人
恐怖
时间:
2022-1-21 11:04
作者:
abcchn
*#*#4636#*#*开通lte only
时间:
2022-1-21 11:12
作者:
sakura911
所以到底是为什么,漏洞在哪里,也不说清楚,这新闻说了跟没说一样,唯一得到的消息是不要用和包支付?还纳闷手机开飞行模式有什么用呢
时间:
2022-1-21 12:04
作者:
huamutongyou
就没有人思考手机在这里面的作用吗?昨天登录某网盘,我已经登录成功了,提示需要手机验证,关键绑定的手机十年前就不用了。。结果我知道密码,知道安全邮箱,知道密保问题答案,就是不能改手机号,非得原来的手机号收一下验证码。。。最后通过一系列不堪回首的回忆。。。申诉改掉了。
所以,我们的安全就只能建立在手机上??
时间:
2022-1-21 14:20
作者:
whyttbb
好像有人说过,通过手机号码鉴权本身就有问题。
时间:
2022-1-21 16:09
作者:
zhwm1985
把锅都甩给GSM了,通过强信号覆盖用户所在范围,然后使用嗅探技术,疯狂申请注册等方式接受短信验证码,再在支付软件上绑定客户银行卡,最后付款支付,客户手机接收验证码时,犯罪分子也能收到验证码,支付成功。
这里面三个漏洞:
1,客户手机有GSM网络,因为目前只能在这个网络模式下拦截复制短信。
2,客户银行卡号和身份证号泄露,没这个也绑定不了银行卡
3,移动和包验证步骤简单,有漏洞,被坏人利用
三条里面有两条和移动有关,但是新闻基本没有提到移动的责任,所以嘛,肯定是……
虽然GSM还有2家在用,但是目前移动用户最多,而银行卡绑定的手机号也是移动最多,和包也是移动的,联通用户能不能注册不知道,没试过,所以,最好的办法就是关闭GSM鉴权,或者手机设置LTE ONLY
,但是移动好像不提供关闭2G鉴权业务,所以,这篇新闻相当于什么都没说
时间:
2022-1-21 16:11
作者:
zhwm1985
sakura911 发表于 2022-1-21 11:12
所以到底是为什么,漏洞在哪里,也不说清楚,这新闻说了跟没说一样,唯一得到的消息是不要用和包支付?还纳 ...
没用,你手机接收到的短信人家电脑上也有一份,只要注册和包就行了,这个说的是和包的个人验证太简单了,只要短信验证码就能注册绑定支付,你用不用都没关系,人家也能用你的号码注册
通信人家园 (https://www.txrjy.com/)
Powered by C114
附件: 1578EA3C9BF36242B82A8E822ECDF5F4B169E189_size187_w550_h1210.jpg (2022-1-21 09:18, 168.63 KB) / 下载次数 0
恐怖 
