一点号走遍神州大地3小时前
警惕!建行网银惊现安全漏洞~无需取款密码即可将钱从卡中转出
作为一个网络安全工程师和记者,对8月26日21:53起发生在自已身上的中国建设银行卡上存款69100元被人操作转走,又转回卡里的事件,现在想起来,仍然觉得不可思议。骗子利用网银安全漏洞,造成钱被转走的事实,从而进行下一步行骗。这场骗局,设计得“天衣无缝”,如果不是记者中途发现情况异常,这笔钱估计已落入骗子口袋。
把事件经过写出来,是希望中国建设银行能够尽快提高安全意识,改变某些操作认证流程,堵住安全漏洞,而不是要求普通老百姓具备福尔摩斯的能力。以下涉及到建行网银操作的流程,都是记者亲历、验证和打建行95533人工客服确认。
事起
台州来电:“你的银行卡买了游戏点卡,请查钱有否少?”
事主查询:网银卡里少了近7万元!
2016年8月26日,记者正在梅列区美地大道友人家里聊天。
21:54,记者的手机收到号码为153-55670421(iphone显示来电地点为台州,浙江)的来电,由于本人并未有该地好友,并且平时经受太多投资、理财、无担保借款等电话骚扰,因此,对此电话并未理会,任其至无人接听……
21:56,该电话又来,仍然不理……
21:57,收到该号码发来的一个短信“您好,我们是拍拍网的,您刚刚使用您建行账户尾号为9575的银行卡购买了69100的游戏点卡,请核对是否本人购买,如果不是本人购买请尽快联系。”
“小样,还想骗我?这种骗术见多了。”我心里想。
本想根本不理,后来想看看其还能有什么花招,于是,回了个短信“不是。”
“那您自己查看您的银行卡是否有被扣除资金。”
天哪!多么正常而有礼貌的回复!人家为你好,你好歹去查查呗,钱终归是你自己的,万一真损失了呢?查查自己的银行卡总不会上当吧。没想到!就此进入骗子精心布置的骗局!
于是,记者打开建设银行手机银行,输入用户名,登录密码。一切正常。
查询对应卡号,震惊!
21:53:28,该账号支出69100.00元,余额变成20.93元!
骗局
钱从卡中被转走是事实
但未落入骗子手中,
联系受害人退款才是局中局
显然!钱的确是从我账号出去了……,交易记录明确显示“摘要:转账支取”,余额变少,不是转走那还能是什么?
朋友家有电脑,为慎重起见,记者叫朋友打开电脑,登录网银,结果是一样的,请注意,上面写的是“支出!转账支取!”
出于一种本能,记者开始拨打发来短信的手机号码,对方忙音,再打,仍然忙,急……,后来,该电话主动打过来。
于是,记者在电话中告知钱的确被扣了,但游戏点卡不是本人购买的,请求停止支付,冻结款项。(实话说,当时还是冷静的,也没有过于激动。但试想,如果这笔钱是穷学生用来交学费的或者工薪者积累了几年的全部家当,或者是用于支付亲友住院的保命钱,会是怎样一种心情?)
对方的回答也滴水不漏,“如果的确不是您本人购买,也不是您的孩子购买,那么我们就将您的钱退回,因为那个购买的人一直催我们发货,我们感觉金额比较大,需要找您本人确认一下。现在清楚了,那就将款退回。”
My god!建立在“银行卡的确被转账支出69100元”这个你查询过的真正事实的基础上,这个回答是不是天衣无逢了呢?看到这里,你不信吗?!
接下来就有意思了。
银行卡在你身边吗?
在
你附近有ATM吗?
没有
那你有微信吗?
有
null
微信绑定了这张银行卡吗?
没有
null
那你先绑定你的银行卡,然后再打电话过来。
对方主动挂机(请注意这个“主动”)。
在那种特定的情形下,从逻辑上判断,这一系列要求几乎天衣无缝!
于是,记者开始了绑定银行卡的操作,搞IT的吧,动作起来,那是真的快……
操作过程中,立即意识到,可能上当了……,立即解绑!(动作依然快)
再一次打对方的电话,想问问为什么退款和微信要有关系啊?(之前对方没等我问就主动挂断电话),告知消费不是本人授权办理的,本人银行卡在身上、网银转账需要Key的,你必须撤销消费,我用是iphone手机,已经升级到9.3.5版本,暂时没有被破解的可能,你的钱必须原路退回,等等一堆废话。对方听到一半挂断了电话……
冷静!冷静!
冷静之后,记者打建行客户电话95533,先口头挂失,再查情况……
打客服电话后,经过一堆的认证,客服告知,该账户的确于21:53被转出了69100元,但22:30又转回了69100元!
此时,记者想起了一首90年代的老歌,改编一下,就是:间隔37分钟,“钱去钱又来……”
不管如何,钱是回来了!高兴!
于是,立即申请口头挂失,避免再次损失,同时立即修改网银登录密码,避免其他卡受损失。
高兴之余,记者居然给那个号码再回了一个短信:
“谢谢!”,“您是什么公司?今天真是特别谢谢您!”
各位看官,你以为事情到此就结束了吗?
那你就小看骗子了,更大的骗局还没开始!
再次冷静下来,还原一下款的往来去向,确认银行卡没被盗,确认网银key没被盗,按道理:即使网银登录密码被猜中,你也只能查询,即使取款密码被猜中,也不能把钱转出去啊,因为需要手机短信,需要USB key认证啊。
那么,钱到底是怎么从卡上转出去的呢?
此号码不是记者本人的。
分析
骗子是如何行骗的?
建行网银嵌入第三方业务
(账户商品)存安全漏洞
记者再次登录网银,查蛛丝马迹,再次打电话客服。理顺思路,分析如下:
1
我的个人银行总账户签约了电话银行服务业务(这项业务几乎是办理网银时默认开通的业务,并且确实有人需要这项业务,许多人往往是不知道就开通了。但对本人而言,我确实是了解并且同意开通的)。
2
对某张银行卡授权可以使用电话银行(办卡时出于安全考虑,我已经将出事这张卡排除在外,仅另一张较少余额的卡做了签约电话银行,但经过95533客户电话查询,发现我这张卡被他人通过打95533电话补做了签约,注意:这个步骤不需要到柜台办理!95533在签约过程是需要一定认证的,显然有人冒充我做了签约。这是安全漏洞一,后文详述。)
3
骗子用这张银行卡签约了一项叫作“账户商品”的业务(就是可以买卖原油、大豆等商品的业务)。
于是,我知道的,安全漏洞二在这里产生了(该过程已经过95533确认,并有电话录音):
1
这个账户商品签约是不需要USB key(就是我们通常说的u盾)和事先绑定的手机验证的!(网银登录后无须任何认证即可签约一项涉及钱进出卡的业务!你想想多可怕!)
2
签约界面上还可以输入一个任意的手机号作为短信通知手机号,这个号码完全不必与原先绑定的手机号相同!(这是最可怕的安全漏洞三,导致后面商品交易的信息完全发往这个电话而不是事先办理网银时绑定的电话,我的就被签约了骗子那尾号为0421的号码)
3
签约完成后,可直接将签约卡上的存款转到商品交易保证金账户上,而不需要其他任何取款密码、usb key和银行卡绑定的手机短信认证!(这是安全漏洞四!在这里,我就想问建行,凭什么我银行卡里的钱转出不需要做认证?!而且交易记录上直接摘要为“转账支出”,这和付款给别人有什么区别?)
4
至此,原本属于你的钱就这样离开了你的银行卡(请注意,这是事实上的你的钱离开了你的卡!)
这时候,你查询你的银行卡,就你会发现,你的钱被转走了。查明细,除了“转账支出”外,仅能在交易地点和附言栏内有你看不懂的一串数字,没有对方账号和其他任何普通人容易理解这笔交易的真实意图的中文信息。
到这个时候,才开始了前述的事实基础上的骗局。
当然,事实上是这笔钱仍然在这个商品账户保证金上,无法直接到骗子对应的卡上,他需要让你发现钱真的少了的事实以及由此引起的紧张情绪和他的“好心退款”的行动,让你一步一步上当……
显然,对于我,没有特别容易。但是对于绝大多数没有掌握足够多IT知识的大众呢?
其实,这里还有一个非常严重的后果,就是,如果骗子想恶作剧,也不要你的钱,仅将你卡里的钱用来高买低卖石油、大豆,耗光你的钱,你找谁去?
追问
这么多的安全漏洞是怎么产生的?
很明显,这个由建设银行网银嵌入第三方业务(账户商品)造成的安全漏洞,可能导致持卡人巨大经济损失。骗子可以利用这个漏洞,造成钱被转走的事实,从而进行下一步行骗或破坏。
每每这类文章,最后都要来一段教普通大众如何防骗,记者要说,这是没有用的!关键还在于我们相应的信息系统要有真正的安全。试想一下,这么多的安全漏洞是怎么出来的?这个事件中,至少以下几个过程是不应该的。
1
通过95533可以进行银行卡的电话银行授权是方便了持卡人,但其认证仅凭密码是不恰当的,当密码被猜中时,这项业务就没有安全可言。实际上还有很多手段可以加强这个认证安全。比如,设定为需要绑定网银的手机拨打,或是需要绑定手机短信回复做二次认证或是用人工客服回打绑定手机进一步确定。在无卡且不见人的情况下把密码认证做为唯一的手段是极不安全也是最容易被攻破的。
2
仅用网银登录密码就可以进行“账户商品”的签约也是不恰当的,做增加一项业务内容的签约(何况涉及到钱转出卡),登录密码凭什么能有这个交易权限?难道不应该是交易密码及Usb key或手机短信才是安全认证措施吗?
3
签约后,卡中的钱转到账户商品保证金时,每一笔钱转出卡的操作,为什么不需要经过交易密码、USB key和手机短信的认证?难道钱离卡的账户信息变动不算一笔交易?
4
账户商品交易短信,为什么可以发到其他手机号而不是强制发到网银绑定手机号,这些操作步骤不都是在网银里面吗?为什么反倒允许绑定网银的手机号不收到交易短信?这时候网银绑定手机的安全措施体现在哪里?哪怕是同时发往两个手机也能收到提醒啊,难道银行存心不想让你知道这些交易正在进行?
5
钱转到保证金账户,网银交易记录中为什么不在“交易摘要”或“交易地点/附言”中标注让普通人能够看得懂的中文描述?目前标记的是容易让人误解的“转账支出”和一串完全看不明白的数字。
以上任何一点加强安全措施,都能够阻止钱款从卡上转出,阻止普通人上当。所以,仅仅怪老百姓没有保管好自己的密码,有道理吗?
记者将这个过程发微信后,有网友告知,大概三四年前他就遇到过了。同时,某国有大银行贵金属交易也类似,那么问题就更大了,银行知道漏洞,不想修补?
另,有网友会问,你那笔钱怎么又会转回呢?经95533确认,一定要人工操作才能转回呀?问题是,记者也不知道。难道是骗子骗不到钱,担心事情闹大而主动转回?
后记
本文于27日下午2点发微博后,至28日23点,阅读量超过30万,可见大家对网银安全还是非常关注的,其中大都表示惊讶,也有一些网友表示上过当,还有许多转到保证金后被做了买卖,结果银行或第三方扣走几百上千元手续费的。也有个网友说,你自己密码没保管好,怪谁呀。对这种说法,我反问你,某人走在街上被车撞了,你能说,他不呆家里,出来走被撞怪谁呀。
个别网友也提出“如果你不信骗子,不就没有问题么,钱还在你账上啊。”对于这种反问,我只想说,普通人在上述精心设计的骗局之下,你怎么知道钱还在?
其中一个网友是当晚比我早一个小时被转出11万多元,结果她被骗走了近6万元。
信息安全小贴士
安全漏洞 英文叫security hole,是信息系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。黑客可以利用这些已知的漏洞(比如前述的交易认证不规范),获取利益。
通俗一点说,安全漏洞就是“有机可乘”的“机”。
密码是怎么泄漏的?
一是被猜中。
二是被“暴力破解”,比如某个系统你用了123做为密码,那么从000-999最多1000次就能破解。在电脑解密程序参与的情况下,如果没有其他安全措施(如几次错误后锁定系统),6位数字密码不到1秒就能被破。
三是被窃取。如被人眼看到、电脑键盘击打键序被木马记录、点击鼠标时屏幕被录像(这些情况当你的电脑中木马、中毒、被黑时太容易做到了)时,密码就轻易被盗了。‘
四是被“撞库”,就是用事先得到的你的某个系统的密码去试其他系统,如果密码相同的话,就被试中了。因此说,注意保管好密码,这句话,说起来容易,实际上蛮难的。
如何设定安全密码?这里教大家一个方法,就是巧用数学运算,把运算结果或其中的一部分做为密码。比如我的生日是660819,儿子是9月出生的,我把660819×9=5947371,最后,我决定以594737或947371做为密码,他人是很难猜中的,你又很好记,只要记这个过程,就可以推出密码,也可以把公式也在本子上,而不是赤裸裸的把密码写在纸上。另外,像网银等允许字母密码的情况下,尽量用大写、小写、数字、特殊字符的组合作为密码,这样不容易被暴力破解。还有就是重要的密码和平时网上注册不重要的密码尽量不要相同,否则容易被“撞库”,比如人家破解了你的电子邮件密码后,用这个密码去套你其他系统的密码,如果相同就如入无人之境了。
网银安全吗?如果规范操作,网银系统算是一个相当安全的信息系统。他的安全关键在于确保在电脑或手机或电话前操作的那个人是“真的你”(可信)。目前保证那个人是“真的你”的措施,有以下几个。
1
密码;最不安全,容易泄漏。
2
手机绑定或回复短信验证码,但是这个措施在你手机被他人使用(如丢了)时,可能产生风险;
3
CA数字证书(就是USB key存的证书)或事先安装了ca证书的设备,在这种情况下操作,表示操作人是“真的你”,这是一项安全性非常好的措施。这个措施安全缺陷同2;
4
以上几种情况结合使用,那么可以说是非常安全了。当然安全的同时,就带来了麻烦,操作很繁琐。因此说,如果规范操作(大资金,可能出现高风险的操作必须多重认证),那么网银安全是不用担心的。如果银行流程规范,个人操作规范,那么你想丢钱都难。