首页天天新闻综合排行产品排行榜中榜调查问卷趣味测试地方频道加盟商机排行问答天天搜索
天天新闻综合排行企业人物事件社会经济军事科教人文自然旅游文娱生活特产奢侈黑榜导购质量评论
  当前位置:  首页 > 天天新闻 > 正文
广发信用卡屡遭盗刷 手机动态密码或存致命漏洞
//www.sleezmidgits.com   2011-08-29   IT时报

原本为了增加安全系数的手机动态密码,如今却成了广发网银最大的漏洞。近段时间,广发信用卡盗刷事件频发,作案者手段几乎一致:在受害者网银中修改手机号码,利用新号码接受动态密码,从而完成盗刷支付。近10名被盗刷者向记者提出的相同问题是:网上支付环节中最重要的一环——手机,为什么能如此轻易修改?第三方支付平台能否承担更多的风险控制功能?

用户投诉

一夜“飞”走5000元

8月23日早上王青(化名)打开手机,几条“一拥而入”的短信,让他感到“大势不妙”:“尊敬的×××,您在广发银行网上银行的手机号已经重新设置成功。”“贵卡末四位××××于23日02时消费人民币2000.00元,授权号末四位××××。”几条短信看下来,王青明白了,自己的广发信用卡被盗刷了,损失5000元。

王青立刻拨打了广发信用卡的客服电话,经过查询,第一笔2000元被通过支付宝购买了彩票,第二笔3000元则通过银联在线支付了出去,由于采用即时到账的支付方式,这5000元是追不回来了。

上网搜索一番,王青才发现,原来发生在自己身上的“噩梦”并非个例。从今年7月初开始,便陆陆续续有人在网上投诉,广发上线新网银系统后,信用卡被盗刷。叶迷(化名)是另一名广发信用卡被盗刷者。今年7月4日,他的一张广发信用卡在凌晨两点多的时候被盗刷2000元,通过环迅支付用于购买一家名为腾驰策划公司的服务,被盗经历与王青如出一辙。经过一个多月的联系,叶迷得到的最新回复是:广发银行风险控制部门已介入调查,在此期间,无需还款。

记者调查

第三方支付难止损

在记者拿到的一份广发信用卡被盗刷者的名单中,有5个被盗者与叶迷一样,数千元的款项均被转移至那家名为腾驰策划的公司。到底这是一家怎样的公司呢?8月24日,记者多次拨打腾驰网站上的电话,始终无法接通,其中公布的400电话,更是被接线方否认属于腾驰。叶迷告诉《IT时报》记者,曾有深圳的受害者去腾驰网站上标明的地址查访,却并没有找到这家公司。

通过第三方支付平台——环迅支付,记者拿到一份来自腾驰的声明,称他们也是受害者,盗刷者是他们的一名会员,目前已无法联系,其账户也被冻结。声明的落款是7月26日。环迅支付相关人士向记者证实,这是一家正规运营的公司,证照齐全,销售的是网络优化等服务。

7月4日失窃当日,叶迷向环迅提出终止付款的要求,但最终并没有被支持。环迅支付相关人士告诉记者,普通用户与环迅之间都是T+1的结算方式,也就是说,第一天凌晨发生的盗刷,第二天才会真正由环迅支付给商户,如果盗刷者购买的是实物商品,且当天便与环讯联系,便有可能追回被盗款项。但由于盗刷者通常购买的都是彩票、充值卡等虚拟商品,采用的是即时到账的结算方式,所以第三方支付平台很难止损。

广发网银可随意更改手机

经过对多名受害者采访,《IT时报》记者基本复盘了整个被盗刷的经过。5月20日,广发信用卡的新网银上线,其中一项重要修改是,取消原有固定的支付密码,而采用手机动态密码的方式,也就是说,每次支付前,手机将收到一条动态密码,以此作为支付凭据。

然而,这种新操作模式有个致命的弱点,除非用户设置了“私密问题”,否则黑客只需知道网银登录名和密码,便可在网银上修改手机号码,且修改后的密码直接发送至新号码处,从而完成支付。“广发称这是为了方便丢失手机用户,可到底是网银安全重要,还是为这极少数丢手机用户服务重要?”王青对广发的解释很不理解。

在记者拿到的这份被盗刷名单中,有五六起案件的盗刷者修改后新手机为同一个“159”开头的号码,基本可确定,这些案件均一人所为。然而由于涉案金额并不高,每件盗刷案大多在数千元左右,被害者分布范围广,遍布浙江、广东、北京等地,尽管都已经报警,但警方明确表示,案值太小,恐怕很难破案。

诸多网银只有广发中招

“银行总是说盗刷责任在我们,没保管好密码,难道广发网银就一点责任都没有吗?”王青告诉记者,他电脑中装了360安全卫士、网购保镖等各种杀毒软件,定期更新,从未报警说有木马,“我网购6年,工行、招行、交行等银行的信用卡和网银都有,且最近两个月内均使用过,就算电脑被种了木马,这些银行的网银登录密码应该全被盗,为何其他银行没有被盗刷,只有广发被盗刷成功?”

到底其他银行是如何做的呢?记者随即拨打了招商银行的客服电话,对于记者要求更改注册手机号码的要求,客服人员提出不仅要人工核对多重资料,而且修改号码的请求短信会同时发给新、旧手机号码,最关键的是,修改请求第二天才生效,如是,被修改者有一天的时间来发现,是否密码被盗。至于通过网银修改手机号码?“是不可能的。”

浦发银行的网银防范也十分严密。每次登录都必须输入手机动态密码,从开始便杜绝了盗刷者登录的可能。

记者手记

迟迟不见亡羊补牢

在记者接触的被盗刷者中,最早一人于7月4日被盗刷,最晚一人于8月23日被盗刷,中间相隔一个半月,用户也已经多次向广发投诉。但为何如此明显的漏洞,广发网银仍没有做任何补救工作呢?亡羊补牢为时不晚,就算现在进入调查阶段,先把“羊圈”修补好,应该难度不大吧。没人苛求银行服务十全十美,人们在意的,只是对用户起码的用心和尊重而已。就这点来说,广发差距甚远。

声明:本网登载此文出于传递更多信息之目的。如需转载,请注明文章来源,并署作者名字。
用户
匿名发出
关于我们联系我们服务条款法律声明广告服务站点导航友情连接意见反馈
Copyright 2009-2010, LUCKCOM Co.,All rights reserved