工行卡被盜刷分析:銀行卡里的錢是怎么丟的
責編:admin |2015-07-22 10:37:18銀行與運營商,客戶與銀行,運營商與客戶,只要留下數據痕跡,每一個環節都有可能出現紕漏讓攻擊者有機可乘。銀行希望提供更加便捷的小額支付服務,吸引更多的用戶使用 ;運營商希望提供更多的增值服務,從而形成長尾效應,創造更高的附加值。本文并非針對工行、移動,任何銀行與運營商都有可能發生。雷鋒網作者shotgun是安全領域的專家,他希望借此來探討當下方便快捷的網絡支付所潛藏的安全隱患,給三方警示,從而能更好地保護我們的財物安全。
那么,在支付交易的過程中,運營商、銀行、用戶,三者之間如何協作?哪個環節會出現紕漏?用戶銀行卡里的錢是怎么丟的?
事件回顧(主人公視為小王):
為了方便理解,提取這個過程的幾個節點:
2015年7月1日,小王發現自己被強制開通了10086的短信保管箱業務。第二天,小王就修改了自己的10086密碼。
7月6日,小王收到近10條自己在各種網站注冊賬號的驗證碼信息; 小王再次發現自己被強制開通了短信保管箱業務;?幾分鐘后,工商銀行向受害者發來短信驗證碼,顯示工商銀行卡B中一筆9990元的存款正在轉賬。
這個事件中,我進行了以下這些推論分析:
第一,用戶的手機應該是干凈的。也就是說,沒有被植入木馬后臺。
一般來說,網銀攻擊者喜歡使用手機木馬來直接盜取他人的錢。
手機木馬的工作原理: 一般工作在安卓或者越獄后的蘋果手機上(近期也出現了不需要越獄就可以植入的蘋果木馬),利用APP或者手機操作系統的漏洞,不僅僅可以截獲短信、竊聽通話,甚至還可以直接拿到手機銀行的帳號和交易密碼。
手 機木馬不僅可以偷取網銀的賬號密碼,還可以直接讀取驗證短信。換句話說,如果有手機木馬,那么是不需要通過短信保險箱來獲取驗證短信,也不需要多次嘗試取 款密碼。但是從小王被強制開通了10086的短信保管箱業務可以看出,攻擊者并沒有直接在手機上讀取認證短信,所以排除了手機被植入木馬后臺的可能。
第二,攻擊者不是通過入侵銀行的服務器來竊取。
如 果攻擊者拿下了銀行的服務器,那么就可以直接轉帳到自己的帳號,根本不需要短信驗證,即使有短信驗證的環節,服務器上也可以直接讀取,壓根不需要短信保管 箱。就算銀行的監管系統和支付安全一直都飽受質疑,但是不可否認的是,絕大多數銀行服務器的保護措施都比個人電腦高很多,不只是一個級別的差距。所以,出 現網上銀行服務器被攻破的概率相對較小。
在這個事件中,小王同樣是被強制使用短信保管箱,那么也就說明,攻擊者并非通過入侵銀行服務器來竊取的。
第三,小王的電腦、網關中應該有一個出了問題。
電腦、網關的運行過程如下:
在這個過程中,攻擊者只需要利用安全漏洞獲得受害人電腦或者網關中任意一個的權限,就可以讀取到受害人的銀行卡號、 手機號碼等等信息。但是因為銀行的網銀系統受到安全控件的保護,所以取款密碼是很難直接讀取,這就是攻擊者多次嘗試導致銀行卡被鎖的原因。
而當小王修改移動運營商的網站登錄密碼時,由于移動運營商的網站安全級別遠低于網銀,所以該密碼很容易被攻擊者直接竊聽到。
小王B卡的卡號在第二天就泄露,他在修改了手機的網站登錄密碼后,攻擊者還是可以強行打開短信保管箱。雖然我們目前還沒能檢查過小王的電腦和網關,但是攻擊者通過電腦木馬或者網關劫持獲取受害人的帳號的可能性很大,而小王的手機號碼,也很可能是通過類似的方式被獲得的。
所 以說,這個環節中,小王的電腦、網關中應該有一個出了問題。根據工行做出的回應,事發原因是不法分子使用非法手段獲取了客戶相關信息和密碼,再利用客戶信 息開通了客戶手機的“短信保管箱”業務,從而獲取交易驗證短信并盜取資金。當然,銀行方面的責任不可推脫,這里就不具體展開,后面“e支付”會再說明下。
第四:移動運營商業務的安全風險控制存在漏洞。
1、短信保管箱業務本身存在的較大風險未能事先評估出來。
短信作為包含用戶隱私,甚至經常會攜帶支付認證信息的服務,提供云保管服務應該更加慎重。例如應該由用戶親自前往營業廳才能夠啟用,或者至少允許用戶可以禁用該服務,直到親自前往營業廳解禁。
2、允許通過wap方式啟用短信保管箱服務,使得第三方可以強行打開該服務,從而劫持敏感的短信。
根據移動公司的回應:“目前經過后臺網絡日志顯示,不知情定制均系有人使用客戶的手機號和客服網站密碼,通過手機登錄客服WAP頁面開通,目前并沒有任何跡象顯示是中國移動網站被攻擊造成了客戶信息泄漏。”
原本“短信保管箱服務”必須本機回復短信才能夠激活,但是因為系統上線時未能仔細檢查老舊的wap服務接口,使得攻擊者通過wap服務繞過了本機短信驗證環節,最終導致了小王的網銀失竊。
正 常情況下運營商一個新業務上線應該做風險評估的。而wap是老業務,短信保管箱是新業務,運營商疏忽了這個環節,或者說,攻擊者的腦洞開得很大,運營商并 沒有想到會有人用老古董業務去開新業務。如果運營商有行動,這個環節的紕漏會有很大的概率被發現,完全可以關掉通過wap開保管箱這條路。不過,經過這次 事件之后,運營商應該會把wap申請關掉。
盡管就像移動說的那樣,并非“中國移動網站被攻擊造成了客戶信息泄漏”,但是由于運營商對wap服務的忽視也會對用戶造成財務損失。畢竟,這方面的風險本就該由運營商來管控的。
第五:銀行使用短信這種不可靠的方式來進行用戶身份認證是不妥的。
短信不僅可以通過本次案件中的短信托管服務劫持,還可能被“偽基站”、“手機木馬”劫持,因此應該使用強度更高的U盾或者隨機密碼器。這個方法很多銀行已經都有了,主要的問題可能還是出現在“e支付”,因為“e支付”是小額支付,一般還是用短信驗證。
即使必須使用短信來進行二次身份認證,也應該將支付\轉帳金額控制在較小的額度。但是,每家銀行定義的“小額”不同。顯然工行的額度比較大:工行默認1萬,然后可以提升到2萬。
之前有用戶說“e支付”的安全隱患曝光,工行回應“系誤解”。其實說到底還是攻擊者借助非法途徑截獲短信驗證碼,輕而易舉地盜竊存款。
通過工商銀行查明,小王總計13990元被轉入了一個叫“楊少華”的賬戶里。幾筆金額其實并不小,有一筆交易是9990元。
第六:用戶應該提高安全警惕性。
1、 用戶啟用銀行的網上支付、網上交易功能時應該仔細閱讀風險提示,并做好帳戶的隔離,例如用一張金額較低的卡來專門進行網上交易,而存放金額較高的卡則關閉 所有網絡支付、交易功能。或者把大額的活期放在貨幣基金或者定期存款里,但是這樣要多一次定期/貨基轉活期的操作。當然,這個就涉及到了銀行的業務,人行 和銀監會的監管要求也不同,我就不展開來講。
2、不要使用弱密碼,注意定期更換密碼,也不要把密碼存放在電腦或者手機里面,不同的卡盡可能采用不同的密碼。
這個事件中,小王在第一張銀行卡頻繁被凍結之后,辦了第二張工行卡,而他還是使用原來的密碼,這種情況下,很容易導致密碼泄露。
3、在遇到銀行卡被盜刷時,我們要第一時間聯系銀行凍結相關帳戶,而不是花時間和運營商討論。
總結
在銀行和運營商角度,本質上這還是一個新業務創新和風險控制之間平衡的老問題。
銀行希望提供更加便捷的小額支付服務,吸引更多的用戶使用 ;運營商希望提供更多的增值服務,從而形成長尾效應,創造更高的附加值。但是業務創新中,信息風險控制措施未能及時跟上,銀行方面忽視了短信的不可靠性,而運營商則忽視了短信服務承載的密碼認證責任。
再加上平時對用戶的教育培訓不足,使得用戶缺少安全警惕,內部風險控制的敏感度不足,兩家企業的電話服務中心員工也都忽視了之前的各種異常情況,最終導致了本次事件的發生。