用网银也用了将近一年多的时间,怎么也想不到有一天卡内 的钱会被套走
大致说下今天遇到的情况:
昨天和妈妈在工贸看中一台格力空调扇,后来在淘宝上搜到一家武汉的卖家价格还不错,比工贸便宜200多
由于支付宝金额 不足,网银每日取钱又有金额 限制,所以今天才把剩下的钱第二次充到支付宝内完成付款
就在付款后半个小时,手机收到一条短信显示我卡内 支出100元,这个时候 我觉得似乎有点不太对劲了~
紧接着,在5分钟之内,卡内 分别有100元和10元分别被取走,这个时候 卡内 只剩下一块多钱了。。
当时马上打电话 给民生银行说明这个问题,他们客服挺好的一直都在帮我想办法,然后让我马上挂失卡
在网络支付订单查询里面我看到三次取款金额 全部都是对方通过一个叫“易宝 支付”这么个平台取走的
然后我马上打电话 到易宝 支付的客服中心去问及此事,他们大致了解了一下情况后说我是通过支付宝支付的
可能是有人通过系统漏洞 用了他们这个平台将我卡内 的钱转走的,也只是说让我尽快报警,他们会记录此事,协助调查
这个时候 ,已经有几方的人员叫我报警来让警方干预解决下此事,我知道我的这个金额 太小是绝对不足以立案的~
但是我还是抱着一丝侥幸的心理想要通过警方的协助看能不能通过他们的一些技术力量帮忙查下到底是什么原因
打通电话 后,接待的民警用生硬的语气问了下我的联系方式后说等下有人会联系你的就挂了电话 。。
过了一下,有个中年男子给我打电话 ,他说他是某某分局的,我跟他大致说了下事情 经过
还没说2句,中年男子劈头就说,你卡号又没泄露,又是在家上的网,怎么可能卡内 钱不见列
我说我也想知道原因撒,接下来的谈话让我开始绝望,感觉就像对牛谈情,敷衍了几句那边就把电话 挂了~
后来仔细想了下:今天从网银里面充值到支付宝里的钱已经达到支付限额了,为什么他们还可以从卡里面取走钱?
到底是网银漏洞 ,还是易宝 支付的漏洞 ,或者是其他方面的问题??
关于很多人后面所问我的“难道你没用U盾么”这个话题在这边统一回复下。。
我从用网银开始不久就办了个U宝,其实U宝并没有大家想象的那样无坚不摧,
不然,为什么我用了U宝网银里面的钱还是被黑客盗走了呢~
所以现在Z为安全的就是大家以后用多少就存多少~
你用的是什么杀毒软件呢?
原先很长时间以来一直都是裸机奔跑,顶多装个360安全卫士~
目前是360安全卫士+金山毒霸的组合,开始比较爱护机子了~呵呵。。
大家要是有用的好的杀毒防毒措施记得跟帖交流一下哦~
更新一下Z新进展。
6.27号 的时候 在电子315上面投诉了易宝 支付。。
6.28号 的时候 易宝 支付的客服给我打了个电话 ,说电子315把我的投诉转给她们看了
象征性的了解了一下事情 的经过,本来想把责任推给淘宝那位商户,结果被我否定了~
后来在我的强烈要求下,她大致说出了我的钱是转向“北京八度互联科技有限公司 ”的账户
具体账户人的其他信息她以要跟商户保密不能透露为由拒绝了,说是只能告诉给JC。。
晚上的时候 再查看电子315我的投诉的时候 ,看到投诉的处理结果已经出来了:
看到这种处理结果真有点啼笑皆非。
首先:这三笔订单当然因为不是我支付的,而是通过易宝 支付这个平台转走的我才会投诉
其次:在当天我就已经挂失银行卡并报警,这个上面的已建议未免有点此地无银的意味~
7.1号 本来不打算去派出所的,但是妈妈还是劝我去一趟。。
到了派出所以后,JC让我说一遍事情 的经过,旁边那个JC认出了我,他就是那个接警的JC
说了半天他们硬是挂着一堆十万个为什么,我整个是去那给他们扫盲去了我~
接待的JC说我的金额 小了不足以立案,我说既然如此,那你干嘛打电话 催我过来~
他说这个非得要到2000块钱才能立案,网监的才能插手管这个事情 ~现在只能做个记录
我一听这就火大,我说难道非要等损失个几万上十万才叫损失是吧,外面非要杀人见血才能算是个案子~
本来我懒得再做个破笔录 的,哪晓得这个时候 老娘电话 来了劝我还是做个笔录 ,朋友也一个劲的在旁边劝我~
当时接警的师傅见我要走,不停地在后面叫我先做个笔录 再说,以后再有这种事情 可以一起向上面递交材料
提醒下广大爱好网购的朋友:
以后一定要用多少充多少钱进去,别嫌麻烦~
有U盾不等于买了保险,我就是Z好的例子~
千万不要用信用卡在网上购物,不然被黑的绝对不止这点钱
记住易宝 支付这个网站是可以绕开你设的每日限额转走你的钱钱的
碰到这种事情 千万别去找JC叔叔,JC叔叔也不知道为什么卡在家里钱会被盗~
本帖Z后由 温暖的盒子 于 2010-7-2 16:10 编辑 ]
标签
温暖的盒子
博士一年级
2010年06月26日
在研究今天网银漏洞问题的时候偶然发现的一篇文章
自2009年10月份以来,关于不法分子利用钓鱼网站等途径获取持卡人信息,通过易宝支付等第三方支付平台盗取钱财的纠纷在315消费电子投诉网(www.315ts.net )开始不断增长,而易宝支付风险控制组给315TS的回复都是简单的一句话“请消费者报案,易宝配合公安机关调查”,用户权益无法得到保障,这引起了众多用户的不满,也引起了315TS对此事的重点关注。
夜半惊魂:全副身家在易宝支付被转走
2009年7月30日凌晨2点左右,正在熟睡中的池先生突然被几声短信声吵醒,一看短信被吓了一大跳。其中一条短信内容为:建行提醒:您的[0407]账号于07月30日01:54在电子银行支出人民币7880.00,而另外一条短信内容也差不多:建行提醒:您的[0407]账号于07月30日01:49在电子银行支出人民币6895.00。其他的几条短信内容都差不多,池先生两张银行卡上的钱全部被转走了。
池先生清楚的记得,这两张银行卡中,其中尾号为0407的银行卡没有签约开通网银,而开通了网银的尾号为1660的银行卡及支付宝卡通的动态口令卡均在身上,个人信息及密码也没有泄露,钱怎么可能通过电子银行被支出了呢?之前曾在新闻上看到有类似的网银莫名被盗的情况,但是万万没有想到这样的厄运现在居然降临到了自己的头上,而且是辛辛苦苦工作了那么久的全部积蓄一夜间全部化为乌有,损失之惨重真是让人欲哭无泪。
当夜无法再合上眼,天一亮池先生便匆匆跑去银行营业网点打印帐单,然后赶到当地派出所报案。但是接待的民警却听不懂网银被盗的情况,死活不肯立案。可是除了报警之外,池先生想不到自己还能通过什么样的方式追回自己的款项,于是坚持在派出所里苦苦哀求立案不肯离开。直到当天下午4点左右,才有一个民警看似极不情愿的接了案,随便做了一下笔录。接下来便是等待派出所的处理,可是结果让池先生非常失望,事情一直都没有任何的进展。
不法分子:利用易宝支付漏洞消费转帐
鉴于等待派出所的处理不理想,池先生不得不开始考虑通过其他的途径来挽回自己的损失。多次与建设银行联系无果后,看到对帐单上的资金转入帐户为北京通融通信息技术有限公司,池先生经过多方了解得知,这是不法分子通过第三方支付平台——易宝支付进行消费转帐的,于是开始联系易宝支付客服寻求帮助,但是依然是没什么效果。不过经过多次反复的沟通,池先生发现易宝支付在其中存在众多的问题,从而导致自己的资金被盗。
为了了解自己的资金是怎么被盗的,池先生在易宝支付网站上进行了购买大额充值卡的演示,结果发现尾号0407的银行卡并非签约网银账户,不能通过易宝支付网关支付任何金额。这让池先生觉得非常奇怪,为什么自己不能支付的卡也可以被不法分子进行支付呢?
池先生在查阅相关规定时,看到中国人民银行发布的《电子支付指引(第一号)》第二十五条说明:银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元,而开通了网银的尾号1660的银行卡,通过易宝支付演示得知支付限额为5000元。而不法分子不但能支付未经许可的银行卡,还超额支付。池先生不禁产生这样的质疑:难道建行系统及易宝系统有问题?或内部人员违规操作?
易宝支付:与其无关建议用户报案
在接到315TS反馈的用户投诉后,易宝支付表示此事与其无关,建议用户报警,让警方联系他们,如果是警方介入,他们会提供相应的协助。
而针对用户提出的为什么未开通网银的卡片可以支付且超额支付的问题,易宝支付则表示这是建设银行的原因,与其无关。
而针对池先生反映的情况,建设银行也表示与其无关,建议用户报警,他们会给警方提供协助。
315TS调查:转账支付是通过易宝和银行的特殊通道
为什么池先生未开通网银的银行卡可以支付且可以超额支付?带着疑问,315TS对此事展开了调查。
经过调查了解得知,未开通网银的银行卡能够在第三方支付平台支付,可能有两个原因:
1、犯罪分子窃取了用户的个人信息,冒充持卡人在银行注册成为了电子银行用户。
2、银行会给一些受信任的商户开通绿色支付通道,签订先行赔付的协议,则可提供较高的限额,而非柜台签约的电子银行用户也可以通过该通道直接支付。
池先生尾号0407的银行卡在被盗后仍没开通网银,则可以判断其款项被支付为第二种原因,是通过易宝支付和建设银行的特殊通道进行支付,根据先行赔付的协议,易宝支付和银行方在用户产生纠纷后,需要承担相应的的责任,协助用户追回款项。
经过协商沟通,Z后易宝支付对池先生的损失进行了全额垫付。虽然池先生的损失Z终挽回,但像池先生同样遭遇的用户却比比皆是,这样的特殊通道给广大持卡用户带来的巨大安全隐患实在是令人担忧。(315消费电子投诉网 剑秋桐)
原文:http://www.enet.com.cn/article/2010/0107/A20100107597384.shtml
温暖的盒子
博士一年级
2010年06月26日
网银U盾潜在安全漏洞之忧
发布日期:2009-12-28
USB Key是一种USB接口的硬件存储设备。USB Key的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USB Key有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法可以实现对用户身份的认证。目前USB Key被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。
USB Key在网上银行中,被用作客户数字证书和私有密钥的载体,在网络上鉴别用户身份处于极其关键的地位。而网上银行首要的关键问题就是安全,安全是所有一切的基础,没有安全的网银还不如没有网银。一些新闻报道的国内某某银行几十万资金通过网银被盗,都给网上银行带来巨大的负面影响,让人对于USB Key的网上银行认证的安全性产生怀疑和顾虑。
本文将从技术的角度出发,详细论述一下目前中国网上银行使用的USB Key的安全性以及可能存在的风险和漏洞。当然,一个网银系统的安全,涉及到的理论知识非常多,不仅仅要懂得大学课程《密码学》的全面知识,还要知道Z新加密锁和USB Key的产品动态,进行全面的网银评测并不是那么简单的事情。本文也仅仅起个抛砖引玉的作用,欢迎各方高手继续补充和讨论。
行业安全专家基本都公认USB Key是安全可靠的,那么USB Key为什么是安全的呢?目前有几个重要的性能指标能够说明USB Key的安全性。
1、硬件PIN码保护
黑客需要同时取得用户的USB Key硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
2、安全的存储介质
USB Key的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。
3、公钥密码体制
公钥密码体制和数字证书从密码学的角度上保证了USB Key的安全性,在USB Key初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到USB Key外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出USB Key介质,以此来保证以USB Key为存储介质的数字证书认证在安全上无懈可击。
4、硬件实现加密算法
USB Key内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中。
以上几点是USB Key在理论上安全性的技术保证,但是从技术角度分析,这些安全性能指标往往也存在一些容易被忽视的漏洞。
1、硬件PIN码就绝对安全吗?
目前的大多数银行使用的USB Key的PIN吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到USB Key的PIN码,这也是目前大多数USB Key存在的一个漏洞。知道了PIN码后,如果用户忘记将USB Key从电脑上取出,那么黑客还可以进一步通过PIN码来操作USB Key.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USB Key是否还能保证安全交易呢?我看未必,因为此时USB Key的PIN码已经完全可能会被黑客拦截,当用户操作完一次USB Key后,假如没有立即拔出USB Key,那么黑客完全可能在这个间歇期伪造一次交易,而此时USB Key以及PIN码都可以验证通过。
2、外部真的无法读取Key内部的密钥吗?
USB Key的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”上指的是设计上要绝对安全,如果设计和编写USB Key操作系统COS的人在COS上留了后门,那么这个人就可以从外部读取Key内部的密钥。
3、数字证书
公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方CA机构发放的呢?有些银行的数字证书竟然是银行自己发放的,这就让PKI安全认证大打折扣了。
4、如何保证通讯安全
虽然USB Key内置CPU或智能卡芯片可以完成加密运算,但是数据从电脑上传入USB Key的过程中还是有可能被拦截和修改,USB Key内置的CPU只能保证自身的运算安全,却难以保证数据传入前不被修改。
那么,理想中安全的USB Key应该是什么样子的呢?
1、针对现有USB Key的键盘输入PIN码的漏洞,可以使用生物技术(例如个人指纹)来替换键盘录入PIN码。
也就是说,交易时候接入USB Key,我们不需要再到键盘录入PIN码来验证身份,我们只需要在USB Key的设备上按一下指纹,就能自动验证个人身份,这种身份验证机制带来的安全性和实用性是一种跨时代的提高,用户不可能再忘记密码了,只需要验证指纹即可,指纹的验证实在外部设备上进行的,电脑即使被黑客完全控制也无法截取到用户的指纹,从而保证了PIN码的唯一性和安全性。
2、通过管理或者审计防止COS在设计上留有后门。
3、数字证书应该由独立于用户和银行以外的权威的第三方安全认证机构CA发放,不能由银行自己发放。
4、交易金额从USB Key上录入,以防止数据在传入USB Key之前被篡改。
如果采用了以上我所说的这些安全措施,那么USB Key的安全就可以说达到了“无懈可击”的地步了,实际的安全性可以得到本质上的提高。
当然我也知道,更加安全的USB Key必然会导致其成本的上升,不利于大规模的推广应用,增加这些新的安全措施带来的成本还是相当大的,在实际应用中需要低成本的替代方案才是现实可行的。
那么,对于现有USB Key,如何更安全的操作呢?我的建议如下:
1、和银行确认存在USB Key中的数字证书是唯一的,用户应该把USB Key随身携带。
2、经常扫描一下电脑是否有木马病毒或者被远程控制。
3、没事不要在电脑接入USB Key,只有在交易的时候接入。
4、交易的时候接入USB Key,输入PIN码交易完成后,立即取走USB Key。
如果用户使用招行和工行的USB Key时候能够像我建议的这样操作,那么也可以在现有的硬件基础上,安全性会得到进一步提高。
总而言之,目前的USB Key的主要优点是具有CPU,类似加密锁或加密狗,能够进行RSA等加密算法运算,私钥无法读取,成本上有一定优势,因此在网络认证等领域得到广泛的应用,越来越多的人将会采用USB Key作为日常理财或进行其它网络交易的工具,而作为国内在此领域应用Z早、Z成熟且Z具潜力的网上银行应用,在技术和应用方面都应该先人一步,及时找到USB Key潜在安全漏洞的补救方法。
来源:21世纪网
原文:http://www.cebbank.com/Info/20677005
