警惕！建行网银惊现安全漏洞无需取款密码即可将钱从卡中转出

警惕！建行网银惊现安全漏洞~无需取款密码即可将钱从卡中转出   作为一个网络安全工程师和记者，对8月26日21:53起发生在自已身上的中国建设银行卡上存款69100元被人操作转走，又转回卡里的事件，现在想起来，仍然觉得不可思议骗子利用网银安全漏洞，造成钱被转走的事实，从而进行下一步行骗这场骗局，设计得天衣无缝，如果不是记者中途发现情况异常，这笔钱估计已落入骗子口袋 把事件经过写出来，是希望中国建设银行能够尽快提高安全意识，改变某些操作认证，堵住安全漏洞，而不是要求普通老百姓具备福尔摩斯的能力以下涉及到建行网银操作的流程，都是记者亲历验证和打建行95533人工客服确认 台州来电：你的银行卡买了游戏点卡，请查钱有否少？ 事主查询：网银卡里少了近7万元！ 2016年8月26日，记者正在梅列区美地大道友人家里聊天 21:54，记者的手机收到号码为153-556****21（iphone显示来电地点为台州，浙江）的来电，由于本人并未有该地好友，并且平时经受太多投资理财无担保借款等电话骚扰，因此，对此电话并未理会，任其至无人接听 21:56，该电话又来，仍然不理 21:57，收到该号码发来的一个短信您好，我们是拍拍网的，您刚刚使用您建行账户尾号为9575的银行卡购买了69100的游戏点卡，请核对是否本人购买，如果不是本人购买请尽快联系 小样，还想骗我？这种骗术见多了我心里想 本想根本不理，后来想看看其还能有什么花招，于是，回了个短信不是 那您自己查看您的银行卡是否有被扣除资金 天哪！多么正常而有礼貌的回复！人家为你好，你好歹去查查呗，钱终归是你自己的，万一真损失了呢？查查自己的银行卡总不会上当吧没想到！就此进入骗子精心布置的骗局！ 于是，记者打开建设银行手机银行，输入用户名，登录密码一切正常 查询对应卡号，震惊！ 21:53:28，该账号支出69100.00元，余额变成20.93元！ 钱从卡中被转走是事实 但未落入骗子手中， 联系受害人退款才是局中局 显然！钱的确是从我账号出去了，交易记录明确显示摘要：转账支取，余额变少，不是转走那还能是什么？ 朋友家有电脑，为慎重起见，记者叫朋友打开电脑，登录网银，结果是一样的，请注意，上面写的是支出！转账支取！ 出于一种本能，记者开始拨打发来短信的手机号码,对方忙音，再打，仍然忙，急，后来，该电话主动打过来 于是，记者在电话中告知钱的确被扣了，但游戏点卡不是本人购买的，请求停止支付，冻结款项(实话说，当时还是冷静的，也没有过于激动但试想，如果这笔钱是穷学生用来交学费的或者工薪者积累了几年的全部家当，或者是用于支付亲友住院的保命钱，会是怎样一种心情？) 对方的回答也滴水不漏，如果的确不是您本人购买，也不是您的孩子购买，那么我们就将您的钱退回，因为那个购买的人一直催我们发货，我们感觉金额比较大，需要找您本人确认一下现在清楚了，那就将款退回 My god!建立在银行卡的确被转账支出69100元这个你查询过的真正事实的基础上，这个回答是不是天衣无逢了呢？看到这里，你不信吗？！ 接下来就有意思了 银行卡在你身边吗？ 你附近有ATM吗？ 那你有微信吗？ 微信绑定了这张银行卡吗？ 那你先绑定你的银行卡，然后再打电话过来 对方主动挂机(请注意这个主动) 在那种特定的情形下，从逻辑上判断，这一系列要求几乎天衣无缝！ 于是，记者开始了绑定银行卡的操作，搞IT的吧，动作起来，那是真的快 操作过程中，立即意识到，可能上当了，立即解绑！（动作依然快） 再一次打对方的电话，想问问为什么退款和微信要有关系啊？（之前对方没等我问就主动挂断电话），告知消费不是本人授权办理的，本人银行卡在身上网银转账需要Key的，你必须撤销消费，我用是iphone手机，已经升级到9.3.5版本，暂时没有被破解的可能，你的钱必须原路退回，等等一堆废话对方听到一半挂断了电话 冷静！冷静！ 冷静之后，记者打建行客户电话95533，先口头挂失，再查情况 打客服电话后，经过一堆的认证，客服告知，该账户的确于21:53被转出了69100元，但22:30又转回了69100元！ 此时，记者想起了一首90年代的老歌，改编一下，就是：间隔37分钟，钱去钱又来 不管如何，钱是回来了！高兴！ 于是，立即申请口头挂失，避免再次损失，同时立即修改网银登录密码，避免其他卡受损失 高兴之余，记者居然给那个号码再回了一个短信： 谢谢！，您是什么公司？今天真是特别谢谢您！ 各位看官，你以为事情到此就结束了吗？ 那你就小看骗子了，更大的骗局还没开始！ 再次冷静下来，还原一下款的往来去向，确认银行卡没被盗，确认网银key没被盗，按道理：即使网银登录密码被猜中，你也只能查询，即使取款密码被猜中，也不能把钱转出去啊，因为需要手机短信，需要USB key认证啊 那么，钱到底是怎么从卡上转出去的呢？ 此号码不是记者本人的 骗子是如何行骗的？ 建行网银嵌入第三方业务 （账户商品）存安全漏洞 记者再次登录网银，查蛛丝马迹，再次打电话客服理顺思路，如下： 于是，我知道的，安全漏洞二在这里产生了（该过程已经过95533确认，并有电话录音）： 这个账户商品签约是不需要USB key（就是我们通常说的u盾）和事先绑定的手机验证的！（网银登录后无须任何认证即可签约一项涉及钱进出卡的业务！你想想多可怕！） 签约界面上还可以输入一个任意的手机号作为短信通知手机号，这个号码完全不必与原先绑定的手机号相同！（这是最可怕的安全漏洞三，导致后面商品交易的信息完全发往这个电话而不是事先办理网银时绑定的电话，我的就被签约了骗子那尾号为0421的号码） 签约完成后，可直接将签约卡上的存款转到商品交易保证金账户上，而不需要其他任何取款密码usb key和银行卡绑定的手机短信认证！（这是安全漏洞四！在这里，我就想问建行，凭什么我银行卡里的钱转出不需要做认证？！而且交易记录上直接摘要为转账支出，这和付款给别人有什么区别？） 至此，原本属于你的钱就这样离开了你的银行卡(请注意，这是事实上的你的钱离开了你的卡！) 这时候，你查询你的银行卡，就你会发现，你的钱被转走了查明细，除了转账支出外，仅能在交易地点和附言栏内有你看不懂的一串数字，没有对方账号和其他任何普通人容易理解这笔交易的真实意图的中文信息 到这个时候，才开始了前述的事实基础上的骗局 当然，事实上是这笔钱仍然在这个商品账户保证金上，无法直接到骗子对应的卡上，他需要让你发现钱真的少了的事实以及由此引起的紧张情绪和他的好心退款的行动，让你一步一步上当 显然，对于我，没有特别容易但是对于绝大多数没有掌握足够多IT知识的大众呢？ 其实，这里还有一个非常严重的后果，就是，如果骗子想恶作剧，也不要你的钱，仅将你卡里的钱用来高买低卖石油大豆，耗光你的钱，你找谁去？ 这么多的安全漏洞是怎么产生的？ 很明显，这个由建设银行网银嵌入第三方业务（账户商品）造成的安全漏洞，可能导致持卡人巨大经济损失骗子可以利用这个漏洞，造成钱被转走的事实，从而进行下一步行骗或破坏 每每这类文章，最后都要来一段教普通大众如何防骗，记者要说，这是没有用的！关键还在于我们相应的信息系统要有真正的安全试想一下，这么多的安全漏洞是怎么出来的？这个事件中，至少以下几个过程是不应该的 通过95533可以进行银行卡的电话银行授权是方便了持卡人，但其认证仅凭密码是不恰当的，当密码被猜中时，这项业务就没有安全可言实际上还有很多手段可以加强这个认证安全比如，设定为需要绑定网银的手机拨打，或是需要绑定手机短信回复做二次认证或是用人工客服回打绑定手机进一步确定在无卡且不见人的情况下把密码认证做为唯一的手段是极不安全也是最容易被攻破的 仅用网银登录密码就可以进行账户商品的签约也是不恰当的，做增加一项业务内容的签约（何况涉及到钱转出卡），登录密码凭什么能有这个交易权限？难道不应该是交易密码及Usb key或手机短信才是安全认证吗？ 签约后，卡中的钱转到账户商品保证金时，每一笔钱转出卡的操作，为什么不需要经过交易密码USB key和手机短信的认证？难道钱离卡的账户信息变动不算一笔交易？ 账户商品交易短信，为什么可以发到其他手机号而不是强制发到网银绑定手机号，这些操作步骤不都是在网银里面吗？为什么反倒允许绑定网银的手机号不收到交易短信？这时候网银绑定手机的安全措施体现在哪里？哪怕是同时发往两个手机也能收到提醒啊，难道银行存心不想让你知道这些交易正在进行？ 钱转到保证金账户，网银交易记录中为什么不在交易摘要或交易地点/附言中标注让普通人能够看得懂的中文描述？目前标记的是容易让人误解的转账支出和一串完全看不明白的数字 以上任何一点加强安全措施，都能够阻止钱款从卡上转出，阻止普通人上当所以，仅仅怪老百姓没有保管好自己的密码，有道理吗？ 记者将这个过程发微信后，有网友告知，大概三四年前他就遇到过了同时，某国有大银行贵金属交易也类似，那么问题就更大了，银行知道漏洞，不想修补？ 另，有网友会问，你那笔钱怎么又会转回呢？经95533确认，一定要人工操作才能转回呀？问题是，记者也不知道难道是骗子骗不到钱，担心事情闹大而主动转回？ 本文于27日下午2点发微博后，至28日23点，阅读量超过30万，可见大家对网银安全还是非常关注的，其中大都示惊讶，也有一些网友表示上过当，还有许多转到保证金后被做了买卖，结果银行或第三方扣走几百上千元手续费的也有个网友说，你自己密码没保管好，怪谁呀对这种说法，我反问你，某人走在街上被车撞了，你能说，他不呆家里，出来走被撞怪谁呀 个别网友也提出如果你不信骗子，不就没有问题么，钱还在你账上啊对于这种反问，我只想说，普通人在上述精心设计的骗局之下，你怎么知道钱还在？ 其中一个网友是当晚比我早一个小时被转出11万多元，结果她被骗走了近6万元 信息安全小贴士 安全漏洞 英文叫security hole，是信息系统在硬件软件协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统是受限制的计算机组件应用程序或其他联机资源的无意中留下的不受保护的入口点黑客可以利用这些已知的漏洞（比如前述的交易认证不规范），获取利益 通俗一点说，安全漏洞就是有机可乘的机 密码是怎么泄漏的？       一是被猜中       二是被暴力破解,比如某个系统你用了123做为密码，那么从000-999最多1000次就能破解在电脑解密程序参与的情况下，如果没有其他安全措施（如几次错误后锁定系统），6位数字密码不到1秒就能被破        三是被窃取如被人眼看到电脑键盘击打键序被木马记录点击鼠标时屏幕被录像（这些情况当你的电脑中木马中毒被黑时太容易做到了）时，密码就轻易被盗了       四是被撞库，就是用事先得到的你的某个系统的密码去试其他系统，如果密码相同的话，就被试中了因此说，注意保管好密码，这句话，说起来容易，实际上蛮难的 如何设定安全密码？这里教大家一个，就是巧用数学运算，把运算结果或其中的一部分做为密码比如我的生日是660819，儿子是9月出生的，我把660819×9=594****71,最后，我决定以594****37或947****71做为密码，他人是很难猜中的，你又很好记，只要记这个过程，就可以推出密码，也可以把公式也在本子上，而不是**裸的把密码写在纸上另外，像网银等允许字母密码的情况下，尽量用大写小写数字特殊字符的组合作为密码，这样不容易被暴力破解还有就是重要的密码和平时网上注册不重要的密码尽量不要相同，否则容易被撞库，比如人家破解了你的电子邮件密码后，用这个密码去套你其他系统的密码，如果相同就如入无人之境了 网银安全吗?如果规范操作，网银系统算是一个相当安全的信息系统他的安全关键在于确保在电脑或手机或电话前操作的那个人是真的你（可信）目前保证那个人是真的你的措施，有以下几个 （三明日报记者 黄承材 文/图） 来源：三明日报微信（ID：smrbwx） 本期：文点 涵子