7
【編者按】銀行與運(yùn)營(yíng)商,客戶與銀行,運(yùn)營(yíng)商與客戶,只要留下數(shù)據(jù)痕跡,每一個(gè)環(huán)節(jié)都有可能出現(xiàn)紕漏讓攻擊者有機(jī)可乘。銀行希望提供更加便捷的小額支付服務(wù),吸引更多的用戶使用 ;運(yùn)營(yíng)商希望提供更多的增值服務(wù),從而形成長(zhǎng)尾效應(yīng),創(chuàng)造更高的附加值。本文并非針對(duì)工行、移動(dòng),任何銀行與運(yùn)營(yíng)商都有可能發(fā)生。雷鋒網(wǎng)作者shotgun是安全領(lǐng)域的專家,他希望借此來(lái)探討當(dāng)下方便快捷的網(wǎng)絡(luò)支付所潛藏的安全隱患,給三方警示,從而能更好地保護(hù)我們的財(cái)物安全。
那么,在支付交易的過(guò)程中,運(yùn)營(yíng)商、銀行、用戶,三者之間如何協(xié)作?哪個(gè)環(huán)節(jié)會(huì)出現(xiàn)紕漏?用戶銀行卡里的錢是怎么丟的?
事件回顧(主人公視為小王):
為了方便理解,提取這個(gè)過(guò)程的幾個(gè)節(jié)點(diǎn):
2015年7月1日,小王發(fā)現(xiàn)自己被強(qiáng)制開通了10086的短信保管箱業(yè)務(wù)。第二天,小王就修改了自己的10086密碼。
7月6日,小王收到近10條自己在各種網(wǎng)站注冊(cè)賬號(hào)的驗(yàn)證碼信息; 小王再次發(fā)現(xiàn)自己被強(qiáng)制開通了短信保管箱業(yè)務(wù); 幾分鐘后,工商銀行向受害者發(fā)來(lái)短信驗(yàn)證碼,顯示工商銀行卡B中一筆9990元的存款正在轉(zhuǎn)賬。
這個(gè)事件中,我進(jìn)行了以下這些推論分析:
第一,用戶的手機(jī)應(yīng)該是干凈的。也就是說(shuō),沒有被植入木馬后臺(tái)。
一般來(lái)說(shuō),網(wǎng)銀攻擊者喜歡使用手機(jī)木馬來(lái)直接盜取他人的錢。
手機(jī)木馬的工作原理: 一般工作在安卓或者越獄后的蘋果手機(jī)上(近期也出現(xiàn)了不需要越獄就可以植入的蘋果木馬),利用APP或者手機(jī)操作系統(tǒng)的漏洞,不僅僅可以截獲短信、竊聽通話,甚至還可以直接拿到手機(jī)銀行的帳號(hào)和交易密碼。
手機(jī)木馬不僅可以偷取網(wǎng)銀的賬號(hào)密碼,還可以直接讀取驗(yàn)證短信。換句話說(shuō),如果有手機(jī)木馬,那么是不需要通過(guò)短信保險(xiǎn)箱來(lái)獲取驗(yàn)證短信,也不需要多次嘗試取款密碼。但是從小王被強(qiáng)制開通了10086的短信保管箱業(yè)務(wù)可以看出,攻擊者并沒有直接在手機(jī)上讀取認(rèn)證短信,所以排除了手機(jī)被植入木馬后臺(tái)的可能。
第二,攻擊者不是通過(guò)入侵銀行的服務(wù)器來(lái)竊取。
如果攻擊者拿下了銀行的服務(wù)器,那么就可以直接轉(zhuǎn)帳到自己的帳號(hào),根本不需要短信驗(yàn)證,即使有短信驗(yàn)證的環(huán)節(jié),服務(wù)器上也可以直接讀取,壓根不需要短信保管箱。就算銀行的監(jiān)管系統(tǒng)和支付安全一直都飽受質(zhì)疑,但是不可否認(rèn)的是,絕大多數(shù)銀行服務(wù)器的保護(hù)措施都比個(gè)人電腦高很多,不只是一個(gè)級(jí)別的差距。所以,出現(xiàn)網(wǎng)上銀行服務(wù)器被攻破的概率相對(duì)較小。
在這個(gè)事件中,小王同樣是被強(qiáng)制使用短信保管箱,那么也就說(shuō)明,攻擊者并非通過(guò)入侵銀行服務(wù)器來(lái)竊取的。
第三,小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個(gè)出了問(wèn)題。
電腦、網(wǎng)關(guān)的運(yùn)行過(guò)程如下:
在這個(gè)過(guò)程中,攻擊者只需要利用安全漏洞獲得受害人電腦或者網(wǎng)關(guān)中任意一個(gè)的權(quán)限,就可以讀取到受害人的銀行卡號(hào)、 手機(jī)號(hào)碼等等信息。但是因?yàn)殂y行的網(wǎng)銀系統(tǒng)受到安全控件的保護(hù),所以取款密碼是很難直接讀取,這就是攻擊者多次嘗試導(dǎo)致銀行卡被鎖的原因。
而當(dāng)小王修改移動(dòng)運(yùn)營(yíng)商的網(wǎng)站登錄密碼時(shí),由于移動(dòng)運(yùn)營(yíng)商的網(wǎng)站安全級(jí)別遠(yuǎn)低于網(wǎng)銀,所以該密碼很容易被攻擊者直接竊聽到。
小王B卡的卡號(hào)在第二天就泄露,他在修改了手機(jī)的網(wǎng)站登錄密碼后,攻擊者還是可以強(qiáng)行打開短信保管箱。雖然我們目前還沒能檢查過(guò)小王的電腦和網(wǎng)關(guān),但是攻擊者通過(guò)電腦木馬或者網(wǎng)關(guān)劫持獲取受害人的帳號(hào)的可能性很大,而小王的手機(jī)號(hào)碼,也很可能是通過(guò)類似的方式被獲得的。
所以說(shuō),這個(gè)環(huán)節(jié)中,小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個(gè)出了問(wèn)題。根據(jù)工行做出的回應(yīng),事發(fā)原因是不法分子使用非法手段獲取了客戶相關(guān)信息和密碼,再利用客戶信息開通了客戶手機(jī)的“短信保管箱”業(yè)務(wù),從而獲取交易驗(yàn)證短信并盜取資金。當(dāng)然,銀行方面的責(zé)任不可推脫,這里就不具體展開,后面“e支付”會(huì)再說(shuō)明下。
第四:移動(dòng)運(yùn)營(yíng)商業(yè)務(wù)的安全風(fēng)險(xiǎn)控制存在漏洞。
1、短信保管箱業(yè)務(wù)本身存在的較大風(fēng)險(xiǎn)未能事先評(píng)估出來(lái)。
短信作為包含用戶隱私,甚至經(jīng)常會(huì)攜帶支付認(rèn)證信息的服務(wù),提供云保管服務(wù)應(yīng)該更加慎重。例如應(yīng)該由用戶親自前往營(yíng)業(yè)廳才能夠啟用,或者至少允許用戶可以禁用該服務(wù),直到親自前往營(yíng)業(yè)廳解禁。
2、允許通過(guò)wap方式啟用短信保管箱服務(wù),使得第三方可以強(qiáng)行打開該服務(wù),從而劫持敏感的短信。
根據(jù)移動(dòng)公司的回應(yīng):“目前經(jīng)過(guò)后臺(tái)網(wǎng)絡(luò)日志顯示,不知情定制均系有人使用客戶的手機(jī)號(hào)和客服網(wǎng)站密碼,通過(guò)手機(jī)登錄客服WAP頁(yè)面開通,目前并沒有任何跡象顯示是中國(guó)移動(dòng)網(wǎng)站被攻擊造成了客戶信息泄漏。”
原本“短信保管箱服務(wù)”必須本機(jī)回復(fù)短信才能夠激活,但是因?yàn)橄到y(tǒng)上線時(shí)未能仔細(xì)檢查老舊的wap服務(wù)接口,使得攻擊者通過(guò)wap服務(wù)繞過(guò)了本機(jī)短信驗(yàn)證環(huán)節(jié),最終導(dǎo)致了小王的網(wǎng)銀失竊。
正常情況下運(yùn)營(yíng)商一個(gè)新業(yè)務(wù)上線應(yīng)該做風(fēng)險(xiǎn)評(píng)估的。而wap是老業(yè)務(wù),短信保管箱是新業(yè)務(wù),運(yùn)營(yíng)商疏忽了這個(gè)環(huán)節(jié),或者說(shuō),攻擊者的腦洞開得很大,運(yùn)營(yíng)商并沒有想到會(huì)有人用老古董業(yè)務(wù)去開新業(yè)務(wù)。如果運(yùn)營(yíng)商有行動(dòng),這個(gè)環(huán)節(jié)的紕漏會(huì)有很大的概率被發(fā)現(xiàn),完全可以關(guān)掉通過(guò)wap開保管箱這條路。不過(guò),經(jīng)過(guò)這次事件之后,運(yùn)營(yíng)商應(yīng)該會(huì)把wap申請(qǐng)關(guān)掉。
盡管就像移動(dòng)說(shuō)的那樣,并非“中國(guó)移動(dòng)網(wǎng)站被攻擊造成了客戶信息泄漏”,但是由于運(yùn)營(yíng)商對(duì)wap服務(wù)的忽視也會(huì)對(duì)用戶造成財(cái)務(wù)損失。畢竟,這方面的風(fēng)險(xiǎn)本就該由運(yùn)營(yíng)商來(lái)管控的。
第五:銀行使用短信這種不可靠的方式來(lái)進(jìn)行用戶身份認(rèn)證是不妥的。
短信不僅可以通過(guò)本次案件中的短信托管服務(wù)劫持,還可能被“偽基站”、“手機(jī)木馬”劫持,因此應(yīng)該使用強(qiáng)度更高的U盾或者隨機(jī)密碼器。這個(gè)方法很多銀行已經(jīng)都有了,主要的問(wèn)題可能還是出現(xiàn)在“e支付”,因?yàn)椤癳支付”是小額支付,一般還是用短信驗(yàn)證。
即使必須使用短信來(lái)進(jìn)行二次身份認(rèn)證,也應(yīng)該將支付\轉(zhuǎn)帳金額控制在較小的額度。但是,每家銀行定義的“小額”不同。顯然工行的額度比較大:工行默認(rèn)1萬(wàn),然后可以提升到2萬(wàn)。
之前有用戶說(shuō)“e支付”的安全隱患曝光,工行回應(yīng)“系誤解”。其實(shí)說(shuō)到底還是攻擊者借助非法途徑截獲短信驗(yàn)證碼,輕而易舉地盜竊存款。
通過(guò)工商銀行查明,小王總計(jì)13990元被轉(zhuǎn)入了一個(gè)叫“楊少華”的賬戶里。幾筆金額其實(shí)并不小,有一筆交易是9990元。
第六:用戶應(yīng)該提高安全警惕性。
1、用戶啟用銀行的網(wǎng)上支付、網(wǎng)上交易功能時(shí)應(yīng)該仔細(xì)閱讀風(fēng)險(xiǎn)提示,并做好帳戶的隔離,例如用一張金額較低的卡來(lái)專門進(jìn)行網(wǎng)上交易,而存放金額較高的卡則關(guān)閉所有網(wǎng)絡(luò)支付、交易功能。或者把大額的活期放在貨幣基金或者定期存款里,但是這樣要多一次定期/貨基轉(zhuǎn)活期的操作。當(dāng)然,這個(gè)就涉及到了銀行的業(yè)務(wù),人行和銀監(jiān)會(huì)的監(jiān)管要求也不同,我就不展開來(lái)講。
2、不要使用弱密碼,注意定期更換密碼,也不要把密碼存放在電腦或者手機(jī)里面,不同的卡盡可能采用不同的密碼。
這個(gè)事件中,小王在第一張銀行卡頻繁被凍結(jié)之后,辦了第二張工行卡,而他還是使用原來(lái)的密碼,這種情況下,很容易導(dǎo)致密碼泄露。
3、在遇到銀行卡被盜刷時(shí),我們要第一時(shí)間聯(lián)系銀行凍結(jié)相關(guān)帳戶,而不是花時(shí)間和運(yùn)營(yíng)商討論。
總結(jié)
在銀行和運(yùn)營(yíng)商角度,本質(zhì)上這還是一個(gè)新業(yè)務(wù)創(chuàng)新和風(fēng)險(xiǎn)控制之間平衡的老問(wèn)題。
銀行希望提供更加便捷的小額支付服務(wù),吸引更多的用戶使用 ;運(yùn)營(yíng)商希望提供更多的增值服務(wù),從而形成長(zhǎng)尾效應(yīng),創(chuàng)造更高的附加值。但是業(yè)務(wù)創(chuàng)新中,信息風(fēng)險(xiǎn)控制措施未能及時(shí)跟上,銀行方面忽視了短信的不可靠性,而運(yùn)營(yíng)商則忽視了短信服務(wù)承載的密碼認(rèn)證責(zé)任。
再加上平時(shí)對(duì)用戶的教育培訓(xùn)不足,使得用戶缺少安全警惕,內(nèi)部風(fēng)險(xiǎn)控制的敏感度不足,兩家企業(yè)的電話服務(wù)中心員工也都忽視了之前的各種異常情況,最終導(dǎo)致了本次事件的發(fā)生。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
