你的银卡是否真的这么安全?

 上次说隐私何在的时候,只是提到过银行卡问题没敢说,这次有人详说了,我就转发下。。。看看,以后自己多注意点。。。
—————————————————————————————————
你的资金正在被威胁!2014年6月27日 来源:毒霸安全月报

在完全不知情的情况下,有了一笔2000英镑的海外消费

被盗刷的银行卡

近日,我们收到有用户反馈说自己银行卡里的钱在完全不知情的情况下被一个叫做“北京帮付通科技有限公司”的公司划走,购买了彩票。他联系帮付通的客服人员,对方解释说,他们公司是提供第三方交易的平台,只要确认客户提供的银行账号、身份证号、密码等相关信息正确,就能通过网络平台进行正常的支付交易。而对于操作者是否为本人,公司无法核实确认。

随后我们了解到,早在2003年就有用户遭遇了同样的事情。受害用户甚至成立了“北京帮付通受害交流”的群来共同维权。

杭州的任先生利用年休假和五一小长假携家人到马来西亚兰卡威度假。结果回到杭州以后,就接到所持信用卡发卡行的客服电话,称其境外度假期间刷卡次数较多,为安全起见,建议他到银行免费更换新卡或更换信用卡磁条。

事实上,经常有出境人员回国后一段时间发现自己的信用卡在国外被盗刷了。尤其是东南亚国家,此类事件特别频发。以马来西亚为首,新加坡、泰国等国都有可能是盗刷的发生地。

新华社南京2014年3月11日电,江苏泰兴的王先生只是扫了一下二维码,银行卡就被盗刷9万多元,而银行和支付宝的短信提示就像失灵了一样。据我们了解,王先生应该是中了二维码中植入的木马病毒。

面对频发的银行卡安全事件,我们必须增强银行卡资金安全方面的意识,认识到,银行卡账户的风险是无处不在的,你的资金正在被威胁。

磁条卡天生不安全

业内人士称,磁条卡有很大的安全隐患,非常容易被复制。事实上,复制一张磁条卡只需要几十秒的时间。犯罪分子们只要在刷卡的POS机器上动动手脚,偷偷安装一套读卡器,就可以把磁条信息读取并记录下来。犯罪分子随后再把信息压印到一张空白磁条中,就得到了一张功能一模一样的“复制卡”。

而网上居然有人兜售这样的设备。所出售的设备包括银行卡复制器、银行卡信息数据采集器、微型无线摄像头、银行卡专业制作软件、空白卡、芯片数据连接线等。卖家甚至还宣传“包教包会”、“终身技术支持”。根据业内人士的介绍,这些设备中最为关键的是数据采集器,只要磁卡从它的读取槽内划过,银行卡信息就会被窃取。这种银行卡数据采集器小得可以放到口袋里,最多可以存贮2048条磁卡信息。

你的银卡是否真的这么安全?

犯罪分子在复制银行卡之前,需要先把数据采集器安装在银行的ATM机、商户POS机等设备上。当有人使用这些设备时,读卡器就能记录磁条银行卡的账号信息。犯罪分子还可能会使用隐藏的微型摄像头拍下持卡人的银行卡密码。

犯罪团伙还会组织专人“潜伏”酒楼、宾馆和KTV等高档消费场所当服务员,当持卡人在消费埋单时,乘机利用侧录机盗取刷卡人的银行卡磁条信息,并窥取其密码。当收集一批银行卡信息后,立即辞职走人。或者花钱购买此类信息:

你的银卡是否真的这么安全?

为了加大警方破案难度,早期的时候,犯罪团伙往往在A市采集信息,利用网络将信息传递到B市,并在当地复制和盗刷;而现在更是已经发展为了异国盗刷。跨国的犯罪更加难以追踪,这无疑使得我们更加难以维护自己的权益。另外国外的刷卡常常走的是VISA或者MasterCard的通道,而这两个通道在刷卡时是不要支付密码的。这就更加减少了窃取支付密码的步骤。因此,在国内办的双币信用卡或者双币借记卡(国际借记卡)一旦被复制,后果不堪设想。

根据广东警方的统计数据,这种克隆银行卡犯罪占到了整个广东省2013年度经济犯罪总数的的40%。2013年12月24日,广东多个市公安局联合开展打击银行卡犯罪“海燕1112”专案收网行动,对省内克隆银行卡犯罪进行全链条打击。此次行动共打掉犯罪团伙8个,抓获犯罪嫌疑人54名,缴获POS机51台,侧录器35台,涉案银行卡1056张,现金赃款45万元。其他作案设备还包括制卡机、压卡机和读卡器等。警方指出,侧录机、制卡设备等均是可购买的民用设备,目前并未纳入监管范围,给犯罪分子留下作案空间。这些设备价格便宜,购置整套作案设备仅需7000多元,犯罪成本极低。

由于磁条卡存在天生的安全隐患,央行规定从2013年1月1日起,全国性商业银行均应开始发行金融IC卡,也就是芯片卡。这种芯片卡安全性能较强,通过先进的芯片加密技术,能够有效降低银行卡被复制等金融欺诈事件。虽然目前为了兼容老的设备,银行发行的都是磁条+IC芯片的银行卡,仍然很容易被复制磁条,但是根据央行2014年5月14日下发的《关于逐步关闭金融IC卡降级交易有关事项的通知》,在2014年10月底以后,这一类银行卡将会关闭磁条的功能。到2015年,银行就会停发磁条卡。到那时,磁条卡带来的负面影响才会完全消失。

而我们现在也可以找银行申请,将手里的磁条卡换成IC芯片卡。

无需密码和U盾也可以完成支付

犯罪分子有时其实并不需要复制一张卡片。只要知道一些卡面信息,就可以完成支付。

你的银卡是否真的这么安全?

你的银卡是否真的这么安全?

以上为除了协议扣款(缴纳学费、水电费、通讯费等)以外的支付渠道。我们可以看到,用户的资金可以通过三条途径流向商户:银行直接到商户、通过银联这样的支付网关、通过第三方的协议支付机构。

有人认为有了支付密码,有了银行的U盾自己的资金就安全了,但事实上,U盾是银行自己的安全措施,只会在网银支付一条途径中使用,无论是刷卡支付、无卡支付还是快捷支付都不需要使用U盾。而支付密码也仅仅是网银支付和POS机刷借记卡支付时才必须使用,在其他的渠道可能根本不会使用到。比如扣学费、交水电费、通信费、购买基金的时候,这些公司就可能可以不需要密码直接扣款,另外,像支付宝、微信支付这样的第三方快捷支付公司也可以直接扣款而不需要密码。

信用卡则支持更多形式的无卡无密支付。一般来说,一张信用卡会有以下信息:卡号、持卡人姓名、有效期、CVV2(仅信用卡)、密码(银联的支付密码,或者VISA/MasterCard的3D支付的PIN)、银行预留的手机号码等。用户把信用卡卡号,以及附加信息中的若干项目提供给亚马逊、苹果商店这样的商家以后,由这些商家向银联、VISA这样的卡组织和发卡银行完成验证。完成验证之后商家便可以随时从用户的信用卡中扣款。这种无卡支付是国际上的一种标准的支付途径,是一种方便的支付方式,无论是在网上支付还是通过电话支付都可以使用。

而这种方便就带来了安全方面的隐患。虽然无论是VISA还是银联都严令商家不得储存卡片有效期或者CVV2这样用户敏感信息,但是拿到用户的信息之后是否不保存完全取决于商户的自觉。今年年初的携程网用户信用卡信息泄露事件就很好地说明了这一点。

有时我们需要电话预订酒店或者机票,这时对方可能要求我们在电话里提供信用卡卡号、有效期、CVV2等信息。这个接电话的客服就同时得到了我们的信用卡的相关信息。另外,我们在超市使用信用卡刷卡时,超市收银员也可能会看到并记下我们信用卡的有效期和CVV2。之后他们就可以使用这些信息,使用我们的信用卡直接进行支付。因此,在电话预定酒店的时候最好使用身份证号码而不是信用卡信息。

如果我们害怕风险不愿意在网上提供自己的信用卡信息给商家,可以考虑使用银联在线支付,这种网上支付的方式不同于各个银行自己的网银支付,是一种统一的无卡支付的方式。通过银联的支付网关,用户在网上支付的时候会跳转到银联的网站上,然后将信用卡或者借记卡的信息提供给银联而不是商家来完成支付。

然而银联在线支付并不能防止其他形式的卡信息泄露,比如上面说的超市收银员瞄到CVV2。磁条卡换IC芯片卡只能解决复制卡的问题,对于这种卡片信息泄露帮助不大。因此注意保护自己的卡信息很重要。

第三方快捷支付:到底安全吗?

用户在网上支付时,很多商家都是素未蒙面的,用户不愿意将信息提供给这样的商家,于是有了第三方支付平台。最早一批的第三方支付平台,比如PayPal,在1998年就已经出现。用户的信用卡信息保存在这样的第三方平台上,由这些第三方的平台来进行扣款并提供给商家,保护了用户的信用卡信息。严格来说,银联认证支付也是扮演的这样一种第三方支付平台的功能。

后来,由于借记卡的流行,第三方支付平台开始支持使用借记卡付款。但使用借记卡付款往往不能使用这种“无卡无密支付”的支付方式,而是需要跳转到银行的网银页面进行付款。这样反而增加了操作的复杂度。另外,在国内的网银支付还存在只能使用Windows平台和IE浏览器等缺点。在这种情况下,2010年底支付宝公司联合银行推出“快捷支付”功能,支付宝可以直接从用户的银行账户扣款而无须通过网银。

快捷支付的流程如下:

1. 用户提供信息,支付宝与银行签约开通快捷支付

2. 用户购买商品时,与支付宝交互

3. 支付宝直接从银行扣款给商户

无论是借记卡还是信用卡,在开通了快捷支付以后,支付宝公司就可以随时直接扣款了。由于这种方式并不通过网银,因此不会用到银行的支付密码或者U盾。

那么,像这样的第三方快捷支付是否安全呢?首先我们必须假设像支付宝或者微信支付这样的大公司的信誉应该是没有问题的。然后我们可以从攻击者的角度去考虑这个问题。

首先,如果攻击者盗取了用户的支付宝,那么就可以随便盗取钱财了。为此,支付宝设计了登录密码和支付密码双密码的策略,同时提供了支付时短信验证,以及证书U盾的功能来防止账号被盗。因此,这方面的风险应该是比较小的。于是攻击者的攻击方法集中到了两个方面,试图利用攻击者注册的账号绑定用户的银行卡,以及利用社会工程手段获得用户的手机、手机验证码等。

我们已经知道,在第三方快捷支付的开通过程中,主要是第三方支付公司和银行进行交互,因此我们很有可能完全不知道自己的银行账号被开通了快捷支付。随着时间的推移,支付宝、微信支付这样成熟的互联网支付公司逐渐建立起一套完备的安全体系,杜绝了绝大部分盗用他人银行帐号的问题。应该说这些知名公司的快捷支付在机制上应该是比较安全的。然而更早的时候并不是这样。支付宝、微信支付在早期也都被媒体报道曾经存在过各种各样的问题,比如不需要真正验证手机号码就可以绑定银行卡,支付过程完全不提示用户等。

另外,并不是所有的第三方支付公司都像支付宝或者微信支付这样。比如我们发现,银联在线的快捷支付功能在使用某些银行的银行卡时,即使不需要输入正确的银行预留的手机号也可以进行小额支付。因此即使我们从来不使用第三方支付,通过使用这样不进行严格身份验证的第三方支付平台,犯罪分子只要知道我们的银行卡号、身份证号,然后利用一个新的手机号,就可能可以在一些不知名的第三方支付平台随意绑定我们的银行账号进行快捷支付,就像上文的案例中,用户的资金在完全不知情的状况下被帮付通划走一样。

为了取得一些信息,我们还特别联系了一些打这些广告声称“出售技术”的人,以下是一些聊天记录:

你的银卡是否真的这么安全?

以下是与另一个人的聊天记录:

你的银卡是否真的这么安全?

更令人难以置信的是,当我们询问银行是否可以禁止开通快捷支付时,银行竟然回复不能禁止,这样我们就只能每天提心吊胆,祈祷自己的资金不被划走!真正应了网上的一句话:“你的存款还呆在银行账户里,是因为罪犯顾不上取”。

我们可以知道,网上宣称的所谓的第三方快捷支付不安全的漏洞,其实是银行方面的漏洞。银行允许第三方支付公司不需要严格的身份验证就可以开通快捷支付,银行在快捷支付开通和扣款过程中没有通知用户,银行没有提供设置选项给用户对快捷支付进行统一管理,或者完全禁用。把问题全部推给第三方支付公司是不负责任的。

当然对于我们一般用户来说,注意到第三方快捷支付可能存在的这些安全问题是非常重要的,毕竟这关系到我们的资金安全。

不加密的网络

然而安全的威胁还不仅如此。近日,关于WIFI的安全引起了人们的关注,央视《消费主张》和《每周质量报告》栏目均报道了关于WIFI钓鱼的安全事件。

长久以来WIFI网络的安全问题就收到人关注。安全人员关注的焦点是:没有密码的WIFI网络,其数据传输也是不加密的。另外,由于WIFI的开放性,任何人都能连接进同一个不加密的WIFI。在这样的情况下,我们的通讯就像在公共场合大声说话一样,只要想听,无论是谁都可以听得一清二楚。

加密的网络由于多了一个需要输入密码的步骤,因为传输有了加密,使得安全性大大提升。但也因此在便利性上有了一定的损失,如果用来做公共WIFI比如政府、运营商或者星巴克、麦当劳的免费WIFI,会带来一些操作上的麻烦,比如需要把密码告知每个用户。由于WIFI的设计,这里的安全性和便利性是不可得兼的。

笔者在香港时发现,香港政府的免费WIFI有两个,一个是不需要密码的WIFI,另一个是需要密码才能连接的WIFI。用户第一次连接时,由于不知道密码,所以只好连接不需要密码的WIFI,这时候会自动弹出一个页面,告知另一个WIFI的密码,并告诉用户,不需要密码的WIFI可能有安全隐患,用户应该连接另一个需要密码的WIFI。

在国内,大部分的公共WIFI,包括移动的CMCC,联通的ChinaUnicom,电信的ChinaNet,以及麦当劳、必胜客等商家,政府机关、火车站、飞机场的公共WIFI,都是不需要密码的。也就是说,一旦我们使用了这些WIFI,在同一个WIFI网络里的犯罪分子就可以轻易截获我们的通信,拿到我们的账号密码信息,甚至劫持我们的通信,把我们导到钓鱼网站上去。一些详细的情况,可以参考稍早时的新闻《危险的WIFI》。

必须注意的是,这里说的加密WIFI,指的是需要密码才能连接的WIFI,而不是像CMCC这样,连接上以后才提示需要输入密码给移动才能继续访问网页的WIFI。

那么,我们难道就只能坐看自己的账号密码被人偷走吗?就没有其他什么办法吗?有的,答案就是SSL(TLS)。访问网页时,我们应该尽量访问使用了SSL的HTTPS页面,而在使用其他应用比如电子邮件时,我们也应该尽量使用支持SSL加密的服务器。

你的银卡是否真的这么安全?

很久以前,安全研究人员就意识到,只有实现端到端的加密才能真正确保传输的安全。在使用了SSL的页面上提交账号密码,可以确保这些信息不会被犯罪分子窃听到,即使是在一个不加密WIFI的环境下。

有的网站开发者可能会问:我的网站会把密码使用Javascript加密以后再传输,这样犯罪分子就窃取不到用户的密码了。但是事实上真的是这样吗?这就涉及到SSL的另外两个功能:身份认证和防篡改。我们看下图:

你的银卡是否真的这么安全?

正常情况下,用户是无法识别内容是来自真正的服务器还是第三者的。除此之外,攻击者也可以不冒充服务器,而是在中间对通信的内容进行篡改:

你的银卡是否真的这么安全?

如上图,国内某知名购物网站没有使用HTTPS加密连接。因此犯罪分子完全可以通过劫持流量的方法,进行页面的篡改,将上图方框中的提交用户名密码部分的HTML和JS代码修改成提交给他们自己的网站。

而在使用了SSL的情况下呢?

你的银卡是否真的这么安全?

我们看到,SSL通过使用可信机构颁发的数字证书,解决了不加密的WIFI网络可能存在的劫持的问题。

此外,使用了SSL的通信还会使用数字签名算法来对网页的内容进行校验,即使是一个字节的不同,也会导致数字签名校验不通过,浏览器会直接提示网页被篡改了。

SSL的设计者花费了很长的时间来思考Internet上的安全和隐私相关的问题,最终得到了妥当的解决方案,因此,特别是在公共的不加密WIFI这种危险的环境中,使用HTTPS无论什么时候都是一种好的方式。

国外对于安全方面的研究和实践都走在前列,我们看到重要的网站都全程使用了SSL/TLS:

你的银卡是否真的这么安全?

你的银卡是否真的这么安全?

如果你在上面看到某个陌生的网站,请不要觉得奇怪,因为那个网站其实是不存在的。

而与之相反,国内的网站,即使是某些市值或者估值千亿美圆的公司,在这方面的安全意识也令人遗憾,除了上面的某购物网站以外:

你的银卡是否真的这么安全?

你的银卡是否真的这么安全?

那么我们应该怎样做呢?首先我们在用PC和手机访问网页的时候,尽量不要访问一些敏感的,可能泄露个人信息的网页。实在需要输入用户名和密码时,一定要确认两点:网址使用了SSL加密(网址以HTTPS打头),以及SSL证书有效:

你的银卡是否真的这么安全?

另外有一点需要特别注意的是,如果你连接了不加密的WIFI,那么一定要注意手机系统上的邮件客户端。因为邮件客户端是需要经常和服务器连接的,一旦打开了邮件客户端,或者邮件客户端常驻在后台运行,而你使用的服务器不支持SSL连接,或者你在配置的时候没有勾选使用SSL连接,你的密码就会直接暴露在外,任何人都可以看到。特别的,如果你的手机上设置了自动连接WIFI,然后你的手机自动连接上这个不加密的WIFI,邮件客户端在后台自动连接服务器——你的密码就在不知不觉中泄露了。因此一定要选大厂商的邮件服务,在任何时候都要勾选“使用SSL”。

谁在窥视你的密码和验证码?

木马病毒,他们在窥视你的资金。

还记得文章开头那个扫二维码导致9万多元被盗的案例吗?这个是什么原理呢?

其实,每个二维码都是一个字符串,攻击者利用的二维码解释出来是一个网址,于是扫码软件就调用手机浏览器去打开这个攻击者的网站。Android系统有不少已知的漏洞,而攻击者的网站利用了这些漏洞,当Android自带浏览器访问这个网站时,漏洞被触发,浏览器下载一个病毒APK安装。

这个病毒被安装以后,就潜伏在后台,之后的动作就简单了,病毒可以通过很多方法达到目的,比如劫持网页,把用户访问的网页替换成攻击者的网页;或者替换应用,卸载掉用户本来的手机银行、支付宝等客户端,然后替换成病毒作者自己的客户端,这样用户使用时就把密码输入给了病毒作者。

病毒还可以做什么呢?它可以把你的手机号码发送给病毒作者;它可以拦截、查看你所有的短信记录,包括银行的验证码短信;它可以伪装成银行、公安、电信,用他们的号码(比如10086)给你自己发送一条短信,而你根本无法区分这种短信是不是真的来自10086;病毒可以以你的名义给你通讯录里的联系人发送短信,让他们打钱到病毒作者的账号……总之,只有你想不到,没有它做不到。

除了扫描二维码打开网页可能会导致Android手机中病毒以外,我们还注意到,有些Android病毒也会利用手机短信传播,点击短信中的链接,即有可能被植入病毒,其原理和二维码网页的原理一样。

我们已经发现的一些种类的Android手机病毒如下:

你的银卡是否真的这么安全?

由于国内的很多手机厂商都是使用的自己定制的ROM,在Google发布新版本的Android的时候不能及时升级,因此,这种手机漏洞+木马病毒的攻击方法威胁更大。

很显然,除了Android上的木马病毒以外,PC上的木马病毒同样对你的银行账户虎视眈眈。

使用毒霸保护你的资金安全

 

那么,有什么方法可以帮助我们,在一定程度上保护我们的资金安全呢?

目前发生的多起盗刷事件,多数是因为用户的信息泄漏导致的,那么哪些渠道会导致用户的信息泄露呢?

你的银卡是否真的这么安全?

 

那么应该如何防范这类威胁了?

在超市或者酒店中刷卡,一定要保证卡在自己可以看见的范围,并保护好自己的密码,以防被人复制或者记录。

安装毒霸,防止被淘宝木马或者其他病毒窃取您的个人信息。

在连接公共wifi时,不要输入自己的银行卡账户密码等敏感信息,并安装手机毒霸等安全软件,保护您的手机安全。

另外,当你开启金山毒霸进行网购而导致资金被病毒木马盗取的话,毒霸可在敢赔险的范围内赔付您的损失。

扩展链接

a. 银联安全用卡攻略:http://cn.unionpay.com/safeCard/useCardSango/file_3661836.html

b. SSL相关知识:http://zh.wikipedia.org/wiki/Ssl

c. 《危险的WIFI》http://baike.baidu.com/view/13776874.htm?fr=aladdin

 ___________________________________________________________________________________________________

他没有总结,我大概总结下吧,以下几个需要注意的 

1.IC芯片卡安全高点,其实磁卡是可以复制的(跟物理里面的磁场有点相似),现在几乎所有大型银行都有磁卡换IC芯片的服务,一般卡还好,信用卡必须注意,复制磁卡的机器淘宝上还是有的卖的。

2.访问的时候看官方网,电脑还好,主要是手机和平板访问的时候多留意点

3.二维码不要随便扫描,这个技术应该是几年前手机传播病毒的老技术了,留意点还是可以防得住的

4. SSL连接不要你懂,你只要知道https开头的网址比http的安全就行了

5.手机现在root比以前简单多了,在刷机的时候记得选可靠性高的ROM包

6.安装软件最好到官网去,很多第三平台可靠行虽然很高,但还是有很多不法分子把一下破解过的应用先解包再装包的,里面很多都是捆绑一些病毒和后门的。

7.电脑装系统也是,镜像最好到官网或可行度高的大网址下载,下载好后最好对比MD5值看看有没有被恶意修改,几年前的GHO后门可是风靡一时,就连PE都有后门你说系统呢?软碟通就可以帮你快速制作后门镜像,上网搜还是能搜到类似教程的。有些人利用这些后门干一些比如DDos的攻击,以前用盗版xp的部分同志是不是遇到过突然网上卡爆了,一段时间又好的现象?(想当年微软可是和XX斗了好几年的,也是一个反DDos攻击的成功案例)

8.再个就是“蜜罐系统”,用蜜罐无线网更贴切,很多人多知道BT系列的Linux系统一般都是破无线网的神器(抓包跑字典,破解PIN码),其实它还可以打造一个蜜罐无线(搭建一个监听平台,电脑一个,Kali Linux ISO 光盘镜像,有助于监听的USB无线网卡;启动kail 系统,配置无线网卡并连接路由,接着打开Wireshark, 注意勾选混杂模式,之后开始监听,可以监控了!),这时候用户一些敏感操作都可以抓过来的。。。。

再说的话有些人得说我是蛊惑者了。。。。等等。。。。。。 
 

 

你可能感兴趣的:(安全)