小心手机“偷看”银行卡信息(图)
&&&&来源：&&&&
&&&&&&字号
原标题：小心手机“偷看”银行卡信息(图)
　　银行卡交易记录 手机比老婆更清楚
　　是漏洞不是段子
　　记者用小米3手机进行尝试，将银行卡放在手机背面，手机立即响起“嘟”的一声提示音，随后手机自动进入支付宝界面，并显示出银行卡的卡号、电子现金余额、银行卡使用次数，以及最近10笔交易记录。随后，记者又尝试用该手机读取他人的银行卡，发现同样可以显示出以上信息，有时甚至还能显示出身份证号首末2个数字，过程中都不用输入密码，但只能显示不能交易。
　　“日10时53分07秒提款/现金付款500元”“日17时20分27秒商品或服务196元”……把银行卡放到手机背面轻轻一贴，不用输入银行卡密码，手机竟读出银行卡号和最近10次交易记录。
　　以上内容并非耸人听闻的“网络段子”，而是已被记者证实的“漏洞”：包括小米、三星在内具有NFC（近距离无线通讯技术）功能的手机，并且安装“支付宝钱包”等第三方支付的手机应用软件，均可读取IC芯片银行卡的交易记录等信息。一位市民在体验后惊呼，“高科技好可怕！银行卡交易记录，手机比我老婆更清楚！”
　　记者向多位用户求证发现，多家银行的芯片卡都可被带NFC功能的手机读取交易记录。记者总结出手机“偷看”银行卡交易记录的3个条件：一是，手机要具备近距离无线通信技术功能，目前，市场上的三星Galaxy系列、诺基亚Lumia系列以及国内小米手机3、魅族等部分手机满足这一条件；二是，只有芯片卡可以被读出卡内信息，普通磁条卡则不能；三是，手机上还必须装有相应的应用软件，如支付宝钱包等。
　　银行卡还安全吗
　　为什么手机能读银行卡信息？记者致电手机厂商客服了解到，NFC作为一种近距离无线通信技术，允许电子设备之间进行非接触式点对点数据传输，在10厘米内交换数据。目前这种技术被一些手机厂商应用，用以发展移动支付。
　　手机能够轻易地读取任何人的银行卡信息，银行、手机厂商你们都知道吗？
　　记者致电多家银行客服，工作人员提醒，手机能读取的信息相对有限，不包括芯片内的核心信息，对银行卡安全影响不大；但持卡人一定要在公共场所保管好银行卡，防止不必要的信息泄露。
　　此外，记者致电某手机厂商客服，工作人员解释说，NFC是手机自带的功能，“如果您觉得不安全，可以在设置中关闭NFC功能。”但是，记者不禁发出疑问，如果不法分子想拿着手机读取别人银行卡信息，他会主动把这功能关了吗？
　　谁该为信息安全负责
　　“银行卡的交易信息是不应该公开的！”通信业观察员项立刚表示，账号交易记录被轻易读取的情况，是一个必须解决的问题；银行卡系统中有个NFC的标签，把“交易记录”写到标签里，就能在具有NFC功能的手机中读出来；从技术层面来说，解决这一问题并不难，但难在银行卡和手机分属两个不同的监管部门。
　　目前，NFC近场支付也正在一些小额快速消费场景中普及，然而，这样的“漏洞”被记者证实后，让人不禁担心，缺少了监管部门对“安全”的协同作战，NFC技术迈出的这一步，究竟是“进步”还是“退步”？
(责编：张歌、赵超)
善意回帖，理性发言!
使用其他账号登录:
恭喜你，发表成功!
请牢记你的用户名:，密码:,立即进入修改密码。
s后自动返回
5s后自动返回
恭喜你，发表成功!
5s后自动返回
最新评论热门评论
&通信一周热点回顾
通信新闻|精彩博客
24小时排行&|&
人 民 网 版 权 所 有 ，未 经 书 面 授 权 禁 止 使 用
Copyright &
by .cn all rights reserved
人 民 网 版 权 所 有 ，未 经 书 面 授 权 禁 止 使 用
Copyright &
by .cn. all rights reserved提高警惕保卫网银安全 防范黑客网银诈骗
提高警惕保卫网银安全 防范黑客网银诈骗
提高警惕保卫网银安全 防范黑客网银诈骗
作者：冰盾防火墙　网站：　日期：
随着网络购物、网上支付等业务被广泛的应用，网络银行在人们的日常生活中已经起到越来越重要的作用。近来网络诈骗，网银失窃又猖獗起来。这对于黑客们来说无疑是个&好&消息，他们利用人们的疏忽大意，盗取网银密码，狠狠地捞上一把。今天笔者向大家介绍几个防范网银诈骗的招数，希望大家能够提高警惕，保护好财产。
反黑专家提示网民&三大注意&
首先，用户在使用网络银行等新兴业务之前，应当先了解它的保护条款。专家提示说，大型商业银行通常有银行硬件密钥等一系列技术保护措施，而资金一旦丢失将有专门保险公司赔付。如果银行没有提供足够的安全保证，用户应当暂缓使用该银行提供的网络服务。
同时，不要在电脑上随意安装软件，尤其是从网上下载的软件。如果必须安装，须仔细阅读《用户协议》，看该软件发布者是否捆绑了&流氓软件&。
在使用网络银行、网络游戏时必须开启杀毒软件的实时监控，并启用个人防火墙，且杀毒软件必须经常升级。
但专家同时指出，目前的法律还没有对&流氓软件&做出明确规定，杀毒软件厂商只能在技术上提供清除措施；只有在法律做出明确规定，用户安全意识全面提高之后，黑客程序和&流氓软件&才能得到根本遏制。
如何斩断网银黑手？
&网银大盗&、&网络钓鱼&、&假银行网站&等恶性事件不断发生，表明今年众多网络银行诈骗案例的问题从域名开端。为了防范网络钓鱼，保障网络银行安全，中国银行、中国建设银行、中国农业银行和中国工商银行等国内各大商业银行全面启用域名安全防范措施，纷纷启用中文域名作为地址栏入口处的安全屏障。
&前一段已经关闭了那三个模仿真网银网站的钓鱼网站，但是不意味钓鱼者就不会再模仿别的商业银行的网站，此次几大商业银行域名防范应该说是及时的，安装了中文上网官方版软件的网络用户只要在地址栏中输入诸如&农业银行.cn&、&建设银行.cn&等，便可以直达各大银行网站，可以有效地规避因英文拼写错误中了钓鱼者的陷阱。&赛迪顾问公司曾建平博士分析认为，商业银行应该采取更多的安全防范措施。
网上支付日益普及，据统计，到去年年底，我国网上银行的客户已经达2700多万了，交易量40多万亿人民币。调查发现，在现有用户中有70.18%首先考虑要网上支付，65%是转账服务，这说明网民现在使用网络银行时最重要的功能就是做网上支付。网上支付安全确实是关键因素。与此相伴的是，更多的升级病毒瞄准网上支付系统。网上交易还安全吗？消费者还敢在网上买卖股票、查询账户、网上购物......？中国互联网络信息中心2004年公布的相关调查报告显示，不愿选择网上银行的客户中有76%是出于安全考虑。网上银行的安全成为国内电子银行业务发展的瓶颈。
网上交易的安全链条由银行、消费者和商户网站等要素组成，那么在共同建立安全的网上交易环境中谁是主力？每个要素应该承担何种责任？
银行毫无疑问是阻击网络黑手的主力，因为从金融服务的职能与业务流程来说它居于中心地位，要实现网上支付的安全功能，银行卡的技术安全性是基本条件。
&网上支付到底安全还是不安全？网上支付肯定是安全的，我们行这些年来没有出现一起被盗窃的事情，要攻破我们的网络得万年。&供职于中国民生银行个人银行部的曾桢很自信地告诉记者，网银安全无疑。
根据中国工商银行电子银行部副总经理陈静娴介绍，他们除了有一系列措施保证网络安全以外，网络银行还采取交易安全的措施，区分客户的等级，设计两种不同方式的保护措施，第一种对普通客户来说，银行设计了登陆号加密码的认证方式，用户号码加双重密码，首先是登陆密码，另外在在线支付的时候有一个支付密码。因此，使用这种个人网上银行的时候，客户具有的条件：养成很好的安全使用的习惯，有一定的操作水平，能够及时下载系统的补丁，使用正版杀毒软件等等，同时也要有一个意识，尽量使自己的银行卡的密码、网上银行的密码与其它网站的密码等设置成不同的密码，不要使其他密码攻破以后带来网上银行密码的泄露。
第二个类型认证方式是使用IC卡和USB卡物理介质的证书认证方式。用证书验证客户的身份，确保客户为银行真正的客户，防止其他客户非法使用。证书具有不可复制性，仅由客户自己保管和使用，因此用了客户证书以后，即便是有假网站、病毒感染、黑客入侵，不慎泄露银行卡和其他资料，只要物理证书不丢失，仍然能确保资金从网上银行不会盗取。
&我们在这里负责任地说，工商银行企业网银已经运行了五年，个人客户证书也推出了两年，累计办理了几亿笔的资金转账业务，从没有出现过一笔资金被冒用或者被盗用的问题。&陈静娴在论坛上说。
从实践上讲，网上支付也是安全的。用数字证书做网上交易，无论在国际还是在国内，到目前为止，没有发生过一例因为安全机制问题造成交易争议或者交易损失的。我们虽然在网上经常看到关于网上支付安全的种种案例或者说关于网上支付不安全的报道，但是这些报道的案例中，没有采用安全的手段。中国金融认证中心助理总经理曹小青在前不久在&2005首届中国网上支付发展论坛&上分析认为，在结论上与陈静娴的一致。
调查数据显示，或者是宣传不够，许多客户对网银了解不够，不知道用用户名和密码潜在的风险，也不知道数字证书安全到什么程度。&可见如果不是具有良好的习惯，在使用网上银行的时候是存在一定风险的，这需要消费者自己注意。&何伟提醒消费者。
&我们的安全机制可能还是完善的，并没有出现是安全机制的问题大面积被攻破的案例，只是因为执行安全机制的过程中，存在一些管理环节的问题，实践中如果恰当执行了完善的安全机制，无论电子商务也好还是网上银行也好，都能保证支付交易的安全性。&黎江说。
据专家介绍在实际执行环节里面，可能发生比较多的问题还是用户的身份认证。网上支付认证手段分析表明，身份确认是信息安全的薄弱环节。认证手段，通常来看有几种，一是用户名和密码，用户名和密码是不安全的，特别是在网上，只用用户名和密码非常容易出安全故障。而证书认证是比较安全的，也是很方便的。
&电子卡、银行卡、网银卡都要注意身份的双向识别，大家对身份识别一时要增加更多的可靠信息，银行要让储户多提交真实可靠的信息，消费者一定要把自己更加多的、真实的信息提供给银行，便于通过网银、手机等办理业务的时候，银行识别客户，也便于客户识别银行与骗子。&黎江提出建议。
作为消费者与客户，良好的消费习惯与对自助设备的了解也是确保存款安全的一个重要措施。我们在许多银行里或者其他金融机构经常可以看见有安全提示，其中就有明确提示，每种业务有何种风险，并且善意提醒或者建议大家如何防范，尤其在安全使用网上银行业务方面做得更细。
防范&网络大盗&的具体措施
第一，统一办卡要及时更改密码。很多企事业单位给员工、学生统一办卡时，卡号往往都是连着的，初始密码也都是相同的，如果不及时更改，很容易被人推算出来。只要有了持卡人的身份证，哪怕是身份证号码，也都可以类推出账号进行作案。
第二，尽量不要办理网上银行业务。由于网络是一个虚拟的媒介，很多地方存在管理空白。由于目前我国的网络监管技术和力度都还不是很完善，&黑客&很容易通过各种手段截取到储户的个人信息，让你在不知不觉中就丢了钱。
第三，用来交易的账户要少存钱。每次利用网络银行办理转账式支付等业务后，客户应随时做好记录，定期查看&历史交易明细&、&购物明细&等选项，并于月末或季末打印网上银行业务对账单，以便能及时发现因网络故障、操作失误或其他原因造成的账务差错。
第四，认清网址，避免进入&假银行&。不法分子往往利用与网上银行相近似的网址、相同的网页设计制造虚假信息，以骗取银行客户的银行卡号和密码。所以在登录网上银行办理业务时，一定要认清银行的合法网址，并正确输入。
最新内容：
相关内容：
合作伙伴：网银转账截图套图_图片网
当前位置:网银转账截图
附:三位获奖圈子的转账截图(横幅正在制作中…)
谁帮我看看这张中国银行网银转账的成功图是真
网银,然后会自动进入一个界面
融资交易帮助中心
建行网上转账的问题
防人之心不可无诛仙网战之网银诈骗术_ 诛仙-诛
建设银行网银转账图图片
建设银行跨行转账这个是不是真的
融资交易帮助中心
网银转帐.帮忙看下这张图真的假的
网银转账问题,急
关于工行网上银行跨行转账问题
这张 网银转账截图 是假的吗 卡号的尾号是对的
农行 网银 怎么 转账 ?农行 网银
转账 的具体流程是
邮政 网银转账截图 图片_ 网银 建行转邮政,是异地
银行 下调 网银 限额 网购超过500元没法付款了
08.20授汇网外汇返佣 网银转账截图 _future_新
建行 网银 已全面支持Firefox火狐浏览器_Linux新
建行 网银 将推虚拟卡 可无实体境外支付_新闻_
数字校园建设中心--网费 网银想问一下大家，如果我访问的网站是https的，那么黑客有没有办法监听我的数据流量啊？前几天在freebuf上面看到波兰因为DNS劫持大量用户被盗取银行钱了，是真的吗？黑客能够做到这种攻击吗？
谢邀。刚好这两天想要发布公共号关于这篇文章，“L”告诉你的？ 那我就简单的说说（随后同步到公众号和专栏）另外如果有人说有AD或者其他嫌疑，那你就当没看见关闭网页吧，用心去看。一、背景描述最近波兰CERT一篇名&Large-scale DNS redirection on home routers for financial theft&为的文章引起我们的注意，原文地址：（），报告中写到：“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码，最终窃取了用户银行里面的钱。”前两天微信公众号网站安全中心（wangzhan_anquan）发表消息：近日波兰遭遇大规模DNS劫持攻击，黑客通过修改家用路由器DNS配置从而劫持用户请求，最终窃取了用户银行里的钱！类似DNS劫持手法应该会很快便延伸到国内，危及网民安全。很多朋友收到此消息后给我们留言抛出这样的疑问：这个和去年的有什么不同？修改路由器dns劫持，国内已经有好多了，但是没听说过洗钱的。我只听说过能够dns劫持我的HTTP请求，HTTPS也不安全啊？More...更多朋友所不知道的是，HTTPS加密请求也能嗅探到？什么是HTTPS：HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。句法类同http:体系，用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任，那么黑客是怎么做到的嗅探HTTPS？简单的说黑客为了绕过HTTPS，采用了SSL层剥离的技术，黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接，使用户和代理服务器（攻击者所控服务器）之间使用了未加密的HTTP通信。二、攻击细节黑客（攻击者）使用了一款工具来实施攻击-SSLStrip，他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接，进行中间人劫持(类似于）。上面就是我使用sslstrip进行嗅探内网某设备的截图，当然这只是一张图：）上面就是我使用sslstrip进行嗅探内网某设备的截图，当然这只是一张图：）SSLStrip的工作原理：进行中间人攻击来劫持HTTP请求流量。将出现的HTTPS链接全部替换为HTTP，同时记录所有改变的链接。使用HTTP与受害者机器链接。同时与合法的服务器建立HTTPS。受害者与合法服务器之间的全部通信请求经过代理（攻击者服务器）转发。完成劫持请求攻击的流程原理可用下图表示：有关波兰遭遇大规模DNS劫持用户网上银行的事件中，因为使用SSLStrip会提醒用户连接没有使用SSL加密，黑客为了迷惑用户，重写了URL，在域名前加了“ssl-.”的前缀，当然这个域名是不存在的，只能在黑客的恶意DNS才能解析。有关波兰遭遇大规模DNS劫持用户网上银行的事件中，因为使用SSLStrip会提醒用户连接没有使用SSL加密，黑客为了迷惑用户，重写了URL，在域名前加了“ssl-.”的前缀，当然这个域名是不存在的，只能在黑客的恶意DNS才能解析。这件事情的源头是因为ZynOS路由器出现漏洞，导致的大批量DNS劫持，有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了，整个流程如下：攻击者批量劫持用户DNS重写URL迷惑用户使用SSLStrip进行请求劫持完成劫持波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip方法进行嗅探，这次方法要比之前单纯的DNS劫持有趣的多，当然危害也大的多。解决方案这种攻击方式马上会在国内展开攻击，这种攻击往往不是基于服务端，特别是SSL Stripping技术，其攻击手法不是针对相应固件也不是利用固件漏洞，所以大家有必要好好看一下解决方案，真正的把DNS防御杜绝在门外！检查DNS是否正常拿TP-Link举例，浏览器访问192.168.1.1（一般是这个，除非你改了），输入账号密码登陆（默认账号密码在说明书上都有）-& 网络参数-& WAN口设置-& 高级设置-& 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。* 如果你没有人工设置过，但勾选了，那就要警惕是否被黑客篡改了。* 如果没勾选，一般情况下没有问题。* 检查DNS IP是否正常：在百度上搜索下里面的DNS IP看看是不是国内的，如果是国外的则需要警惕了！除非是Google的8.8.8.8这个，看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况，有些正常DNS IP也会有人讨论质疑，这个需要大家自行判断一下，实在没把握就设置DNS IP如下：主DNS服务器：114.114.114.114，备用DNS服务器为：8.8.8.8关于其他品牌如何修改查看或者修改DNS的话，和上面步骤也差不多，实在找不到的话就百度一下，多方便。如果发现被攻击的痕迹，重置路由器是个好办法，当然下面的步骤是必须的：修改路由器Web登陆密码路由器一般都会有Web管理页面的，这个管理界面的登陆密码记得一定要修改！一般情况下默认账号密码都是admin，把账号密码最好都修改的复杂点儿吧！上面的步骤都是人工的，我们另外准备了工具（建议结合使用）：开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的，只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候注意网址左侧的证书颜色，绿色黄色红色分别代表不同级别！或者你还不了解DNS劫持？：
刚刚搜了这个新闻，是这条吗？新闻中说的，黑客在实施DNS劫持的时候，采用了“SSL剥离的技术”，实施中间人攻击。在自己与银行之间按照正常情况适用https，但是在用户与自己之间是http，说明现在证书还是无法伪造的，除非是正规证书的私钥被盗用。所以说，https协议目前是安全的，在访问加密网页的时候注意看看地址栏，对于安全要求严格的加密网页可以点进去看看https的证书是否正常，发证机构等信息是否正确，只要系统内证书机制维护正常，一般情况下是没有问题的。。。当然，注意你的浏览器，那是你最后的防线。。。根据维基百科：HTTPS的主要思想是在不安全的网络上创建一安全信道，并可在使用适当的加密包和服务器证书可被验证且可被信任时，对和提供合理的保护。HTTPS的信任继承基于预先安装在浏览器中的（如VeriSign、Microsoft等）（意即“我信任证书颁发机构告诉我应该信任的”）。因此，一个到某网站的HTTPS连接可被信任，：用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构；用户相信证书颁发机构仅信任合法的网站；被访问的网站提供了一个有效的证书，意即，它是由一个被信任的证书颁发机构签发的（大部分浏览器会对无效的证书发出警告）；该证书正确地验证了被访问的网站（如，访问时收到了给“Example Inc.”而不是其它组织的证书）；或者互联网上相关的节点是值得信任的，或者用户相信本协议的加密层（或SSL）不能被窃听者破坏。
HTTPS 是安全的。HTTP 在 DNS 被劫持后，可以被随意窃听、修改。问题在于，你在访问私密页面时（比如网银），你的浏览器使用是 HTTP 还是 HTTPS。现在很多网站，包括国内银行，并不是所有网页都在使用 HTTPS。这就意味着，攻击者可以篡改那些使用 HTTP 的网页（或 CSS、JS 等其他资源）。以工行为例。网银页面当然是在 HTTPS 的保护之下的：但是工行的首页，是不提供 HTTPS 连接的：这就意味这，工行的首页实际上是可以被任意篡改的。（在网络环境不安全的情况下）这有什么问题呢？如果一个用户，想登陆网银，但他是先进的工行首页，然后再点击首页上的“登陆”链接：那就危险。这个“登陆”链接可能会被篡改，由 https://… 改为 http://…。此时，浏览器便会以不安全的 HTTP 与服务器建立连接！攻击者便可以使用类似 SSLStrip 的工具，将浏览器的 HTTP “转成” HTTPS，再发给银行服务器。用户 &== HTTP ==& 攻击者 &== HTTPS ==& 银行如果用户在这个 HTTP 的网银页面输入了自己的密码，就等于发给了攻击者。用户能察觉吗？能！在登录前瞄一眼浏览器地址栏，没有带锁的安全标识、非 https:// 开头（见第一幅图），即能知晓自己被攻击了。但是，有多少用户会注意到这些？（浏览器不会有任何警告，银行也不会察觉）网银的例子可能还不太好，应该不少人是像我一样，直接点收藏夹的链接登陆。这个链接不会被篡改。但是，在
这样登陆、下单时反复在 HTTP 和 HTTPS 间反复跳转的呢？你是否留意该转 HTTPS 的地方转 HTTPS 了吗。（一段跑题）有的网站更“吝啬”，连登陆页面都不用 HTTPS，自作聪明地使用 Javascript 加密用户密码。但由于这些 JS 本身可以被篡改，而且篡改后一般用户根本无法察觉，所以这么做更像是在自我安慰。实际上据说已经发生过这类攻击（）。如何防范：作为用户，平常留意一下哪些页面是使用 HTTPS 的，输入密码前确认一下地址栏：域名是否正确？是否是 https:// 开头，带有小锁的图标？将常用的网银登陆页面加入浏览器收藏夹。作为网站，现在越来越多的网站在全站部署 HTTPS，比如支付宝、推特、GitHub 等等。虽然会增加成本，但这是对用户负责。我认为这值得推广。（以上这些问题，应该说是普遍存在的。拿这几个网站举例，只是因为这几个网站是我最常使用的、最熟悉的罢了，没有其他什么意思。）
知道创宇&邪红色信息安全组织&伪黑客