欢迎订阅 中国移动用户短信cqsjb至。 上 手机登录
支付不需密码和短信验证 信用卡无端被刷6399元
原来，有人盗取了他的卡面信息团购餐券，无需交易密码就完成交易。银行人士提醒，信用卡背面的CVV2码很重要，最好贴上胶布防泄露。
　　信用卡从未离身，咋会被盗刷了6000多？
　　原来，有人盗取了他的卡面信息团购餐券，无需交易密码就完成交易
银行人士提醒，信用卡背面的CVV2码很重要，最好贴上胶布防泄露
　　“我的信用卡被人在一个团购网上盗刷了6000多元，我怀疑是网站泄露了我的信用卡信息，而这个网站的信用卡支付渠道也存在漏洞。”昨天，张先生向重庆晨报民生及时雨反映。重庆晨报记者调查发现，张先生所投诉的携程团购网在使用信用卡时的确不需要信用卡密码、短信动态验证码等。
　　信用卡无端被刷6399元
　　10月20日上午11点，住在北京的张先生的手机收到招商银行信用卡微信服务号提醒：他的信用卡，先后产生了9笔、每笔711元的消费。张先生很诧异，他说自己最近根本没有动用过信用卡。
　　“肯定是被人盗刷了！”张先生说，微信上关于几笔消费的详细信息显示，交易商户为上海华程西南旅行社有限公司，而该公司是携程网所对应的实体公司，总计6399元的消费属于预授权。于是，他第一时间联系招行要求冻结账户，招行客服表示将展开调查。
　　张先生立即拨打了携程网的客服电话。下午3点，客服人员反馈说查到了交易记录：6399元被用于团购一家名为榕树海鲜大排档的抵扣券，这家大排档远在福建。更令张先生郁闷的是，在他申请冻结之前，这些抵用券已由预授权转化为实际消费。
　　支付不需密码和短信验证
　　张先生很纳闷，他的信用卡和手机都没丢失过，为什么还能被盗刷？
　　他登录携程团购网体验后发现，这个网站的信用卡支付渠道只需录入信用卡卡号、有效期、卡背面签名处后末三位数字的CVV2码，以及该卡在银行预留的手机号码，即可完成支付与交易。整个过程无须信用卡交易密码，预留手机也没收到银行发送的短信动态验证码。
　　张先生说，卡号、有效期和CVV2码被直接印在信用卡上。“一旦有人记录下这几个信息，同时又获知持卡人的手机号码，即使拿不到该信用卡，也能在携程团购网上盗用。”
　　张先生将自己的信用卡卡面信息及预留手机号码外泄的矛头指向了携程团购网。
　　携程客服回复称，网站内部有严格的安全控制措施，客户信息的传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些资料，携程也不会随意泄露。
卡号、有效期、CVV2码，信用卡上的这三个信息很重要，一旦泄露，可能会被别有用心的人盗刷。
　　银行提醒&
　　无密码支付比较常见，防盗刷要靠自己
　　携程客服昨天表示，在携程网站通过信用卡支付，的确不需信用卡密码、短信动态验证码等就可完成预授权交易。
　　招行信用卡客服人员则介绍，无需交易密码是信用卡的一种支付形式，一般只针对酒店、机票等实名制业务，并且是用于一些安全级别通过了验证的企业或商家。这种交易方式，通过持卡用户向商家提供卡片信息即可完成消费交易。这位客服人员还表示，这种交易方式目前只能靠保管好信用卡、防止卡面信息泄露来避免被盗刷。也就是说，目前尚无特殊的强制手段，来对无需密码的交易形式进行限制。
　　专家支招&
CVV2码很重要，可用胶布遮挡防泄露
　　银行业内人士介绍称，携程网站需要填写的信用卡卡号、有效期和CVV2码三个信息中，CVV2码最为重要。
　　CVV2码又称信用卡安全码，是信用卡交易时的一个安全代码。它通常是印刷在信用卡背面签名处后，是斜体字的最后3位数字；用于证实付款人在交易时是拥有该信用卡的，从而防止信用卡欺诈。CVV2码相当于信用卡的身份证，持卡用户可凭此码进行消费交易。据了解，境外网站购物不需要密码，只要买方提供账号和安全码即可完成交易；国内也有商家与银行签约，在网络或电话交易时同样无需密码，仅凭安全码就可完成划账。
　　业内人士建议，持卡人可以剪一块小胶布把CVV2码贴住，以防泄露。同时也应全面保护好自己的信用卡——尽量保证卡不离身，消费时不要让信用卡离开自己的视线，不把卡片交给店员去结账，避免卡片信息被外人查看。
· · · · ·
更多新闻扫描二维码
下载“看重庆”新闻客户端
感谢您阅读：
虚假新闻投诉致电　更多
[责任编辑：
· · · · · · ·
· · · · · · ·
· · · · · · ·
· · · · · · ·
新闻热搜词
来源：360新闻
扫二维码关注华龙网官方微信
版权声明：
联系方式：重庆华龙网集团有限公司 咨询电话：
①重庆日报报业集团授权华龙网，在互联网上使用、发布、交流集团14报1刊的新闻信息。未经本网授权，不得转载、摘编或利用其它方式使用重庆日报报业集团任何作品。已经本网授权使用作品的，应在授权范围内使用，并注明“来源：华龙网”或“来源：华龙网-重庆XX”。违反上述声明者，本网将追究其相关法律责任。
② 凡本网注明“来源：华龙网”的作品，系由本网自行采编，版权属华龙网。未经本网授权，不得转载、摘编或利用其它方式使用。已经本网授权使用作品的，应在授权范围内使用，并注明“来源：华龙网”。违反上述声明者，本网将追究其相关法律责任。
附：重庆日报报业集团14报1刊：重庆日报 重庆晚报 重庆晨报 重庆商报 时代信报 新女报 健康人报 重庆法制报 三峡都市报 巴渝都市报 武陵都市报 渝州服务导报 人居周报 都市热报 今日重庆
Copyright & , All Rights Reserved.
华龙网版权所有 未经书面授权 不得复制或建立镜像　（最佳浏览环境：分辨率以上，浏览器版本IE8以上）
地址：重庆市两江新区青枫北路18号凤凰座A栋7楼 邮编：401121 广告招商：023- 传真：023-
经营许可证编号：渝B2-
信息网络传播视听节目许可证号：2208266
互联网新闻信息服务许可证编号：
互联网出版许可证号：新出网证（渝）字002号注册流程登录流程找回密码流程风控流程快速进行推广、进行个性化营销、用户信息安全密码安全性手机注册登录方式& 邮箱注册登录手机注册 - 逐渐替代邮箱注册，但有运营商重复放号的风险证件信息、手持证件生物特征 指纹识别、虹膜识别、语音识别、人脸识别按验证动作分：账号密码：账号密码登录：账号 密码全球手机登录：手机号 密码三方授权登录：三方账号 密码三方静默登录：三方账号 密码手机验证：免密登录：手机号 短信验证码按验证时间分：进入应用前后置流程中手机验证：&&& 运营商二次放号问题是个坑，需要有流程进行判断；&&& 短信费用的预算问题需要考虑；&&& 需要准备至少两个短信通道，以防出现短信通道堵塞或熔断等导致用户无法顺利注册的情况。前置 后置& ： 风控 和 流量两方面考虑三大基本要求1 稳定性 2 通用性 3 支撑性注册来源注册转化率流水页面注册成功 - 间接引导用户 如何玩转产品， 新手引导&&& 如果用户名使用电子信箱，如何让用户能够快速完成电子信箱的录入？&&& 如何设计良好的登录页错误提示？&&& 是否需要记住密码？还是需要2周内不用登录？&&& 能否不用鼠标来切换用户名和密码框？&&& 能否用回车键来替代鼠标完成登录或提交的操作？&&& 如何让用户快速完成注册页的各种字段录入？&&& 如何限定注册页的必填字段？&&& 如何设计密码强度的提示？&&& 如何设计良好的注册页错误提示？&&& 如果注册页有用户头像，是否需要锁定头像比例？是否提供在线裁剪？&&& 是否需要给用户设置默认头像？&&& 如何快速切换注册页的各个字段输入框？&&& 注册页各个字段的填写提示是否简洁清晰无歧义？&&& 其实还会有很多很多问题，需要我们慢慢打磨、细化。（1）用户访问热点和行为监控一个账户只能登录在唯一的设备上，已在别的设备上登录，在新的设备上打开必须要求登录。如微信。
阅读(...) 评论()价格不是我们的优势，品质永远是我们的追求！
您的位置：&
未来短信验证码安全认证或被取代
　　近几年，在我们的生活中扮演着重要的角色，在生活中几乎每天都会收到各个网站、客户端、银行、票务、订单或者认证的短信。就是这一串数字牵连着人们生活中的各种所需。但问题也随之而出。　　近几年第三方支付业务快速发展，手机短信验证码又成为支付验证，支付登录等功能的一道屏障，人们越来越关心手机短信验证码的安全性，用户会因为手机号码是国家三大运营商为依托的短信渠道，所以在意识上会有所松懈，这时就给那些不法之徒有了可乘之机，短信拦截，手机木马等手段来获取你的账号以及验证码信息。而且随着人们频繁的使用短信的认证，商家也必须去承担一个验证码的短信费用，目前行业的一个短信验证码费用在0.05元/条，对于一些大的商家来说，一天在短信费用上的投入也是一笔不小的开支。　　面对短信验证存在的漏洞，是否可以修复增加并提升安全等级，又或者采用全新的方式去替代短信验证，此时电信运营商给予了我们答案，无需短信验证码，却比验证码更加安全，更加快速响应的免密登录模式。　　什么是免密登录认证　　去年中国电信天翼账号开放能力合作大会在成都成功落幕，预示着账号能力的开放性多元化性。在今年电信天翼账号又推出免密认证功能，依托中国电信运营商的大背景，用户登录无需输入任何密码，也无需获取任何验证码，只需点击天翼免密登录，自动识别该手机号码进行认证通过。省去短信验证码的校验，从根源杜绝了短信拦截。并且在时间以及使用体验上也较短信验证登录提示了一个高度。　　没有密码会更安全嘛？　　用户都会有一种顾虑，短信验证码都不需要了，方便确实方便，但我怎么知道我的账号是否是安全的，再者手机丢了以后岂不是一切都泄露出去了。这是通过调研用户目前最难接受没有验证码的登录方式。其实有这些问题很正常，既然我们在此谈免密是否安全，那么他到底安全在哪里。　　1、当用户手机丢失，或者被窃取　　不管是用户短信验证码，或者账号密码、以及电信免密登录都无法解决的问题，用户只能尽快的到运营商出进行报备，减少损失。当然支付环节每个用户肯定还有第二层的密码支付。损失可以降低到最低。　　2、没有密码，账号是否安全　　众所周知，电信运营商作为手机号码的运营方，依托其数据网络和手机卡，是可以准确识别用户手机号码的，之前我有谈到验证码的输出通道采用的是HTTP协议，而电信免密采用的是HTTPS协议，不存在被拦截窃取信息，成功率可以达到真正的100%，在节约用户在登录时间的同时，也保障了用户在登录时的安全。在运营商推出的登录协议上我想更加能够给予我心理上的安全。　　在当今互联网的信息安全动荡不安，但人们却越来越依靠网络，依靠手机来解决生活上交流、外卖、订单、购物、支付、交易等等等；安全问题凸显的尤为重要。在人脸识别、指纹识别、声音识别技术层面以及经济方面无法做到普及的情况下，我们只能依托国家的保护，免密在依托电信运营上的背景，在信息安全，数据库的保障上能够给较好的承担这项信任。或许我们一开始还不太接受该能力，但在不久的将来这项能力在被更多的商家运用时，我们也就慢慢适应接受了，因为这会是未来走向便捷的一个趋势。
服务热线：6
投诉专线：6
（点击交谈）
乐信新浪企业微博
乐信官方微信支付宝社交存盗刷隐患 业内人士建议:可以关闭免密支付|支付宝|用户|社交_新浪财经_新浪网
基金经理老鼠仓，说好保本变巨亏，买基金被坑请到【】！信用卡无故遭盗刷，银行存款变保险，理财被骗请猛戳【】！
　　原标题：支付宝社交存盗刷隐患
　　蚂蚁金服遭遇“多事之冬”。就在招财宝违约风波尚未平静之时，支付宝再次陷入安全性质疑。1月10日上午，一位用户在社交平台爆料称，支付宝被发现新的漏洞，熟人只要知道你最近买过的东西，且二人有共同好友，就能较为轻易地通过验证，登录你的支付宝账户。一石激起千层浪，就在用户质疑支付宝安全性之余，也把好友验证的这种方式看做变相“找补”社交短板，甚至有用户喊话支付宝关闭社交功能。从安全角度来考虑，业内人士建议，用户可以关闭免密支付。
　　熟人可轻松“作案”
　　1月10日上午，一篇《网曝支付宝新漏洞：熟人可100%登录篡改你支付宝密码》的文章在市场上广为流传。据该文章披露，支付宝存在新漏洞：陌生人有1/5的机会登录你的支付宝，熟人则有100%的机会登录你的支付宝。
　　具体操作方法为，在“登录手机账号”环节选择“忘记密码”和“手机不在身边”，就可以绕开以短信验证码的方式进行验证；接下来，支付宝会提供一种熟人验证的选择，以“淘宝买过的东西9张图片选1个”和“好友验证9个好友图片选1个”来核验身份，只要选对就可以登录成功。
　　虽然有支付宝员工指出，选择图片时只能选择一次，选错就不能通过验证。但不少用户都反驳称，只要知道本人近期在淘宝买过的东西，以及有共同好友，就很容易完成，这样的验证方式安全性很低。加剧用户担忧的是，还有消息称，曾有用户在被熟人盗取了账号后，支付宝客服人员以“熟人作案，支付宝不予理赔”回应。
　　对此，1月10日上午，支付宝官微紧急回应称，通常情况下，用户找回登录密码至少需要输入手机短信验证码，只有对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统才会先进行评估（比如账户信息完整程度、网络环境等因素），并在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。
　　随后，支付宝还补充表示，在接到网友反映后，支付宝已于10日上午进一步提高了风控系统安全等级。目前，仅在用户自己手机上才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式的。
　　业内人士建议关闭免密支付
　　对于“熟人作案 ，支付宝不予理赔”的说法，支付宝官方人士称这并不严谨。该人士表示，通常来说，只要是支付宝账户被盗刷，支付宝都会通过保险公司进行赔偿。另外，在实际生活中，熟人作案的可能性很低，非常容易被识破。
　　一位金融机构人士也对北京商报记者表示，陌生人1/5、熟人100%的两个概率过于夸张。这两个概率基于一个前提，即你的身边存在这么一个“坏人”且知道支付宝登录这个漏洞，这样他只要观察你最近买了什么东西就可以破解你的账户。
　　但身边存在这么一个“坏人”的概率并不大，其次，对方破解的只是登录密码而非支付密码，只能通过小额免密来盗窃小部分资金，更多的还是支付信息的泄露，实质财产损失的风险不大。
　　支付宝也对这一点进行了强调。支付宝称，这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码，且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。此外，支付宝密码分为登录密码和支付密码，就算登录密码被重置，支付密码也不会受到影响，用户资金安全还是可以得到保障。
　　还有业内人士“支招”，为避免任何一点资金受损，用户可以关闭小额免密功能。易观智库支付行业分析师王蓬博表示，用户遇到被盗刷的问题，要及时联系支付宝工作人员挂失或者按照提示将损失降低到最少；其次，用户尽可能不要开启小额免密支付功能，并在用完后随时解绑银行卡。
　　用户喊话：不要做社交了
　　在这次登录漏洞风波后，尽管支付宝做出了很多安全方面的保证，却依然难以完全打消用户担忧。一位市场人士指出，支付宝钱包功能的安全性漏洞无疑将降低用户对平台的信任度。
　　在支付宝官微回应的评论中，北京商报记者看到，被点赞最多的评论几乎都在指责支付宝过分想要在社交方面突围。在一个喊话支付宝“好好做支付，不要做社交！”的评论下，支付宝回应称，“你说的对”。
　　支付宝设置通过好友验证的这种方式，在业内人士看来，背后就是变相扩大社交功能的意图。中央财经大学金融法研究所所长黄震表示，社交成为一大软肋的支付宝是想通过这种方式增强社交性的色彩以弥补短板。不过一位安女士透露，她的支付宝好友名单中只有12个人，且仅是在“转过一次账之后就添加为好友了”，平日根本不会通过支付宝互相联系。
　　事实上，蚂蚁金服的社交突围战一直未曾停止。从旺旺、雅虎关系、来往、钉钉，到其投资的陌陌、微博等社交软件，都是阿里系的社交尝试，不过，尝试结果都不太理想。之后，蚂蚁金服想借助已经拥有广泛客群的支付宝寻求突破，从新增朋友和口碑，到首页新增生活圈，再到利用芝麻信用开启“圈子”，这些尝试均不太成功。
　　此前就曾有业内人士痛批，支付宝做社交最大的问题就是用户质疑为什么金融服务要混入社交属性，从用户的心理出发，会降低金融服务的安全性。本次登录漏洞风波爆发后，业内人士再次强调，封闭的财富管理和开放的社交存在矛盾，对支付企业而言，用户资金安全永远是第一位的。
　　北京商报记者 崔启斌 程维妙 岳品瑜
责任编辑：蔡越坤
　　金融业创新层出不穷，行业发展面临挑战与机遇。银行频道官方公众号“金融e观察”(微信号：sinaeguancha)，将为您提供客观及时的新闻精粹，分享独家、深度、专业的评论点睛。