广发信用卡屡遭盗刷&手机动态密码存致命漏洞--财经--人民网
广发信用卡屡遭盗刷&手机动态密码存致命漏洞
&&&&来源：&&&&&
　　原本为了增加安全系数的手机动态密码，如今却成了广发网银最大的漏洞。近段时间，广发信用卡盗刷事件频发，作案者手段几乎一致：在受害者网银中修改手机号码，利用新号码接受动态密码，从而完成盗刷支付。近10名被盗刷者向记者提出的相同问题是：网上支付环节中最重要的一环--手机，为什么能如此轻易修改？第三方支付平台能否承担更多的风险控制功能？　　用户投诉　　一夜&飞&走5000元　　8月23日早上王青（化名）打开手机，几条&一拥而入&的短信，让他感到&大势不妙&：&尊敬的×××，您在广发网上银行的手机号已经重新设置成功。&&贵卡末四位××××于23日02时消费2000.00元，授权号末四位××××。&几条短信看下来，王青明白了，自己的广发信用卡被盗刷了，损失5000元。　　王青立刻拨打了广发信用卡的客服电话，经过查询，第一笔2000元被通过支付宝购买了彩票，第二笔3000元则通过银联在线支付了出去，由于采用即时到账的支付方式，这5000元是追不回来了。　　上网搜索一番，王青才发现，原来发生在自己身上的&噩梦&并非个例。从今年7月初开始，便陆陆续续有人在网上投诉，广发上线新网银系统后，信用卡被盗刷。叶迷（化名）是另一名广发信用卡被盗刷者。今年7月4日，他的一张广发信用卡在凌晨两点多的时候被盗刷2000元，通过环迅支付用于购买一家名为腾驰策划公司的服务，被盗经历与王青如出一辙。经过一个多月的联系，叶迷得到的最新回复是：广发银行风险控制部门已介入调查，在此期间，无需还款。　　记者调查　　第三方支付难止损　　在记者拿到的一份广发信用卡被盗刷者的名单中，有5个被盗者与叶迷一样，数千元的款项均被转移至那家名为腾驰策划的公司。到底这是一家怎样的公司呢？8月24日，记者多次拨打腾驰网站上的电话，始终无法接通，其中公布的400电话，更是被接线方否认属于腾驰。叶迷告诉记者，曾有深圳的受害者去腾驰网站上标明的地址查访，却并没有找到这家公司。　　通过第三方支付平台--环迅支付，记者拿到一份来自腾驰的声明，称他们也是受害者，盗刷者是他们的一名会员，目前已无法联系，其账户也被冻结。声明的落款是7月26日。环迅支付相关人士向记者证实，这是一家正规运营的公司，证照齐全，销售的是网络优化等服务。　　7月4日失窃当日，叶迷向环迅提出终止付款的要求，但最终并没有被支持。环迅支付相关人士告诉记者，普通用户与环迅之间都是T+1的结算方式，也就是说，第一天凌晨发生的盗刷，第二天才会真正由环迅支付给商户，如果盗刷者购买的是实物商品，且当天便与环讯联系，便有可能追回被盗款项。但由于盗刷者通常购买的都是彩票、充值卡等虚拟商品，采用的是即时到账的结算方式，所以第三方支付平台很难止损。　　广发网银可随意更改手机　　经过对多名受害者采访，记者基本复盘了整个被盗刷的经过。5月20日，广发信用卡的新网银上线，其中一项重要修改是，取消原有固定的支付密码，而采用手机动态密码的方式，也就是说，每次支付前，手机将收到一条动态密码，以此作为支付凭据。　　然而，这种新操作模式有个致命的弱点，除非用户设置了&私密问题&，否则黑客只需知道网银登录名和密码，便可在网银上修改手机号码，且修改后的密码直接发送至新号码处，从而完成支付。&广发称这是为了方便丢失手机用户，可到底是网银安全重要，还是为这极少数丢手机用户服务重要？&王青对广发的解释很不理解。　　在记者拿到的这份被盗刷名单中，有五六起案件的盗刷者修改后新手机为同一个&159&开头的号码，基本可确定，这些案件均一人所为。然而由于涉案金额并不高，每件盗刷案大多在数千元左右，被害者分布范围广，遍布浙江、广东、北京等地，尽管都已经报警，但警方明确表示，案值太小，恐怕很难破案。　　诸多网银只有广发中招　　&银行总是说盗刷责任在我们，没保管好密码，难道广发网银就一点责任都没有吗？&王青告诉记者，他电脑中装了360安全卫士、网购保镖等各种杀毒软件，定期更新，从未报警说有木马，&我网购6年，工行、招行、交行等银行的信用卡和网银都有，且最近两个月内均使用过，就算电脑被种了木马，这些银行的网银登录密码应该全被盗，为何其他银行没有被盗刷，只有广发被盗刷成功？&　　到底其他银行是如何做的呢？记者随即拨打了的客服电话，对于记者要求更改注册手机号码的要求，客服人员提出不仅要人工核对多重资料，而且修改号码的请求短信会同时发给新、旧手机号码，最关键的是，修改请求第二天才生效，如是，被修改者有一天的时间来发现，是否密码被盗。至于通过网银修改手机号码？&是不可能的。&　　的网银防范也十分严密。每次登录都必须输入手机动态密码，从开始便杜绝了盗刷者登录的可能。　　记者手记　　迟迟不见亡羊补牢　　在记者接触的被盗刷者中，最早一人于7月4日被盗刷，最晚一人于8月23日被盗刷，中间相隔一个半月，用户也已经多次向广发投诉。但为何如此明显的漏洞，广发网银仍没有做任何补救工作呢？亡羊补牢为时不晚，就算现在进入调查阶段，先把&羊圈&修补好，应该难度不大吧。没人苛求银行服务十全十美，人们在意的，只是对用户起码的用心和尊重而已。就这点来说，广发差距甚远。
（责任编辑：隋立明（实习））
手机读报，精彩随身，移动用户发送到RMRB到，订阅人民日报手机报。
|||?||?|?|?|?||
发短信上手机人民网有光大银行信用卡的卡好和动态密码能不能盗刷_百度知道
有光大银行信用卡的卡好和动态密码能不能盗刷
我有更好的答案
网上盗刷就是这样产生的
不义之财不可取，君子爱财取之有道
为您推荐：
其他类似问题
光大银行信用卡的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。请完成以下验证码
查看: 1155|回复: 9
信用卡屡遭盗刷 用户称手机动态密码存致命漏洞
新新小仔001
原本为了增加安全系数的手机动态密码，如今却成了广发网银最大的漏洞。近段时间，广发信用卡盗刷事件频发，作案者手段几乎一致：在受害者网银中修改 手机号码，利用新号码接受动态密码，从而完成盗刷支付。近10名被盗刷者向《IT时报》记者提出的相同问题是：网上支付环节中最重要的一环——手机，为什 么能如此轻易修改？第三方支付平台能否承担更多的风险控制功能？
　　用户投诉
　　一夜“飞”走5000元
　　8月23日早上王青（化名）打开手机，几条“一拥而入”的短信，让他感到“大势不妙”：“尊敬的×××，您在广发银行网上银行的手机号已经重新 设置成功。”“贵卡末四位××××于23日02时消费人民币2000.00元，授权号末四位××××。”几条短信看下来，王青明白了，自己的广发信用卡被 盗刷了，损失5000元。
　　王青立刻拨打了广发信用卡的客服电话，经过查询，第一笔2000元被通过支付宝购买了彩票，第二笔3000元则通过银联在线支付了出去，由于采用即时到账的支付方式，这5000元是追不回来了。
　　上网搜索一番，王青才发现，原来发生在自己身上的“噩梦”并非个例。从今年7月初开始，便陆陆续续有人在网上投诉，广发上线新网银系统后，信用 卡被盗刷。叶迷（化名）是另一名广发信用卡被盗刷者。今年7月4日，他的一张广发信用卡在凌晨两点多的时候被盗刷2000元，通过环迅支付用于购买一家名 为腾驰策划公司的服务，被盗经历与王青如出一辙。经过一个多月的联系，叶迷得到的最新回复是：广发银行风险控制部门已介入调查，在此期间，无需还款。
　　记者调查
　　第三方支付难止损
　　在记者拿到的一份广发信用卡被盗刷者的名单中，有5个被盗者与叶迷一样，数千元的款项均被转移至那家名为腾驰策划的公司。到底这是一家怎样的公 司呢？8月24日，记者多次拨打腾驰网站上的电话，始终无法接通，其中公布的400电话，更是被接线方否认属于腾驰。叶迷告诉《IT时报》记者，曾有深圳 的受害者去腾驰网站上标明的地址查访，却并没有找到这家公司。
　　通过第三方支付平台——环迅支付，记者拿到一份来自腾驰的声明，称他们也是受害者，盗刷者是他们的一名会员，目前已无法联系，其账户也被冻结。声明的落款是7月26日。环迅支付相关人士向记者证实，这是一家正规运营的公司，证照齐全，销售的是网络优化等服务。
　　7月4日失窃当日，叶迷向环迅提出终止付款的要求，但最终并没有被支持。环迅支付相关人士告诉记者，普通用户与环迅之间都是T+1的结算方式， 也就是说，第一天凌晨发生的盗刷，第二天才会真正由环迅支付给商户，如果盗刷者购买的是实物商品，且当天便与环讯联系，便有可能追回被盗款项。但由于盗刷 者通常购买的都是彩票、充值卡等虚拟商品，采用的是即时到账的结算方式，所以第三方支付平台很难止损。
　　广发网银可随意更改手机
　　经过对多名受害者采访，《IT时报》记者基本复盘了整个被盗刷的经过。5月20日，广发信用卡的新网银上线，其中一项重要修改是，取消原有固定的支付密码，而采用手机动态密码的方式，也就是说，每次支付前，手机将收到一条动态密码，以此作为支付凭据。
　　然而，这种新操作模式有个致命的弱点，除非用户设置了“私密问题”，否则黑客只需知道网银登录名和密码，便可在网银上修改手机号码，且修改后的 密码直接发送至新号码处，从而完成支付。“广发称这是为了方便丢失手机用户，可到底是网银安全重要，还是为这极少数丢手机用户服务重要？”王青对广发的解 释很不理解。
　　在记者拿到的这份被盗刷名单中，有五六起案件的盗刷者修改后新手机为同一个“159”开头的号码，基本可确定，这些案件均一人所为。然而由于涉 案金额并不高，每件盗刷案大多在数千元左右，被害者分布范围广，遍布浙江、广东、北京等地，尽管都已经报警，但警方明确表示，案值太小，恐怕很难破案。
　　诸多网银只有广发中招
　　“银行总是说盗刷责任在我们，没保管好密码，难道广发网银就一点责任都没有吗？”王青告诉记者，他电脑中装了360安全卫士、网购保镖等各种杀 毒软件，定期更新，从未报警说有木马，“我网购6年，工行、招行、交行等银行的信用卡和网银都有，且最近两个月内均使用过，就算电脑被种了木马，这些银行 的网银登录密码应该全被盗，为何其他银行没有被盗刷，只有广发被盗刷成功？”
　　到底其他银行是如何做的呢？记者随即拨打了招商银行的客服电话，对于记者要求更改注册手机号码的要求，客服人员提出不仅要人工核对多重资料，而 且修改号码的请求短信会同时发给新、旧手机号码，最关键的是，修改请求第二天才生效，如是，被修改者有一天的时间来发现，是否密码被盗。至于通过网银修改 手机号码？“是不可能的。”
　　浦发银行的网银防范也十分严密。每次登录都必须输入手机动态密码，从开始便杜绝了盗刷者登录的可能。
　　记者手记
　　迟迟不见亡羊补牢
　　在记者接触的被盗刷者中，最早一人于7月4日被盗刷，最晚一人于8月23日被盗刷，中间相隔一个半月，用户也已经多次向广发投诉。但为何如此明 显的漏洞，广发网银仍没有做任何补救工作呢？亡羊补牢为时不晚，就算现在进入调查阶段，先把“羊圈”修补好，应该难度不大吧。没人苛求银行服务十全十美， 人们在意的，只是对用户起码的用心和尊重而已。就这点来说，广发差距甚远。
《IT时报》
希望这个漏洞尽快弥补。
数字是亮点
嗨，可能还是措施没到位
还是制度方面出了疏漏~
手机动态密码也不可信了
看来还是用网银了，手机动态密码令人忧虑啊
手机的动态密码实效太长了
头像被屏蔽
为了方便，失去了安全性，得不偿失呀，哎，做事情要考虑清楚之后再实施呀
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,当前位置：>>
信用卡交易动态码成盗刷漏洞
信用卡交易动态码成盗刷漏洞
大洋网-广州日报
浏览：{$onclicknum}
新型诈骗不断。银行方面提醒除了制造伪卡、失窃卡盗刷、网络诈骗等方式外，近期社会上又出现了一种新型电信诈骗手段。
据了解，此类案件不同于卡片被克隆导致的盗刷案件，交易过程中受害人被诱导提供了交易必须的各种信息通过银行的安全验证，银行便默认为持卡人本人交易。
各家银行方面已经通过多种渠道向持卡人进行了安全提示。如广发客服热线95508发送含有验证码的短信时，还会提醒持卡人“切勿转发或告知包括银行人员在内的任何人，谨防诈骗。”
【延伸阅读】
信用卡交易动态码知多少
所谓动态密码，就是相对于静态密码来讲，每笔业务、每个时间点，都需要使用一组密码，每组密码都不重复，每组密码之间都没有规律可循。
对于动态密码的获取，可以通过动态密码器、手机接收“动态口令”等方式来实现。
关于动态密码器，目前中行、光大、深发展、工行、邮储银行等都已经发行了。在已经运用的当中，都是只运用于网上银行、电话银行、或者手机银行等虚拟电子渠道，还没有听说有的可以运用到ATM、POS、以及柜台当中(目前只是工行用密码器验证手机银行无卡取现)。常见的动态密码器的运用，除了银行发行的之外，还有以下一些，比如：中国联通-密保、网易-将军令、QQ-令牌等。
就中行、工行的来说：
中行的中银e令，不需要开机密码，按一下，显示一个动态密码，使用起来比较方便，所以中行的特别适合小额支付的时候使用(此处考虑了丢失因素的存在)。假如中行卡、中银e令同时丢失被他人获取，如果特别设定交易限额的话，那么也可以尽量降低持卡人的资金损失!
工行的工银电子密码器，开机需要开机密码，如果丢失了密码器，他人也无法使用;另外，采用了动态密码跟交易要素相互绑定的策略，使交易更加安全!所以，工行的特别适合大额支付的时候使用。
银行卡+动态密码器(中行类型的)：特别适合日常小额取款(比如一般每月取款500元-1000元用于日常现金结算，可以特别设定每月取款限额为1000元)、以及小额购物(可以特别设定每月消费限额为1000元)的时候使用;
银行卡+动态密码器(工行类型的)：特别适合日常大额取款、以及大额购物(比如购买家电、汽车、房产、装修、旅游等大额支出)的时候使用。
编辑推荐：
相关阅读：
获取验证码广发信用卡屡遭盗刷 手机动态密码或存致命漏洞/11:50来源：IT时报作者：郝俊慧 &&&&原本为了增加安全系数的动态密码，如今却成了广发网银最大的漏洞。近段时间，广发信用卡盗刷事件频发，作案者手段几乎一致：在受害者网银中修改手机号码，利用新号码接受动态密码，从而完成盗刷支付。近10名被盗刷者向《时报》记者提出的相同问题是：网上支付环节中最重要的一环――手机，为什么能如此轻易修改？第三方支付平台能否承担更多的风险控制功能？
&&&&用户投诉
&&&&一夜“飞”走5000元
&&&&8月23日早上王青(化名)打开手机，几条“一拥而入”的短信，让他感到“大势不妙”：“尊敬的×××，您在广发银行网上银行的手机号已经重新设置成功。”“贵卡末四位××××于23日02时消费人民币2000.00元，授权号末四位××××。”几条短信看下来，王青明白了，自己的广发信用卡被盗刷了，损失5000元。
&&&&王青立刻拨打了广发信用卡的客服电话，经过查询，第一笔2000元被通过支付宝购买了彩票，第二笔3000元则通过银联在线支付了出去，由于采用即时到账的支付方式，这5000元是追不回来了。
&&&&上网搜索一番，王青才发现，原来发生在自己身上的“噩梦”并非个例。从今年7月初开始，便陆陆续续有人在网上投诉，广发上线新网银系统后，信用卡被盗刷。叶迷(化名)是另一名广发信用卡被盗刷者。今年7月4日，他的一张广发信用卡在凌晨两点多的时候被盗刷2000元，通过环迅支付用于购买一家名为腾驰策划公司的服务，被盗经历与王青如出一辙。经过一个多月的联系，叶迷得到的最新回复是：广发银行风险控制部门已介入调查，在此期间，无需还款。
&&&&记者调查
&&&&第三方支付难止损
&&&&在记者拿到的一份广发信用卡被盗刷者的名单中，有5个被盗者与叶迷一样，数千元的款项均被转移至那家名为腾驰策划的公司。到底这是一家怎样的公司呢？8月24日，记者多次拨打腾驰网站上的电话，始终无法接通，其中公布的400电话，更是被接线方否认属于腾驰。叶迷告诉《时报》记者，曾有深圳的受害者去腾驰网站上标明的地址查访，却并没有找到这家公司。
&&&&通过第三方支付平台――环迅支付，记者拿到一份来自腾驰的声明，称他们也是受害者，盗刷者是他们的一名会员，目前已无法联系，其账户也被冻结。声明的落款是7月26日。环迅支付相关人士向记者证实，这是一家正规运营的公司，证照齐全，的是优化等服务。
&&&&7月4日失窃当日，叶迷向环迅提出终止付款的要求，但最终并没有被支持。环迅支付相关人士告诉记者，普通用户与环迅之间都是T+1的结算方式，也就是说，第一天凌晨发生的盗刷，第二天才会真正由环迅支付给商户，如果盗刷者购买的是实物商品，且当天便与环讯联系，便有可能追回被盗款项。但由于盗刷者通常购买的都是彩票、充值卡等虚拟商品，采用的是即时到账的结算方式，所以第三方支付平台很难止损。
&&&&广发网银可随意更改手机
&&&&经过对多名受害者采访，《IT时报》记者基本复盘了整个被盗刷的经过。5月20日，广发信用卡的新网银上线，其中一项重要修改是，取消原有固定的支付密码，而采用手机动态密码的方式，也就是说，每次支付前，手机将收到一条动态密码，以此作为支付凭据。[1]&&&
?(08.16 08:08)?(08.11 09:29)?(08.09 08:42)?(08.08 08:56)?(08.08 08:26)?(07.15 15:45)?(07.13 08:23)?(07.07 08:47)?(06.10 08:30)?(06.07 08:51)
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ?
标王热词推荐
? ? ? ? ? ? ? ?