【編者按】銀行與運(yùn)營(yíng)商，客戶與銀行，運(yùn)營(yíng)商與客戶，只要留下數(shù)據(jù)痕跡，每一個(gè)環(huán)節(jié)都有可能出現(xiàn)紕漏讓攻擊者有機(jī)可乘。銀行希望提供更加便捷的小額支付服務(wù)，吸引更多的用戶使用 ；運(yùn)營(yíng)商希望提供更多的增值服務(wù)，從而形成長(zhǎng)尾效應(yīng)，創(chuàng)造更高的附加值。本文并非針對(duì)工行、移動(dòng)，任何銀行與運(yùn)營(yíng)商都有可能發(fā)生。雷鋒網(wǎng)作者shotgun是安全領(lǐng)域的專家，他希望借此來(lái)探討當(dāng)下方便快捷的網(wǎng)絡(luò)支付所潛藏的安全隱患，給三方警示，從而能更好地保護(hù)我們的財(cái)物安全。

那么，在支付交易的過(guò)程中，運(yùn)營(yíng)商、銀行、用戶，三者之間如何協(xié)作？哪個(gè)環(huán)節(jié)會(huì)出現(xiàn)紕漏？用戶銀行卡里的錢(qián)是怎么丟的？

事件回顧（主人公視為小王）：

為了方便理解，提取這個(gè)過(guò)程的幾個(gè)節(jié)點(diǎn)：

２015年7月1日，小王發(fā)現(xiàn)自己被強(qiáng)制開(kāi)通了10086的短信保管箱業(yè)務(wù)。第二天，小王就修改了自己的10086密碼。

7月6日，小王收到近10條自己在各種網(wǎng)站注冊(cè)賬號(hào)的驗(yàn)證碼信息； 小王再次發(fā)現(xiàn)自己被強(qiáng)制開(kāi)通了短信保管箱業(yè)務(wù)； 幾分鐘后，工商銀行向受害者發(fā)來(lái)短信驗(yàn)證碼，顯示工商銀行卡B中一筆9990元的存款正在轉(zhuǎn)賬。

這個(gè)事件中，我進(jìn)行了以下這些推論分析：

第一，用戶的手機(jī)應(yīng)該是干凈的。也就是說(shuō)，沒(méi)有被植入木馬后臺(tái)。

一般來(lái)說(shuō)，網(wǎng)銀攻擊者喜歡使用手機(jī)木馬來(lái)直接盜取他人的錢(qián)。

手機(jī)木馬的工作原理: 一般工作在安卓或者越獄后的蘋(píng)果手機(jī)上（近期也出現(xiàn)了不需要越獄就可以植入的蘋(píng)果木馬），利用APP或者手機(jī)操作系統(tǒng)的漏洞，不僅僅可以截獲短信、竊聽(tīng)通話，甚至還可以直接拿到手機(jī)銀行的帳號(hào)和交易密碼。

手機(jī)木馬不僅可以偷取網(wǎng)銀的賬號(hào)密碼，還可以直接讀取驗(yàn)證短信。換句話說(shuō)，如果有手機(jī)木馬，那么是不需要通過(guò)短信保險(xiǎn)箱來(lái)獲取驗(yàn)證短信，也不需要多次嘗試取款密碼。但是從小王被強(qiáng)制開(kāi)通了10086的短信保管箱業(yè)務(wù)可以看出，攻擊者并沒(méi)有直接在手機(jī)上讀取認(rèn)證短信，所以排除了手機(jī)被植入木馬后臺(tái)的可能。

第二，攻擊者不是通過(guò)入侵銀行的服務(wù)器來(lái)竊取。

如果攻擊者拿下了銀行的服務(wù)器，那么就可以直接轉(zhuǎn)帳到自己的帳號(hào)，根本不需要短信驗(yàn)證，即使有短信驗(yàn)證的環(huán)節(jié)，服務(wù)器上也可以直接讀取，壓根不需要短信保管箱。就算銀行的監(jiān)管系統(tǒng)和支付安全一直都飽受質(zhì)疑，但是不可否認(rèn)的是，絕大多數(shù)銀行服務(wù)器的保護(hù)措施都比個(gè)人電腦高很多，不只是一個(gè)級(jí)別的差距。所以，出現(xiàn)網(wǎng)上銀行服務(wù)器被攻破的概率相對(duì)較小。

在這個(gè)事件中，小王同樣是被強(qiáng)制使用短信保管箱，那么也就說(shuō)明，攻擊者并非通過(guò)入侵銀行服務(wù)器來(lái)竊取的。

第三，小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個(gè)出了問(wèn)題。

電腦、網(wǎng)關(guān)的運(yùn)行過(guò)程如下：

在這個(gè)過(guò)程中，攻擊者只需要利用安全漏洞獲得受害人電腦或者網(wǎng)關(guān)中任意一個(gè)的權(quán)限，就可以讀取到受害人的銀行卡號(hào)、 手機(jī)號(hào)碼等等信息。但是因?yàn)殂y行的網(wǎng)銀系統(tǒng)受到安全控件的保護(hù)，所以取款密碼是很難直接讀取，這就是攻擊者多次嘗試導(dǎo)致銀行卡被鎖的原因。

而當(dāng)小王修改移動(dòng)運(yùn)營(yíng)商的網(wǎng)站登錄密碼時(shí)，由于移動(dòng)運(yùn)營(yíng)商的網(wǎng)站安全級(jí)別遠(yuǎn)低于網(wǎng)銀，所以該密碼很容易被攻擊者直接竊聽(tīng)到。

小王B卡的卡號(hào)在第二天就泄露，他在修改了手機(jī)的網(wǎng)站登錄密碼后，攻擊者還是可以強(qiáng)行打開(kāi)短信保管箱。雖然我們目前還沒(méi)能檢查過(guò)小王的電腦和網(wǎng)關(guān)，但是攻擊者通過(guò)電腦木馬或者網(wǎng)關(guān)劫持獲取受害人的帳號(hào)的可能性很大，而小王的手機(jī)號(hào)碼，也很可能是通過(guò)類似的方式被獲得的。

所以說(shuō)，這個(gè)環(huán)節(jié)中，小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個(gè)出了問(wèn)題。根據(jù)工行做出的回應(yīng)，事發(fā)原因是不法分子使用非法手段獲取了客戶相關(guān)信息和密碼，再利用客戶信息開(kāi)通了客戶手機(jī)的“短信保管箱”業(yè)務(wù)，從而獲取交易驗(yàn)證短信并盜取資金。當(dāng)然，銀行方面的責(zé)任不可推脫，這里就不具體展開(kāi)，后面“e支付”會(huì)再說(shuō)明下。

第四：移動(dòng)運(yùn)營(yíng)商業(yè)務(wù)的安全風(fēng)險(xiǎn)控制存在漏洞。

１、短信保管箱業(yè)務(wù)本身存在的較大風(fēng)險(xiǎn)未能事先評(píng)估出來(lái)。

短信作為包含用戶隱私，甚至經(jīng)常會(huì)攜帶支付認(rèn)證信息的服務(wù)，提供云保管服務(wù)應(yīng)該更加慎重。例如應(yīng)該由用戶親自前往營(yíng)業(yè)廳才能夠啟用，或者至少允許用戶可以禁用該服務(wù)，直到親自前往營(yíng)業(yè)廳解禁。

２、允許通過(guò)wap方式啟用短信保管箱服務(wù)，使得第三方可以強(qiáng)行打開(kāi)該服務(wù)，從而劫持敏感的短信。

根據(jù)移動(dòng)公司的回應(yīng)：“目前經(jīng)過(guò)后臺(tái)網(wǎng)絡(luò)日志顯示，不知情定制均系有人使用客戶的手機(jī)號(hào)和客服網(wǎng)站密碼，通過(guò)手機(jī)登錄客服WAP頁(yè)面開(kāi)通，目前并沒(méi)有任何跡象顯示是中國(guó)移動(dòng)網(wǎng)站被攻擊造成了客戶信息泄漏?！?/span>

原本“短信保管箱服務(wù)”必須本機(jī)回復(fù)短信才能夠激活，但是因?yàn)橄到y(tǒng)上線時(shí)未能仔細(xì)檢查老舊的wap服務(wù)接口，使得攻擊者通過(guò)wap服務(wù)繞過(guò)了本機(jī)短信驗(yàn)證環(huán)節(jié)，最終導(dǎo)致了小王的網(wǎng)銀失竊。

正常情況下運(yùn)營(yíng)商一個(gè)新業(yè)務(wù)上線應(yīng)該做風(fēng)險(xiǎn)評(píng)估的。而wap是老業(yè)務(wù)，短信保管箱是新業(yè)務(wù)，運(yùn)營(yíng)商疏忽了這個(gè)環(huán)節(jié)，或者說(shuō)，攻擊者的腦洞開(kāi)得很大，運(yùn)營(yíng)商并沒(méi)有想到會(huì)有人用老古董業(yè)務(wù)去開(kāi)新業(yè)務(wù)。如果運(yùn)營(yíng)商有行動(dòng)，這個(gè)環(huán)節(jié)的紕漏會(huì)有很大的概率被發(fā)現(xiàn)，完全可以關(guān)掉通過(guò)wap開(kāi)保管箱這條路。不過(guò)，經(jīng)過(guò)這次事件之后，運(yùn)營(yíng)商應(yīng)該會(huì)把wap申請(qǐng)關(guān)掉。

盡管就像移動(dòng)說(shuō)的那樣，并非“中國(guó)移動(dòng)網(wǎng)站被攻擊造成了客戶信息泄漏”，但是由于運(yùn)營(yíng)商對(duì)wap服務(wù)的忽視也會(huì)對(duì)用戶造成財(cái)務(wù)損失。畢竟，這方面的風(fēng)險(xiǎn)本就該由運(yùn)營(yíng)商來(lái)管控的。

第五：銀行使用短信這種不可靠的方式來(lái)進(jìn)行用戶身份認(rèn)證是不妥的。

短信不僅可以通過(guò)本次案件中的短信托管服務(wù)劫持，還可能被“偽基站”、“手機(jī)木馬”劫持，因此應(yīng)該使用強(qiáng)度更高的U盾或者隨機(jī)密碼器。這個(gè)方法很多銀行已經(jīng)都有了，主要的問(wèn)題可能還是出現(xiàn)在“e支付”，因?yàn)椤癳支付”是小額支付，一般還是用短信驗(yàn)證。

即使必須使用短信來(lái)進(jìn)行二次身份認(rèn)證，也應(yīng)該將支付\轉(zhuǎn)帳金額控制在較小的額度。但是，每家銀行定義的“小額”不同。顯然工行的額度比較大：工行默認(rèn)1萬(wàn)，然后可以提升到2萬(wàn)。

之前有用戶說(shuō)“e支付”的安全隱患曝光，工行回應(yīng)“系誤解”。其實(shí)說(shuō)到底還是攻擊者借助非法途徑截獲短信驗(yàn)證碼，輕而易舉地盜竊存款。

通過(guò)工商銀行查明，小王總計(jì)13990元被轉(zhuǎn)入了一個(gè)叫“楊少華”的賬戶里。幾筆金額其實(shí)并不小，有一筆交易是９９９０元。

第六：用戶應(yīng)該提高安全警惕性。

１、用戶啟用銀行的網(wǎng)上支付、網(wǎng)上交易功能時(shí)應(yīng)該仔細(xì)閱讀風(fēng)險(xiǎn)提示，并做好帳戶的隔離，例如用一張金額較低的卡來(lái)專門(mén)進(jìn)行網(wǎng)上交易，而存放金額較高的卡則關(guān)閉所有網(wǎng)絡(luò)支付、交易功能。或者把大額的活期放在貨幣基金或者定期存款里，但是這樣要多一次定期/貨基轉(zhuǎn)活期的操作。當(dāng)然，這個(gè)就涉及到了銀行的業(yè)務(wù)，人行和銀監(jiān)會(huì)的監(jiān)管要求也不同，我就不展開(kāi)來(lái)講。

２、不要使用弱密碼，注意定期更換密碼，也不要把密碼存放在電腦或者手機(jī)里面，不同的卡盡可能采用不同的密碼。

這個(gè)事件中，小王在第一張銀行卡頻繁被凍結(jié)之后，辦了第二張工行卡，而他還是使用原來(lái)的密碼，這種情況下，很容易導(dǎo)致密碼泄露。

３、在遇到銀行卡被盜刷時(shí)，我們要第一時(shí)間聯(lián)系銀行凍結(jié)相關(guān)帳戶，而不是花時(shí)間和運(yùn)營(yíng)商討論。 

總結(jié)

在銀行和運(yùn)營(yíng)商角度，本質(zhì)上這還是一個(gè)新業(yè)務(wù)創(chuàng)新和風(fēng)險(xiǎn)控制之間平衡的老問(wèn)題。

銀行希望提供更加便捷的小額支付服務(wù)，吸引更多的用戶使用 ；運(yùn)營(yíng)商希望提供更多的增值服務(wù)，從而形成長(zhǎng)尾效應(yīng)，創(chuàng)造更高的附加值。但是業(yè)務(wù)創(chuàng)新中，信息風(fēng)險(xiǎn)控制措施未能及時(shí)跟上，銀行方面忽視了短信的不可靠性，而運(yùn)營(yíng)商則忽視了短信服務(wù)承載的密碼認(rèn)證責(zé)任。

再加上平時(shí)對(duì)用戶的教育培訓(xùn)不足，使得用戶缺少安全警惕，內(nèi)部風(fēng)險(xiǎn)控制的敏感度不足，兩家企業(yè)的電話服務(wù)中心員工也都忽視了之前的各種異常情況，最終導(dǎo)致了本次事件的發(fā)生。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。