【編者按】銀行與運(yùn)營商，客戶與銀行，運(yùn)營商與客戶，只要留下數(shù)據(jù)痕跡，每一個環(huán)節(jié)都有可能出現(xiàn)紕漏讓攻擊者有機(jī)可乘。銀行希望提供更加便捷的小額支付服務(wù)，吸引更多的用戶使用 ；運(yùn)營商希望提供更多的增值服務(wù)，從而形成長尾效應(yīng)，創(chuàng)造更高的附加值。本文并非針對工行、移動，任何銀行與運(yùn)營商都有可能發(fā)生。雷鋒網(wǎng)作者shotgun是安全領(lǐng)域的專家，他希望借此來探討當(dāng)下方便快捷的網(wǎng)絡(luò)支付所潛藏的安全隱患，給三方警示，從而能更好地保護(hù)我們的財(cái)物安全。

那么，在支付交易的過程中，運(yùn)營商、銀行、用戶，三者之間如何協(xié)作？哪個環(huán)節(jié)會出現(xiàn)紕漏？用戶銀行卡里的錢是怎么丟的？

事件回顧（主人公視為小王）：

為了方便理解，提取這個過程的幾個節(jié)點(diǎn)：

２015年7月1日，小王發(fā)現(xiàn)自己被強(qiáng)制開通了10086的短信保管箱業(yè)務(wù)。第二天，小王就修改了自己的10086密碼。

7月6日，小王收到近10條自己在各種網(wǎng)站注冊賬號的驗(yàn)證碼信息； 小王再次發(fā)現(xiàn)自己被強(qiáng)制開通了短信保管箱業(yè)務(wù)； 幾分鐘后，工商銀行向受害者發(fā)來短信驗(yàn)證碼，顯示工商銀行卡B中一筆9990元的存款正在轉(zhuǎn)賬。

這個事件中，我進(jìn)行了以下這些推論分析：

第一，用戶的手機(jī)應(yīng)該是干凈的。也就是說，沒有被植入木馬后臺。

一般來說，網(wǎng)銀攻擊者喜歡使用手機(jī)木馬來直接盜取他人的錢。

手機(jī)木馬的工作原理: 一般工作在安卓或者越獄后的蘋果手機(jī)上（近期也出現(xiàn)了不需要越獄就可以植入的蘋果木馬），利用APP或者手機(jī)操作系統(tǒng)的漏洞，不僅僅可以截獲短信、竊聽通話，甚至還可以直接拿到手機(jī)銀行的帳號和交易密碼。

手機(jī)木馬不僅可以偷取網(wǎng)銀的賬號密碼，還可以直接讀取驗(yàn)證短信。換句話說，如果有手機(jī)木馬，那么是不需要通過短信保險(xiǎn)箱來獲取驗(yàn)證短信，也不需要多次嘗試取款密碼。但是從小王被強(qiáng)制開通了10086的短信保管箱業(yè)務(wù)可以看出，攻擊者并沒有直接在手機(jī)上讀取認(rèn)證短信，所以排除了手機(jī)被植入木馬后臺的可能。

第二，攻擊者不是通過入侵銀行的服務(wù)器來竊取。

如果攻擊者拿下了銀行的服務(wù)器，那么就可以直接轉(zhuǎn)帳到自己的帳號，根本不需要短信驗(yàn)證，即使有短信驗(yàn)證的環(huán)節(jié)，服務(wù)器上也可以直接讀取，壓根不需要短信保管箱。就算銀行的監(jiān)管系統(tǒng)和支付安全一直都飽受質(zhì)疑，但是不可否認(rèn)的是，絕大多數(shù)銀行服務(wù)器的保護(hù)措施都比個人電腦高很多，不只是一個級別的差距。所以，出現(xiàn)網(wǎng)上銀行服務(wù)器被攻破的概率相對較小。

在這個事件中，小王同樣是被強(qiáng)制使用短信保管箱，那么也就說明，攻擊者并非通過入侵銀行服務(wù)器來竊取的。

第三，小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個出了問題。

電腦、網(wǎng)關(guān)的運(yùn)行過程如下：

在這個過程中，攻擊者只需要利用安全漏洞獲得受害人電腦或者網(wǎng)關(guān)中任意一個的權(quán)限，就可以讀取到受害人的銀行卡號、 手機(jī)號碼等等信息。但是因?yàn)殂y行的網(wǎng)銀系統(tǒng)受到安全控件的保護(hù)，所以取款密碼是很難直接讀取，這就是攻擊者多次嘗試導(dǎo)致銀行卡被鎖的原因。

而當(dāng)小王修改移動運(yùn)營商的網(wǎng)站登錄密碼時(shí)，由于移動運(yùn)營商的網(wǎng)站安全級別遠(yuǎn)低于網(wǎng)銀，所以該密碼很容易被攻擊者直接竊聽到。

小王B卡的卡號在第二天就泄露，他在修改了手機(jī)的網(wǎng)站登錄密碼后，攻擊者還是可以強(qiáng)行打開短信保管箱。雖然我們目前還沒能檢查過小王的電腦和網(wǎng)關(guān)，但是攻擊者通過電腦木馬或者網(wǎng)關(guān)劫持獲取受害人的帳號的可能性很大，而小王的手機(jī)號碼，也很可能是通過類似的方式被獲得的。

所以說，這個環(huán)節(jié)中，小王的電腦、網(wǎng)關(guān)中應(yīng)該有一個出了問題。根據(jù)工行做出的回應(yīng)，事發(fā)原因是不法分子使用非法手段獲取了客戶相關(guān)信息和密碼，再利用客戶信息開通了客戶手機(jī)的“短信保管箱”業(yè)務(wù)，從而獲取交易驗(yàn)證短信并盜取資金。當(dāng)然，銀行方面的責(zé)任不可推脫，這里就不具體展開，后面“e支付”會再說明下。

第四：移動運(yùn)營商業(yè)務(wù)的安全風(fēng)險(xiǎn)控制存在漏洞。

１、短信保管箱業(yè)務(wù)本身存在的較大風(fēng)險(xiǎn)未能事先評估出來。

短信作為包含用戶隱私，甚至經(jīng)常會攜帶支付認(rèn)證信息的服務(wù)，提供云保管服務(wù)應(yīng)該更加慎重。例如應(yīng)該由用戶親自前往營業(yè)廳才能夠啟用，或者至少允許用戶可以禁用該服務(wù)，直到親自前往營業(yè)廳解禁。

２、允許通過wap方式啟用短信保管箱服務(wù)，使得第三方可以強(qiáng)行打開該服務(wù)，從而劫持敏感的短信。

根據(jù)移動公司的回應(yīng)：“目前經(jīng)過后臺網(wǎng)絡(luò)日志顯示，不知情定制均系有人使用客戶的手機(jī)號和客服網(wǎng)站密碼，通過手機(jī)登錄客服WAP頁面開通，目前并沒有任何跡象顯示是中國移動網(wǎng)站被攻擊造成了客戶信息泄漏?！?/span>

原本“短信保管箱服務(wù)”必須本機(jī)回復(fù)短信才能夠激活，但是因?yàn)橄到y(tǒng)上線時(shí)未能仔細(xì)檢查老舊的wap服務(wù)接口，使得攻擊者通過wap服務(wù)繞過了本機(jī)短信驗(yàn)證環(huán)節(jié)，最終導(dǎo)致了小王的網(wǎng)銀失竊。

正常情況下運(yùn)營商一個新業(yè)務(wù)上線應(yīng)該做風(fēng)險(xiǎn)評估的。而wap是老業(yè)務(wù)，短信保管箱是新業(yè)務(wù)，運(yùn)營商疏忽了這個環(huán)節(jié)，或者說，攻擊者的腦洞開得很大，運(yùn)營商并沒有想到會有人用老古董業(yè)務(wù)去開新業(yè)務(wù)。如果運(yùn)營商有行動，這個環(huán)節(jié)的紕漏會有很大的概率被發(fā)現(xiàn)，完全可以關(guān)掉通過wap開保管箱這條路。不過，經(jīng)過這次事件之后，運(yùn)營商應(yīng)該會把wap申請關(guān)掉。

盡管就像移動說的那樣，并非“中國移動網(wǎng)站被攻擊造成了客戶信息泄漏”，但是由于運(yùn)營商對wap服務(wù)的忽視也會對用戶造成財(cái)務(wù)損失。畢竟，這方面的風(fēng)險(xiǎn)本就該由運(yùn)營商來管控的。

第五：銀行使用短信這種不可靠的方式來進(jìn)行用戶身份認(rèn)證是不妥的。

短信不僅可以通過本次案件中的短信托管服務(wù)劫持，還可能被“偽基站”、“手機(jī)木馬”劫持，因此應(yīng)該使用強(qiáng)度更高的U盾或者隨機(jī)密碼器。這個方法很多銀行已經(jīng)都有了，主要的問題可能還是出現(xiàn)在“e支付”，因?yàn)椤癳支付”是小額支付，一般還是用短信驗(yàn)證。

即使必須使用短信來進(jìn)行二次身份認(rèn)證，也應(yīng)該將支付\轉(zhuǎn)帳金額控制在較小的額度。但是，每家銀行定義的“小額”不同。顯然工行的額度比較大：工行默認(rèn)1萬，然后可以提升到2萬。

之前有用戶說“e支付”的安全隱患曝光，工行回應(yīng)“系誤解”。其實(shí)說到底還是攻擊者借助非法途徑截獲短信驗(yàn)證碼，輕而易舉地盜竊存款。

通過工商銀行查明，小王總計(jì)13990元被轉(zhuǎn)入了一個叫“楊少華”的賬戶里。幾筆金額其實(shí)并不小，有一筆交易是９９９０元。

第六：用戶應(yīng)該提高安全警惕性。

１、用戶啟用銀行的網(wǎng)上支付、網(wǎng)上交易功能時(shí)應(yīng)該仔細(xì)閱讀風(fēng)險(xiǎn)提示，并做好帳戶的隔離，例如用一張金額較低的卡來專門進(jìn)行網(wǎng)上交易，而存放金額較高的卡則關(guān)閉所有網(wǎng)絡(luò)支付、交易功能?；蛘?/span>把大額的活期放在貨幣基金或者定期存款里，但是這樣要多一次定期/貨基轉(zhuǎn)活期的操作。當(dāng)然，這個就涉及到了銀行的業(yè)務(wù)，人行和銀監(jiān)會的監(jiān)管要求也不同，我就不展開來講。

２、不要使用弱密碼，注意定期更換密碼，也不要把密碼存放在電腦或者手機(jī)里面，不同的卡盡可能采用不同的密碼。

這個事件中，小王在第一張銀行卡頻繁被凍結(jié)之后，辦了第二張工行卡，而他還是使用原來的密碼，這種情況下，很容易導(dǎo)致密碼泄露。

３、在遇到銀行卡被盜刷時(shí)，我們要第一時(shí)間聯(lián)系銀行凍結(jié)相關(guān)帳戶，而不是花時(shí)間和運(yùn)營商討論。 

總結(jié)

在銀行和運(yùn)營商角度，本質(zhì)上這還是一個新業(yè)務(wù)創(chuàng)新和風(fēng)險(xiǎn)控制之間平衡的老問題。

銀行希望提供更加便捷的小額支付服務(wù)，吸引更多的用戶使用 ；運(yùn)營商希望提供更多的增值服務(wù)，從而形成長尾效應(yīng)，創(chuàng)造更高的附加值。但是業(yè)務(wù)創(chuàng)新中，信息風(fēng)險(xiǎn)控制措施未能及時(shí)跟上，銀行方面忽視了短信的不可靠性，而運(yùn)營商則忽視了短信服務(wù)承載的密碼認(rèn)證責(zé)任。

再加上平時(shí)對用戶的教育培訓(xùn)不足，使得用戶缺少安全警惕，內(nèi)部風(fēng)險(xiǎn)控制的敏感度不足，兩家企業(yè)的電話服務(wù)中心員工也都忽視了之前的各種異常情況，最終導(dǎo)致了本次事件的發(fā)生。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。