最近补卡攻击窃取银行账户中的财产事件已经发生了数起,引起了大众的关注,具体的事件过程就不细说了,说点分析:

1、运营商补卡业务流程存在缺陷是毋庸置疑的,这种缺陷可能早就一直存在,只是实施这种攻击没有任何好处,也就没有人乐于麻烦此道,这种情况直到手机银行、手机支付等应用逐渐普及之后才发生改变,因为攻击者有利可图了

2、银行开辟新型业务渠道的热情,搭上手机互联网的快车,使得手机银行等业务迅速普及,但是手机银行的业务开通流程,特别是手机银行动帐交易限额的宽松,使得手机银行业务渠道的安全级别远低于原来传统的网上银行业务,木桶原理大家都懂,这是一个隐患,这种隐患一旦结合了运营商行业的业务隐患,被攻击者所利用,那众多银行客户的卡账户活期存款就成为了板上鱼肉

3、不同的手机银行对动帐交易的认证方式不同,但是这些区别对于浸淫此道的攻击者来说微不足道,如果你用过网银,就可能感染木马,你的卡交易密码就不可能是安全的,攻击者拿着这信息在网银渠道内很难盗走你的钱,但是幸好还有手机银行渠道

4、这种事件的应对责任,首当其中应在运营商,迄今为止任何新闻报道也没曝光到底是哪个运营商的责任,所以中国所有使用网银的移动通信用户都是不安全的,运营商把补卡这一业务流程漏洞弥补是必须要做的,虽然需要一个过程,而且可能会有很高代价,那没办法,那就是你运营商的责任

5、如果此类事件频发,人民银行一定会有风险提示,银行可能会做两件事情,一是强化手机银行开户流程,以提高假冒的成本,二是降低手机银行转帐限额,我想多数银行不愿意做第一种,那与业务推广意愿冲突,第二种也许是不得不作出的选择

6、在运营商和银行作出有价值的动作之前,所有开通了网上银行业务的移动通信用户,请记住一点,尽可能减少你卡账户中的活期存款数目,这可能是坏运气来临时,最后的救命稻草了。

原文地址:http://blog.sina.com.cn/s/articlelist_1077897485_0_1.html

游侠有话说

搜了下这几天关于手机网银安全的新闻:

20130930093533

在这里面,运营商的问题最大,因为没有核实办卡人的真实身份……我记得很多地方都要求必须卡的所有人持身份证才能办理的,不可以代办。当然这个执行的效果可能比较差……很多时候找个熟人,只要补办人的身份证就可以了。

另外,银行……难道卡的钱转出去,银行卡都不是实名制?如果都能做到,那么顺藤摸瓜找到作案人也不是难事。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。

陕ICP备11003551号-2