工行快捷支付曝漏洞 用户被强行开通短信保管箱 - 网易河北
十天内免登录
工行快捷支付曝漏洞 用户被强行开通短信保管箱
多位业内人士认为，这类案件的关键在于银行的快捷支付将短信验证码视为身份认证码，这本身就存在风险，短信验证码容易被窃取，这就为快捷支付埋下了风险隐患。
原标题：工行快捷支付漏洞曝光 安全问题令人咂舌
网易河北讯& 在互联网推陈出新、信息迅速更迭的大时代，各家银行纷纷着手在互联网金融服务领域积极布局。但科技在给客户带来便捷服务体验的同时，银行的风险防控也频频遭遇拷问。
近日，《中国经营报》记者接到储户反映称，从6月中旬到7月上旬，多位北京地区的工行储户遭遇了存款被盗事件。而这类案件的一大共性，就是储户大多被犯罪分子强行开通了工行仅凭借短信验证码就能快速交易的“e支付”业务。同时，犯罪分子借助非法途径截获短信验证码，轻而易举地盗窃存款。
在采访中，多位业内人士认为，这类案件的关键在于银行的快捷支付将短信验证码视为身份认证码，这本身就存在风险，短信验证码容易被窃取，这就为快捷支付埋下了风险隐患。
多名客户存款被盗
仅凭借短信验证码就能进行支付交易，在给储户带来便利的同时，也给不法分子提供了钻空子犯罪的机会。
“万万没想到，短短几分钟时间银行存款就莫名少了近2万元，两笔钱就这样被轻易盗取了。”家住北京的覃岳(化名)是IT行业的从业人士，平时很注重保护自己的网络金融安全，然而，提起前不久他遭遇的一起犯罪分子借助网络隔空对其存款进行盗窃的事故，他仍然心有余悸。
7月8日晚23:49，覃岳收到了一条来自中国移动的短信，提示他已经开通了中国移动“短信保管箱业务”。1分钟过后，他又收到了一条来自工商银行95588的短信，上面提示他的工银“e支付”业务已经被修改。紧接着95588接连发来了几条短信，分别为即将办理转账业务的通知和即将付款9990元的提示信息及验证码。
“由于当时已经很晚了，为了不吵到孩子休息，我早就把手机调成了静音，当自己看到这几条短信的时候已经是23：55。”慌忙中，覃岳第一时间查询了他的工行卡交易明细，可是为时已晚，交易明细显示他的银行卡里确实少了9990元。
“于是我马上拨打了工行的客服电话，但提示客服话务繁忙，等待了2分钟后我就挂断了。谁料就在这时95588又发来了一条短信，上面写到我正在进行汇款，金额为9950元，并告知我‘如有疑问请停止操作’。”
覃岳告诉记者：“我马上又查询了我的账户，看到明细时我就蒙了，账户果然又少了9950元。”覃岳强调道，在此之前，自己并未主动开通过“e支付”业务，而且事发后他检测过自己的笔记本电脑和手机都没有病毒。
覃岳的遭遇并不是个案。近日，记者通过某社交网站加入了一个工行存款被盗储户的维权群，已经修改群名称并标注自己为“受害人”的储户有40余名。而他们中的大多数都是被无故开通了工银“e支付”，随后银行卡中的存款就在几分钟内不翼而飞了。
短短几天的时间里，记者就联系到了20多名受害人，他们被盗取的存款金额合计约为25.68万元。他们当中，最早的存款被窃事件发生在6月13日，最晚的发生在7月9日。其中，被偷窃的个人最大金额达到4.2万元，最小金额为500元。
巧合的是，这些案件大都有两个共性，就是受害人同为工行储户且多为中国移动的客户。与覃岳一样，他们也被强行开通了中国移动的“短信保管箱”业务。
由于“短信保管箱”具有将客户发送、接收的短信进行同步备份存储的功能，同时考虑到在这一业务被迫开通后，紧接着就被开通了仅凭借短信验证码就可以进行交易的工银“e支付”，因此多位储户怀疑，中国移动的“短信保管箱”业务与此次的存款丢失事件难逃干系。
针对储户的疑问，记者联系了中国移动北京分公司，相关负责人给予的回复称：“目前经过后台网络日志显示，不知情定制均系有人使用客户的手机号和客服网站密码，通过手机登录客服WAP页面开通，目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄漏。”
同时，中国移动北京分公司的相关负责人也坦言，由于“短信保管箱”业务设立于2009年，是在短信被广泛应用于金融领域之前就已经存在，因此未能充分考虑金融类业务所需的安全等级，经过此类事件，该公司会全面梳理基于短信的增值业务，提升此类业务的安全性。“此次银行卡被盗刷客户投诉后，客户虽然仍能开通此业务，但查询历史短信的功能已紧急关停，目前正在对业务进行优化，包括‘不保存银行下发的短信’‘只能查询24小时前的短信’‘需要动态密码验证’等。”
在采访中，记者了解到，并非所有储户的存款都是在被办理了“短信保管箱”之后才被盗的。
储户秦玉(化名)也是本次存款丢失的受害人之一，但与其他受害人不同的是，她的手机号并非归属于中国移动公司，没有出现过被办理“短信保管箱”的情况。秦玉告诉记者：“在我存款被盗取的过程中，我没有收到过动态密码，只收到了95588发来的短信验证码，称我正在修改工银‘e支付’的信息，随后就是我的存款被转走的通知。而‘e支付’这项业务也并非我本人开通。”
某国有银行电子银行部人士猜测，秦玉的情况应该是短信验证码被犯罪分子通过其他途径获取了。与U盾相比，使用短信验证码进行交易的快捷支付虽然便捷，但安全性相对较差。
“这类案件的关键问题在于银行是将短信验证码作为身份认证的依据，而这就决定了会存在一定的风险。”猎豹移动安全专家李铁军认为，虽然在此次事件中，工商银行和中国移动公司都有责任，但中国移动的“短信保管箱”业务只是一个可能窃取短信验证码的途径，与以往的钓鱼网站、拦截手机短信的病毒作用类似，因此关键问题在于短信验证码本身。
“在保证信息安全时，通常可以借助三种方式进行身份验证，分别是利用‘所知道的’如密码;‘所持有的’如短信验证码和‘所固有的’如指纹、虹膜。”某国有银行科技部人士告诉记者，“如果只采用单一验证，如短信验证，其安全性不如双重验证安全。同时，‘所知道的’和‘所持有的’都可能会被人窃取，其安全性不如‘所固有的’。但指纹识别也要考虑识别率的问题，比如有指纹识别的手机有时候也会出现自己的指纹解不了锁的情况。短信验证的成本相对较低，且通过率高，因此应用更为广泛。”
李铁军认为，从实际运行的情况上看，快捷支付已经给人们的消费带来了很大的方便。“目前，中国可以称得上是全球移动支付最发达的国家。不能因为发生了存款被盗的情况，就要因噎废食，摒弃快捷支付。如果要在移动终端增加传统的U盾来保证安全，显然交易的速度会大打折扣，使用起来很不方便，银行很可能就会被第三方支付机构打败。”李铁军建议，由于每种支付方式都会有风险，但这种风险不应该转嫁到客户身上，因此可以通过保险的形式来保障储户的权益。
“当然，银行也应该继续完善网银的安全性。”李铁军坦言，目前银行的系统都是使用实名制的，这相对于有些非实名制操作的第三方支付公司而言，安全性要高很多。但银行的系统在安全保证方面应该做得更完善，以便减少恶意入侵导致的存款丢失事件。
在采访中，记者了解到，此次储户存款被盗事件似乎早已被犯罪分子埋下伏笔。
储户刘全(化名)的存款是在6月28日被盗的，但后来他发现，早在那之前，自己的网银就已在异地被登录过了，但自己并未收到过银行的提示。而刘全的情况也在多位储户身上发生过，他们告诉记者，他们网银被异地登录的IP地址集中在海南一带。
针对这一情况，记者致电了工商银行的客服电话询问，工作人员告诉记者，网银异地登录提醒服务，需要客户自己开通，如果没开通这一业务就不会受到提醒。而多位储户均表示，自己原本以为这项提醒业务不需要额外开通。
值得一提的是，就此类案件发生的原因及处理办法，记者向工行发出了采访函进行询问，但工行相关人员告诉记者，由于现在还在调查中，不方便透露更多信息，截至发稿，记者并未得到工行的回复。
相关链接：
本文来源：中新网
责任编辑：HEB037
相关新闻阅读
48小时评论排行
文明上网，登录发贴
网友评论仅供其表达个人看法，并不表明网易立场。
用微信扫描二维码分享至好友和朋友圈
网易河北访谈间
&select name="site" class="left"&
&option value="网易" selected="selected"&新闻&/option&
&option value=""&网页&/option&请问腾讯手机管家支付保险箱有淘宝过几天就没有了，请问是怎么回事？有知道的帮忙告诉一下，谢谢啦！_百度知道
请问腾讯手机管家支付保险箱有淘宝过几天就没有了，请问是怎么回事？有知道的帮忙告诉一下，谢谢啦！
我有更好的答案
您好，请您反馈我以下信息：1.您的手机机型和系统版本2.您安装的腾讯手机管家版本（精确到Build号）在收到您的信息反馈后，我们会尽快回复您，感谢您对腾讯手机管家的支持！
华为g716,安卓4.2.2,腾讯手机管家最新版本4.81,build号2557。！
请您尝试重启手机，看一下是否还有。如果没有请再次反馈。感谢您的支持！
重启没有，就是有时候关机再开机会有，但是重启有没了，
建议你把腾讯手机管家卸载后重装一下，如果不能解决问题，你可以试试360手机卫士，我安装的360手机卫士没有遇到你这样的情况。
其他类似问题
为您推荐：
腾讯手机的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁天极传媒：天极网全国分站
您现在的位置：
& >&让支付更便捷安全 魅族情景支付体验
让手机支付更便捷安全 魅族MX3情景支付体验天极网手机频道 06:00
1情景支付带来全新操作体验
　　【天极网移动互联群组】一直都是走精品路线，每年出的款数不多，但是非常注重用户，其首款机型配置了当时领先的，在第一代MX手机上搭载了个性化程度很高的Flyme系统，在上实现了当时全球最窄边框设计，可见，一直在追求为用户带来最舒适的用户体验。而在上，魅族为我们带来的改进之一，就是在新版Flyme系统中搭载了“情景支付”功能。
　　情景支付是由魅族和联合推出，预置在魅族Flyme.0系统中的支付功能，它将支付入口下放到系统底层，很好的打通了APP与日常使用的逻辑断层，避免了传统移动支付方式中，每一次交易均需要跳转至APP或登上网页，提升了支付效率和操作体验。同时，它将支付组件植入到了系统层面，并且魅族和支付宝专门为其定制了安全措施，所以在安全方面比一个简单的APP要安全得多。下面我们详细了解一下具体的情景支付功能。
获取更多详细信息，请扫描下面的二维码：　　
2简单设置，让支付更便捷
　　简单设置，让支付更便捷
　　小编在拿到之前就已经听说过内置的情景支付功能，它能为用户提供如“号转账”、“短信支付”等便捷功能，为用户带来更贴心便捷的移动支付。但是在使用该功能之前，要进行一些简单的设置。
　　打开搭载Flyme.0系统的，在“设置”-“账户”中点击“添加账户”，即可选择登陆自己的账户。登陆支付宝账号后，桌面会出现的图标，点击即可进入支付宝钱包。
在使用情景支付之前，需要在系统添加支付宝账号
　　完成账号绑定之后，用户即可使用情景支付功能。在该界面可以实现转账，信用卡还款，手机充值，水、电、煤气等费用的便捷支付，还可以扫码，逛淘宝，天猫等，比较贴心。
完成账号绑定之后，用户享有多种服务
　　手机号转账功能方面，用户绑定了支付宝账号之后，在联系人详情页面，可以直接选择“通过手机号转账”，如果转账对方的手机号码绑定了支付宝账号，那么款项将直接转入对方的支付宝账号。如果对方手机号码没有绑定支付宝账号，款项将转入对方的银行卡里面，确认付款后，对方将收到短信通知，只要回复银行卡卡号，支付宝就会将转账金额打入银行卡。
联系人详情页面可以选择“通过手机号转账”
　　作为深度植入的功能，支付宝已经成为了系统层面上的一个组件，用户在进行支付操作时，不需要在APP或网页上来回跳转，而是通过事先设置好的账号直接支付，让支付变得更便捷。
3五层保障，让支付更安全
　　五层保障，让支付更安全
　　对于支付功能，做为用户，我们最关心的当然是安全，在这方面，相信和双方肯定也会考虑到。小编我也专门查了一些资料得知，魅族在Flyme.0的系统层面，专门针对情景支付功能做了安全性优化，从软件上保障支付的安全性。而支付宝则建立了专门的安全保障机制及一系列相关政策条款，从政策和技术方面为情景支付构建安全框架。归纳起来，有以下五层安全保障：
　　手势密码
　　手势密码，也就是图形密码，相信大家都不陌生，.0及以后版本和及以后的版本都具备此功能，在智能手机上已经存在两三年，手势密码一直以其便捷性与安全性为人称道。Flyme系统情景支付的手势密码独立于系统解锁图形密码，是软件专有，即使手机的解锁图形密码泄露了，也不会影响支付账号的安全。
　　交易密码
　　相信有些用户像小编一样平时会经常登录支付宝，这样有可能导致账号被盗，进而担心账户里的资金安全。但其实这种担心是多余的，因为支付宝设置了专门的交易密码。交易密码不同于登陆密码，而是一个独立的专用于交易付款的密码，即使账号不幸被盗，对方也无从知道交易密码，就好像房门钥匙丢了也不用担心家里的钱被盗，因为保险箱设有密码。
支付宝设置了专门的交易密码
　　号码白名单
　　收到陌生骗钱短信，这是一般手机用户都会遇到的，小编就时常会收到这类短信，好在小编混迹网络多年，这类新闻见过不少，所以不会轻易上当。但随着诈骗短信的迷惑程度越来越高，并不能保证每个用户都能识别出来。对于这一点，Flyme系统会根据特征库匹配及查询号码白名单，来判断是否提供支付按钮。非白名单内号码发来的缴费短信，系统将不予识别。小编特意试了一下叫朋友发了一条模仿诈骗短信，结果发现可以准确识别。
　　主动防御
　　以上都是在用户端设置的保障措施，小编一开始在想：有没有在支付宝官方预先设置主动防御措施呢？查了资料后知道，支付宝在2005年便建立了智能实时风险监控系统(CTU系统)，该系统可以通过数据分析挖掘进行自动完善监控策略，同时配备风险稽核专家小组进行风险稽核及处置。小编认为这种防患于未然的做法，对用户来说，可以大大降低不必要的麻烦，对支付宝来说，可以减少自己的赔付损失。
　　敢付敢赔
　　就算有了以上四层保障措施，如果还有像小编一样不放心的用户怎么办？对此，支付宝依靠强大的资金实力，构筑了“你敢付，我敢赔”计划，无论是快捷支付、余额宝还是支付宝余额，只要发生被盗，支付宝承诺全额补偿。小编认为在这一层保障里，支付宝把可能出现的风险都承担了，用户基本零风险，从而解决了用户的后顾之忧。至此，小编认为用户再也没有理由担忧了。当然，小编不鼓励故意利用这条善意的保障政策去做违法事情的行为。
支付宝确立了详尽的赔付规则
4总结：小创新带来大改变
　　总结：小创新带来大改变
　　在之前，出于安全性和便捷性考虑，用户对移动支付的接受程度并不高，而和联合推出的“情景支付”就是专门针对这两个方面做出的解决方案。
　　跟之前的手机移动支付相比，情景支付看似一个不起眼的小创新，也没有太高的技术含量，但正如下拉刷新，看似简单却有可能改变人们的使用习惯。
未来，手机支付将会融入到生活的各个方面
　　技术谁都可以学到，而打破常规的灵感却并不简单。要真正代替钱包，正需要“情景支付”这样奇妙的灵感。原本优秀的功能突破APP的限制，融入到日常生活中，势必带来非比寻常的改变。也许，在不久的将来，我们可以看到手机支付比支付更流行。（作者：Jony责任编辑：陈中兴）
天极新媒体&最酷科技资讯扫码赢大奖
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
整机数码游戏软件短信保管箱+工银e支付 小心银行卡被盗刷！__理财频道 - 融360
短信保管箱+工银e支付 小心银行卡被盗刷！
短信保管箱+工银e支付 小心银行卡被盗刷！
前几天，微博网友公交姬因银行卡莫名被盗刷，被逼与工商银行和10086进行撕逼大战的事件获得了许多人的关注，然而在这件事尚没有最终结果之前，近日又有媒体报道，从6月中旬到7月上旬，
　　前几天，微博网友&公交姬&因银行卡莫名被盗刷，被逼与和10086进行撕逼大战的事件获得了许多人的关注，然而在这件事尚没有最终结果之前，近日又有媒体报道，从6月中旬到7月上旬，多位北京地区的工行储户遭遇了存款被盗事件。那么这些事究竟是怎么回事？案件的最新进展如何？储户该如何防范此类事件的发生呢？
　　网友&公交姬&事件回顾
　　首先我们先来回顾一下关于&公交姬&网友银行卡被盗刷事件的经过。2015年年初，该网友的工商银行卡多次无故被锁，在网友办理了新卡后却再次出现同样的情况，此情况在工商银行表示对账号进行监控后消失。
　　然而事情并没有到此结束。
　　7月初，po主意外收到了10086发来的一条开通&短信保管箱&业务的订购短信，虽然立即联系客服取消掉这项业务，但是之后Ppo却主再次收到订购该业务的短信，无奈之下，po 主修改了自己10086账号密码。紧接着，po主收到10几条在各个消费网站上注册的验证码短信，其中还夹杂着10086发来的&您已开通短信保管箱业务&的通知短信，同时po主发现自己的工商银行卡被倒刷，累计金额共计11990元。随后po主报案并致电工行冻结银行卡，这才阻止了盗刷的继续进行，目前该案件还在调查中。
　　总结一下，这起事件存在两个关键点，一个是中国移动的&短信保管箱&业务，一个是工行的&e支付&业务。
　　经小融了解，&短信保管箱&业务简单来说，就是所有发到机主手机上的短信都可以即时备份到网上，也就是说，开通此项业务后，机主不仅可以在手机端看到短信内容，同时也可以通过10086账号登陆网站查看到手机的短信内容，包括银行验证码等敏感信息。
　　该案件的另一个关键点还在于，网友开通了工行&e支付&这项业务，据悉，工商银行的&工银e支付&业务是工行系统提供的一种快捷支付业务，该业务开通时需要验证客户预留在工行的密码和手机号码，支付时只需填入卡号后六位（或别称）以及短信验证码，而无需密码。
　　网友&公交姬&事件中，犯罪分子就是通过网友在银行开通的&e支付&服务，并强制为机主开通&短信保管箱&业务，获取了银行的交易验证码，从而完成盗刷。
　　那么犯罪分子是如何强制给用户开通&短信保管箱&业务的呢？
　　据悉，7月17日，北京移动10086热线官网微博发布的一条微博称，已暂停&短信保管箱&业务的短信查询等功能&，具体内容如下：
　　案件进展
　　案件发生后，工行先和受害人梁先生取得了联系，表示将把梁先生提出的相关疑点反馈给技术部门，但是因为客户数据库极为庞大，调查需要一定时间，得出结论后将第一时间和梁先生联系。
　　10086保持了一段时间的沉默后也和梁先生取得联系，并在电话反馈中对于梁先生的对盗刷案件的疑点进行解答。对于梁先生&手机号在开通短信保管箱业务时，没有收到确认短信&的疑问，10086给出如下答复：
　　目前，该案件仍在调查中。
　　工行支付存在漏洞 存款被盗因被强行开通e支付
　　然而在网友公交姬事件还没有最终定论之前，媒体报道称，近来北京多个工行用户银行卡被盗刷，而此前用户并未开通&e支付&服务，这又是怎么回事呢？
　　7月8日，受害人覃先生先是收到了一条来自中国移动的开通&短信保管箱业务&的通知短信。紧接着，他又收到了一条来自工商银行95588的短信，提示他的工银&e支付&业务已经被修改。随后覃先生前后收到两条95588进行汇款的提示短信，两笔共计19940元。
　　而除了覃先生，其他40余名受害者也几乎都是被无故开通了工银&e支付&，随后银行卡中的存款就在几分钟内不翼而飞了。
　　在&公交姬&案件中，受害者是自己开通的e支付功能，然而上面这些受害者们却是被强制开通，是否说明工行安全系统存在漏洞呢？
　　对此，工行发表了公告，文中称，&工行快捷支付曝重大漏洞&系误解，还称，工银e支付业务运营正常，也未发生泄露客户信息的情况。事发原因是不法分子使用非法手段获取了客户的相关信息和密码，再利用客户信息开通了客户手机的&短信保管箱&业务，从而获取交易验证短信并盗取资金。
　　对此，小融认为，无论是&公交姬&案件，还是多名储户被强行开通e支付导致银行卡被盗的事件，受害人能得逞的关键在于获得了储户的个人信息，比如手机号和银行卡号，这些信息究竟怎么泄露的，在案件没有最终定论之前，我们不得而知，但是如果真的是银行或者手机运营商的系统安全出现漏洞，导致客户信息泄露，那么他们就应当承担储户的损失。
　　储户在遭遇类似事件该怎么将减少损失？又该怎么防范呢？
　　目前来看，发生此类案件储户的维权之路仍然比较困难，钱被追回来的可能性也较小，所以，防患于未然才是最经济有效的办法。所以日常生活中大家需要做到一下几点：
　　1、先给银行打电话挂失银行卡。网友&公交姬&的银行卡实际上发生过2笔盗刷，发生第一笔到刷时，po主是先给运营商打电话关闭短信保管箱业务，这期间犯罪分子又进行了另一笔盗刷，直到po主给工行打电话挂失银行卡，才阻止了第三笔700元的盗刷。所以一旦遇到此类事件，首先应该立即联系银行客服挂失银行卡，以避免损失进一步扩大。另外，如果收到类似订购&短信保管箱业务&的短信，要立即联系运营商关闭该业务。
　　2、保护好个人信息很重要。&公交姬&事件中，不法分子是在知道受害人银行卡号和手机号的前提下，才能利用短信保管箱窃取银行验证码短信从而完成盗刷，由此可见个人信息安全多重要。所以大家平时一定要注意保管好自己的个人信息，比如不要随意丢弃快递单，不要随意填写姓名、身份证、手机号等信息。
　　3、定期修改自己的网银密码。如果担心不知道自己会在什么时候泄露了个人信息，为了保护银行卡的资金安全，大家可以定期修改自己的网银密码，并且尽量将难度系数设置的高一些。另外对于重要的账号不要用同一个密码，比如微博、微信、QQ、网银等，最好设置不同的密码。
　　4、不要随意点击来历不明的链接、图片和程序等。一旦点击这些，手机很可能会被植入木马病毒，这种病毒可以拦截手机短信，当受害人在进行网上快捷支付时，不法分子通过短信中的验证码盗取银行账号和密码，从而盗刷卡内现金。
& & & 5、注销工行的&e支付&功能。像工商银行&e支付功&这种小额支付免密码验证的支付方式，本来是给用户提供便利，但是现在来看却成为了不法分子的可乘之机，鉴于犯罪分子的手段越来越高明，并且这种仅需验证码不用支付密码就能支付或转账的方式安全性较差，建议开通此项服务的储户最好将其注销。
& & & &工行e支付的注销方法：1、登陆工行门户网站，点击右侧&便捷服务&，再点击&工银e支付&，然而再点击&注销&。2、登陆网银，选择&工银e支付&，点击&我的工银e支付&，再点击&注销&。
& & & & & & & & & & & & & & & & & & & & & & &&
文中产品信息
小编推荐：
【独家稿件及免责声明】凡注明 “融360”来源之作品，任何媒体和个人全部或者部分转载，请注明出处（融360 www.rong360.
com)。文章中所载的信息材料及结论只提供用户作参考，不构成投资建议。
暂无评论，需要你第一个站出来表达观点！
Copyright &
Inc. All Rights Reserved. 京公网安备号
融360 - 银行 版权所有