- 主题:Re: 本版被骗5万
被骗32万的都有,这是工行的漏洞,只检查密码器上的口令,不检查交易密码,一般人都不会透露交易密码,但口令就没那么警惕了。
民生银行也有密码器,但没人骗民生卡,因为民生不但检查密码器的口令,还要检查交易密码即取款密码。
http://ts.21cn.com/wap/show/id/152440
@amlt
【 在 harryzhao 的大作中提到: 】
: 你不是第一个 前一阵来过 搞的跟真的似得
: 我当时问了半天
: 最后骗子说必须要存钱而且必须用密码器 觉得很蹊跷
: ...................
--
FROM 119.98.82.*
贴主自行删除了吧?
【 在 Torri 的大作中提到: 】
: 这贴的原贴怎么看不到了?
:
--
FROM 27.18.232.*
对方有没有发链接让你点开?
【 在 adamliyan 的大作中提到: 】
: 说实话,具体的到现在也没弄明白。
: 没有给对方发任何码。
:
--
FROM 27.18.232.*
你输入动态口令的页面是他给你的,还是你在百度搜索的?
【 在 adamliyan 的大作中提到: 】
: 大概想明白了。
: 我没有给对方任何码,所以肯定是我自己操作。
: 我没有输入对方账户,所以肯定不是我发起操作。
: ...................
--
FROM 27.18.232.*
那就是钓鱼网站了,搜索关键词是什么?
【 在 adamliyan 的大作中提到: 】
: 自己搜的
:
--
FROM 27.18.232.*
所以还是我说的问题,工行流程有漏洞,仅仅泄露密码器的六位数就会导致盗刷。民生银行不但要密码器的六位数,还要取款密码,就骗不成了,正常人不会泄露取款密码。
小银行一般网银所有转出都需要交易密码(取款密码)+辅助验证手段,包括U盾,密码器,短信验证码,好处是单一密码授权,只要修改交易密码,就能防止银行端的所有盗刷渠道。
大行一般只验证U盾或者密码器或者短信,不验证静态交易密码,不知为何这样设计,为了防止网上泄露取款密码?问题是不泄露也能盗刷啊,那保密那个密码已经失去了意义。有人说U盾和密码器本身有密码,问题是这个密码储存在硬件上,不在银行后台数据库,实际上和账户无关。
石家庄工行2015爆出内鬼用假U盾调包真U盾导致盗用上千万,就是这个原因:
http://m.xinmin.cn/mobile/news/content/27682682/e37b9e83b4f96aac1dace884ca2ea88c
工行的e支付也很坑,只要卡号后六位+预留手机号+短信验证码就能支付,完全不要静态密码。别人借用你的手机或者安卓木马就能盗刷。搜索“e支付 网银在线”能得到大量盗刷案例。
【 在 veriloghdl 的大作中提到: 】
: 转账的话,工行密码器要求输入的代码最后几位是金额,之前是目标账号后四位,很容易识别出来
:
--
FROM 27.18.232.*
大多数网上支付是快捷支付,所以不要银行端密码,另外四大行银行端网付本来就不要交易密码
至于交行这个,其实交行总行支付网关是强制密码的,哪怕是信用卡,你用中国移动的网银支付测试下交行就明白了。买单吧走的是信用卡中心网关,使用交行信用卡无需交易密码,绑定交行借记卡和他行卡实际上是银联快捷支付,是第三方代授权,当然没有交易密码验证。
双因素认证本来就需要两个维度:客户所有(持有的硬件,如手机SIM卡,U盾),客户所知(记在大脑里的密码)
满足两个维度,才是真正安全。2005-2006年工行使用静态支付密码网付(不是取款密码)就导致了大量木马盗刷,被迫推出了所谓动态口令刮刮卡,实际上木马可以遍历所有坐标,还是有一定风险。U盾和SIM卡属于不能复制的东西,才相对安全。
【 在 w1163934708 的大作中提到: 】
: 大多数银行网上支付也只需要验证码啊,交行买单吧各种支付也是输验证码就可以了。中行缤纷生活买东西也是输个验证码就可以了。交易密码绑卡的时候就验证过了,还让你每次交易都输一次密码么,多麻烦。本身这些银行的APP也有密码,你不把验证码给别人根本偷不走你的钱,就别赖银行了。
--
修改:spkid FROM 27.18.232.*
FROM 27.18.232.*
如果不要密码就能盗刷,密码是否泄露也就不重要了,比如无密码的信用卡,只需偷卡,无需密码就能盗刷。国内银行的潜规则是,卡片磁条被复制的无密码盗刷可以赔,卡片丢失的无密码盗刷不赔。
POS刷卡本质就是双因素认证:卡片是用户持有的硬件,密码是用户所知
对于工行e支付这种,只需偷手机,并且记下卡号后六位就能盗刷了,因为它不是双因素认证,只验证了SIM卡
【 在 w1163934708 的大作中提到: 】
: 输密码也有输密码的风险啊,每次都要输密码,要是去人多的地方消费,一不小心就被眼尖的把密码看走了,再把你卡偷走,岂不是更危险。
--
FROM 27.18.232.*
美国信用卡盗刷非常严重,因为无密码,他们的解决办法是高刷卡佣金,用佣金的一部份买保险,出现盗刷赔付客户,其结果是整个社会的支付成本上升了。
便利不是免费的,需要成本,结果就是谨慎的人为傻子买单(承担高佣金)。
在中国这么做还有骗保的问题,因为中国人太聪明了,而且国内银行开户没有门槛不能筛选掉高欺诈风险的客户。所以支付宝规定熟人盗刷和本人设备上发生的盗刷不赔,否则能让支付宝赔破产,熊孩子盗刷父母卡打游戏再向支付宝索赔。
【 在 bnwbear 的大作中提到: 】
: 智商正常者不应该为智商低的买单,
: 凭什么为了照顾智商低的就牺牲智商正常者的便利性?
: 时间也是钱,每次耽误几秒钟累计可就是不小的数目
--
FROM 27.18.232.*
他那个是明码,或者说是口令、一次性授权码,用户不一定熟悉
【 在 L2VPN 的大作中提到: 】
: 密码器是干什么的?密码器密码器密码器,不知道密码是啥意思吗?
--
FROM 27.17.224.*