您的位置：>>
相关专题：
手机变移动POS机
刷银行卡安全吗
发布时间：日 16:06
来源：云南网络广播电视台
相关专题：
&昨天（11月10日）晚上小才同学给我们打进热线电话说，他把自己的银行卡拿给朋友在手机上刷卡转账，他现在担心自己的卡被人复制，条形码记者对此进行了调查。
&小才说，前两天他的朋友急用钱，他当时身上又没有那么多现金，他拿了一个手机出来，拿了一个小小的东西，直接插到他的手机上，输入了卡和卡号，他就说把我这个卡拿给他刷刷，输输密码这个钱就可以转过去了，当时我们两个的关系是太好了，以前又一起上大学，虽然没在一起工作，但是关系很好那种，当时我就把卡拿给他，密码也输了，但是这个东西过了我想想，他这个东西，手机是他的、刷卡的也是他的，我不知道我的卡信息、密码、磁条信息会不会遗留在他的手机上，过了以后我觉得很后怕。&&& 记者联系小才的朋友以后得知，他使用的是一种最新的手机移动支付终端，随后记者找到了销售这种终端的商家了解情况。据商家介绍，这个终端是银联最新推出的一种便携支付工具，可以向移动POS机一样，可以刷任何银联卡。不过对于很多喜欢新玩意的市民来说，对于这样的东西同样有一些忧虑。&&& 市民的担心不是没有原因的，随着智能手机的普及，很多钓鱼网站和手机病毒的出现，通过智能手机窃取用户银行信息被盗的案例非常多，为了保证资金安全，银行方面从最初的磁条银行卡，随后又增加了一道IC卡加密，双重保障资金安全，那最新出现的手机刷卡机器到底安全吗？为此记者采访了银联的相关负责人。&&& 银联工作人员林滔介绍，这个采取的是硬件加密的方式，在每一个设备里面都有一个安全芯片，这个安全芯片是经过了银行卡检测中心，还有相应的银联技术检测通过，所以这个是完全没有任何问题的。它每次使用的时候都会有一个密码，它采用一次一密的方式，使用完了以后这个密码就不再使用了。&&& 据银行从业人员介绍，手机上运用的这种设备跟电脑上的U盾有点类似，采用硬件加密的方式就是为了堵截智能手机的网上安全漏洞，保证资金的安全。
/content/18//18_795404.shtml
相关专题：
上一条：下一条：
皎平渡，位于云南省禄劝县皎平渡镇北部，水势浩荡的金...
倾听百姓声音 接受群众监督
政策答疑解惑 构建和谐社...
小区变成“海” 消防官兵充当“人力马达”帮88名住...
8月11日13时40分...
胡绪峰向延安市公安局申请国家赔偿1.36亿余元。8月10...
日上午，山东电视台公共频道《民生直通车...&&&新闻热线：021-
说手机欠费却忽悠银行卡不安全 还是有人被骗了
原标题：说手机欠费却忽悠银行卡不安全 还是有人被骗了
　　3天前，林小姐接到“移动营业厅”打来的电话，称她的手机在２小时后会停机。因为她于９月２６日在上海松江移动营业厅开通的手机号码，目前已欠费２５６６元。
　　“我根本没有办过这个号码。”林小姐急忙否认。
　　“那可能是有人冒用了你的身份证办理的。”对方表现得很好心，还给了林小姐一个上海松江区公安局的办公室电话。
　　“卡是在松江办的，要到松江报警。你要是不放心，可以通过１１４查一下这个号码。”
　　这句话还真戳中了林小姐最疑惑的点。她通过１１４查询了这个号码，还真是松江区公安局的。
　　几分钟后，林小姐就接到了“松江公安局的办公室电话”，对方自称姓陈，声称林小姐“银行卡里的钱不安全，要先转存至一个安全账户中，然后拿着ＡＴＭ机的转账凭条去邱隘农业银行找一个叫赵某某的工作人员，对方会帮她补办银行卡的。”
　　林小姐像是着了魔一样，按照指示分3次向对方提供的账号中汇入了８５００元。
　　汇完钱后，林小姐急匆匆拿着转账凭条去邱隘农业银行找赵某某，却被告知根本没有叫这个人。她这才发现自己被骗了。
　　民警说，其实这个骗局并不高明，只是林小姐忽视了3处明显的破绽：
　　其一，只要主动拨打“上海松江公安分局办公室的电话”，就会发现压根没有这回事。
　　其二，明明是手机欠费，怎么会说成是银行卡不安全呢？明显的牛头不对马嘴。
　　其三，汇款前，先去邱隘农业银行找赵某某，就会发现这是个彻头彻尾的骗局。
声明：凡注明为其他媒体来源的信息，均为转载自其他媒体，转载并不代表本网赞同其观点，也不代表本网对其真实性负责。您若对该稿件内容有任何疑问或质疑，请即与东方网联系，本网将迅速给您回应并做处理。
电话：021-962007
东方网()版权所有，未经授权禁止复制或建立镜像
说手机欠费却忽悠银行卡不安全 还是有人被骗了
日 07:29 来源:中国宁波网-东南商报
原标题：说手机欠费却忽悠银行卡不安全 还是有人被骗了
　　3天前，林小姐接到“移动营业厅”打来的电话，称她的手机在２小时后会停机。因为她于９月２６日在上海松江移动营业厅开通的手机号码，目前已欠费２５６６元。
　　“我根本没有办过这个号码。”林小姐急忙否认。
　　“那可能是有人冒用了你的身份证办理的。”对方表现得很好心，还给了林小姐一个上海松江区公安局的办公室电话。
　　“卡是在松江办的，要到松江报警。你要是不放心，可以通过１１４查一下这个号码。”
　　这句话还真戳中了林小姐最疑惑的点。她通过１１４查询了这个号码，还真是松江区公安局的。
　　几分钟后，林小姐就接到了“松江公安局的办公室电话”，对方自称姓陈，声称林小姐“银行卡里的钱不安全，要先转存至一个安全账户中，然后拿着ＡＴＭ机的转账凭条去邱隘农业银行找一个叫赵某某的工作人员，对方会帮她补办银行卡的。”
　　林小姐像是着了魔一样，按照指示分3次向对方提供的账号中汇入了８５００元。
　　汇完钱后，林小姐急匆匆拿着转账凭条去邱隘农业银行找赵某某，却被告知根本没有叫这个人。她这才发现自己被骗了。
　　民警说，其实这个骗局并不高明，只是林小姐忽视了3处明显的破绽：
　　其一，只要主动拨打“上海松江公安分局办公室的电话”，就会发现压根没有这回事。
　　其二，明明是手机欠费，怎么会说成是银行卡不安全呢？明显的牛头不对马嘴。
　　其三，汇款前，先去邱隘农业银行找赵某某，就会发现这是个彻头彻尾的骗局。
声明：凡注明为其他媒体来源的信息，均为转载自其他媒体，转载并不代表本网赞同其观点，也不代表本网对其真实性负责。您若对该稿件内容有任何疑问或质疑，请即与东方网联系，本网将迅速给您回应并做处理。
电话：021-962007目前手机银行存在的安全问题主要是这两方面：1.密码泄露2.交易劫持先说手机银行可能导致密码泄露因素：1. 手机银行APP来源不正规，不正规的APP可能是模仿银行界面的钓鱼程序，诱导客户输入账号密码；也有可能是手机银行的反编译篡改版本，更改关键页面显示，诱导客户输入信息。一般情况，银行大堂经理会帮客户安装，用户若要自己下载，要在正规的第三方store上下载。2. 木马程序盗取密码，安卓权限的开发，是的一些APP可以通过截屏、录屏、获取触摸事件等方式盗取密码。再说交易劫持，以转账为例：每个转账请求有如下几个要素点：#收款人#收款人账号#金额#时间#付款人这些数据被打成数据包从手机银行APP加密传递到银行后台，银行后台根据这些数据，在收款人的账户上加上相应的金额，在付款人账户上划去等同的金额。如果被黑客劫持数据和破解，修改这些交易要素，在传到银行后台，银行后台就会执行一个错误的划账。例如红塔集团要转给昆明钢铁厂的1000万，你修改了收款人，转到你的账户上。于是在转账过程中需要保证：1.转账信息加密不被破解-2.数据被破解后不会被修改转账信息如何不被破解，我们在手机银行和银行后台都埋上一个秘钥（不是账户密码，单单只用来加密数据），传输的数据需要用这个秘钥来加密。但问题来了：1. 银行第一次怎么把这个秘钥给客户？2.给客户之后怎么保存？3.黑客用超级计算机，无穷尽的尝试秘钥，破解。网上发送同样会被黑客劫持，可以一对一当面给客户。客户转账时需要用，于是他可能导到APP里来，但是，由于前面说过的手机APP不安全，手机环境恶劣，被木马劫持了这个秘钥，信息就被破解。人们想到一个方法，可以把这个秘钥放在外面的一个小设备里保存，但黑客还会穷举尝试推算出这个密码，所以人们更进一步，这个密码只能用一次！这种设备就是OTP（One time password）未完
已有帐号？
无法登录？
社交帐号登录现在的手机银行安全吗，没有 usb dongle,如果不安全，有什么解决方案？
按投票排序
先说结论，不安全。尤其是安卓系统和越狱了的苹果系统，主要风险是恶意应用。1.为什么不安全？目前的安卓市场应用鱼龙混杂（app store 好一些），有一些应用的权限太大，大到可以监控用户在手机上的一切操作。举一种风险最大的例子，假设你在安装手机银行的时候，手机里已经有了恶意应用，那么，你在设置手机银行的时候（关联银行帐号、输入密码、回答隐私问题等等）的一切操作都会被恶意应用记录下来，并且发送给黑客。理论上，黑客可以利用这些信息在他的手机上设置一个一模一样的手机银行帐号，并且进行转账、消费操作。即使手机银行关联了用户的手机号码，只有通过短信密码验证才可以进行账户设定和转账等操作，理论上，黑客仍然可以通过其恶意应用迅速转发用户的短信给自己，同时删除用户短信毁尸灭迹，很多情况下可能用户根本无法察觉（比如挑选凌晨两三点进行操作）。更极端的，黑客可以伪造用户的身份证去移动营业厅挂失sim卡，领取新卡，等用户察觉的时候已经造成了经济损失。生活里有过这样的真实案例。2.目前的解决方案个人用户平时注意不要安装一些来源不知的应用，或者安装一些知名安全公司的应用，能起到一定效果。安全、杀毒应用起码能够提示用户哪些应有是有风险的，在它们做一些可疑操作的时候能够提示或阻止。但代价是牺牲用户体验，杀毒应用时刻运行，肯定耗资源和耗电。MIUI V6 刚刚发布（日），称”对于安全方面，MIUI能在安装应用前扫描查毒。安装未知来源应用时，预先扫描安装包；发现问题及时预警并阻止安装。“这会有一定效果，但也仅仅是起到一个筛选作用，平台是无法针对性地解决安全性问题的，它只能是广义上的宽泛的，而且还要在用户体验和安全两者间做取舍。软件的解决方案都是指标不治本，更好的解决方案还是应该结合硬件。既然PC上使用USB dongle (或说token,或说U盾），很自然地会有手机dongle的解决方案的出现。于是工行和建行都将推出或者已经推出音频盾作为其手机银行的安全性解决方案。音频盾这货长成这样：音频盾的产品经理应该是定势思维+借鉴Square的产品思路想出了这么一个产品。优点是这项技术很成熟，也基本上解决了手机银行安全的问题。缺点是，它抹杀了手机银行最大的优点-随时随地转账支付。我相信90%的人使用手机银行的时候，都是一摸兜儿，哎呦喂，没带音频盾。它不比PC端的U盾，基本上你是扔在电脑旁边、收抽屉里或者放在笔记本电脑包里，在电脑上想起来转账，基本上都能找着。另外还有一种解决方案就是电子密码器，和网银在使用的方案一样。一个长得像计算器的小东西，输入用户密码，生成一个交易密码。缺点和上述方案一样，可能忘了带。尽管不算满意，但这两种有可能是目前最好的解决方案了。3. 未来解决方案的一种目前在中国，是磁条银行卡向芯片银行卡甚至是双界面银行卡（支持非接触界面，像刷公交卡一样）过渡的一个时期，所以可以想象目前的很多解决方案也都是过渡性的，过了两三年就会被别的解决方案取代。等银行发行的银行卡都是芯片卡的时候，我个人认为有一种安全解决方案从技术上会胜出。这种解决方案的道理很简单，因为芯片卡里本身就是一个小型操作系统，所以它本身就可以作为一个安全token使用，银行无需另花成本去发行别的token。如果是双界面的银行卡并且手机支持NFC，那么手机银行的使用场景是这样的：打开手机银行界面，并从钱包里掏出对应的银行卡，贴靠在手机背后，输入密码确认即可。【手机银行与银行卡自动交互，银行卡作为token计算出一串安全字符（懂行的都知道，一般是基于私钥和随机数，每次都不一样）发送给手机银行，手机银行再将这串安全字符+用户密码发给银行服务器验证】。这种解决方案应该能解决80%用户的问题，因为还有20%的用户会忘记带钱包和银行卡。如果手机不支持NFC,那就只能银行给用户发一个音频读卡器，那么用户便利性又会打折扣，因为会忘记带。不过还是好过音频盾，因为音频读卡器是通用的，可以找周围的人借一个应急。这种解决方案也同时兼顾了PC端的网上银行，同样读卡器+银行卡就可以完成安全登录和操作。关于这个解决方案，感兴趣的同学可以阅读某家中国公司在2011年申请的专利这种方案是我能想到和知道的最优解。我想到的时候才去查的以往专利，结果发现已经有了，只能再次说明一个道理，要想在某领域申请专利，最怕的就是入行太晚。
手机作答，写到哪算哪，回去编辑。一、网银不是绝对的安全，但经过多年发展，安全度相对较高。
伟大的央妈会更新《网银安全指引》给各家银行
还有年度安全审计
各大银行基本上都是上下齐心，全力配合央妈和银监部门的。
说银行内部——知道出事故会让一大帮人丢饭碗不？知道有多少人为了“前途”，不敢创新不？知道银行天天叫着互联网金融至今仍无产品经理岗吗？知道很多银行事无巨细，”一把手”式创新不？
但银行人还是在拼命做事的——合规、提升安全成为孜孜不倦的追求！
key分多种:
不安全，木马直接搞定。
改进版，但待签名的交易数据存在篡改风险
号称不可篡改……但有同行称可以攻击破解
已有帐号？
无法登录？
社交帐号登录揭秘：安卓木马是如何盗取用户手机银行的
手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是，随着手机银行涉及的金钱数额越来越大，攻击者要找到更多创造性的方式来窃取金钱。
就在上周，新加坡银行协会（ABS）发布了公告称手机银行恶意软件感染安卓智能机的数量大幅上升。我们很有兴趣深入研究这种新兴的威胁，之后我们发现了一个目标是手机银行app的安卓恶意软件，于是我们对它展开了进一步研究。
这种移动端恶意软件通过其他恶意软件-一个独立的app或者用户登入恶意网站时进行他们不了解的下载更新进入到用户的手机中。
目前为止，我们把所有遇到的伪装过的样本归结命名为假冒的Adobe Flash Player，这个名字并不奇怪，大家都知道&Adobe Flash Player&这个梗（这个东西今年被曝出很多漏洞啊，还有0day什么的，大家都懂的）。Adobe Flash Player所需的权限要比同类普通应用高的多（事实上，在某些情况下安卓并不支持它）。Player最引人注目的权限就是被激活为设备管理员，也就是需要安卓的最高权限，这点很容易被恶意软件操纵。从本质上讲，设备管理员权限赋予了这款恶意软件禁止用户强制停止和卸载app的权利，它的进程决定了移除它非常困难。
图1：安装、许可和设备管理员
图2：恶意软件要求获取设备管理员权限
深入了解恶意代码
木马病毒的配置数据
如下图所示，恶意软件检索和解码它的配置文件，Base64编码，使用&@&解析，因此它可以以数组形式储存。
图3：代码检索配置文件
经过解码的Base64配置数据显示了它的C&C服务器，目标的应用程序，银行列表，C&C命令等等。
图4：Base 64解码的配置数据
每当恶意软件需要特定的数据，它可以通过对于数组来说作为索引的硬编码整数值进行检索。如下面的代码所示，整数值14和46指向带有&type&和&device info&值的配置数组的索引。我们还可以看到C&C服务器和作为感染设备标志符的代码值来回应。
图5：配置索引
我们再来看下清单文件，然后就能很快发现样本想要做什么了。我们很确定这款恶意软件的目标就像我们之前提到的一样，针对手机银行和移动支付用户。下面是清单文件的截图：
图6：安卓的清单
这款恶意软件可以通过创建伪造银行窗口来进行网络钓鱼获取被然后用户的银行信息，如信用卡帐号、账单地址、银行用户名、PIN和密码等等。
下图是基于我们样本的被瞄准的银行和支付服务的列表：
图7：目标银行和目标支付服务
接下来我们再看看恶意软件的核心功能及主要操作，尤其是执行数据窃取的一系列活动。
当受害人打开合法手机银行或者支付app时，该恶意软件同时打开了它伪造的银行窗口，然后把两个窗口叠加，用户很难通过界面发现一个新的窗口被打开了。假冒的窗口和原生窗口非常类似。然而，当用户点击其他功能，比如编辑或者屏幕上的菜单功能时就能发现他们的区别了。在这里，假冒的界面没有任何反应，因为假的用户界面没法实现这些功能。
图8：伪造的银行界面
点击更多任务查看两种登录页面-第一个是合法的应用程序，第二个是伪造的Adobe Flash Player。
图9：多任务查看
另外一些钓鱼窗口的例子，他们简直和合法窗口太像了：
图10：银行网络钓鱼窗口
图11：信用卡钓鱼窗口
收集登录凭证
像前面所说的，最重要的一部就是劝说受害者进入他们伪造的登录界面进行信息验证。因此，恶意软件需要做的第一件事就是决定确定用户使用的是什么公司的银行以及银行界面长什么样。[1]&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】