新紀元周刊|和您攜手,共同走進新的紀元

多款O2O軟件存支付漏洞 轉款不用接觸銀行卡

?"
在上海一場被業內譽為駭客奧運會的活動中,逾40款主流智慧軟硬體產品被選手們攻破,包括華為等品牌均成為攻破對象。(AFP)

在現代生活中,刷卡已成為許多消費者的選擇和習慣,然而近日在上海舉辦的Geek Pwn(極棒)2015嘉年華中,多款O2O軟件被曝出存在支付漏洞,甚至在不接觸銀行卡的狀態下,也能把款全部轉走。讓現場觀眾驚呼不安全。

文 _ 蘇晨

近日在上海舉辦的GeekPwn(極棒)2015嘉年華,被業內譽為駭客奧運會,在活動中,逾40款主流智慧軟硬體產品被選手們攻破,包括華為、小米、京東、海爾等品牌均成為攻破對象,移動支付、O2O(Online To Offline,上線到下線)、智慧家居等領域的安全問題成為熱點。

在現場,一位選手演示了對大型POS機品牌盒子支付的攻破。該選手首先用一張他人的銀行卡完成一次刷卡交易,再用一張自己的銀行卡刷卡消費。在接下來的24小時內,其就可以用自己的卡無限次消費他人銀行卡上的餘額了。

更讓人震驚的是,有一位選手在不接觸銀行卡的狀態下,卻能將卡上的餘額轉走。該選手首先通過手機綁定第一大POS機品牌拉卡拉收款寶,通過手機劫持交易信息,並獲得餘額信息。然後再輸入任意密碼,就將餘額全部轉走。在整個過程中,選手並未直接接觸該銀行卡,更沒有獲得該卡密碼。

另有一位選手在現場演示了利用未知漏洞攻破了嘟嘟美甲的O2O軟件系統。選手通過支付寶為嘟嘟美甲官方APP上一帳號充值,實際僅需支付1分錢就向這一帳號內充值任意金額。而e家潔、功夫熊、阿姨幫、微票兒等O2O服務平臺都被證明有類似漏洞。有現場觀眾在看到種種風險後大喊,「這也太不安全了。」

此外,有選手同時對華為榮耀4A手機、小米手機4C進行獲取系統root權限的操作,改變了兩部手機的開機動畫。評委說,這代表選手已經攻破了兩部手機的最高root權限。

網路支付風險事件頻爆發

除上述在活動中演示出的種種風險外,在現實生活中,近兩年來網路支付風險事件亦頻頻爆發。2015年6月,珠海市警方偵破一宗利用駭客手段盜取支付寶資金案件,該案犯罪嫌疑人通過網上購買他人提供的帳號、密碼信息,使用掃號軟件批量測試是否與支付機構支付帳號、密碼一致,比對成功後施行盜竊。據了解,犯罪嫌疑人涉嫌盜竊支付寶帳戶117個,涉案金額7萬多元。

此外,警方在嫌疑人計算機硬盤中存儲各類公民個人信息40多億條,涉及支付寶、京東和Paypal等支付帳戶達1000多萬個,初步估算帳戶涉及資金近10億元。

2015年3月,中國人民銀行四川省射洪縣支行接到商業銀行金融重大事項報告,稱其客戶趙某個人銀行結算帳戶大額資金被盜劃。

3月11日,趙某向銀行反映,其5個銀行卡存款帳戶資金在2015年3月7日至9日期間,遭到連續盜劃20多次,盜劃金額累計達到21.9萬元,期間被屏蔽了手機動帳短信提示。

通過查詢趙某5個銀行卡個人銀行結算帳戶交易流水發現,其資金通過上海某網路支付機構劃至北京一家公司帳戶,是客戶個人身分信息被犯罪人員盜取,並冒用客戶在網上註冊3方理財公司所致。該盜劃事件的特點在於屏蔽了銀行客戶手機動帳短信提示功能,並關聯客戶所有銀行卡個人結算帳戶。

2014年3月5日,兩名嫌犯張某、劉某利用某支付公司網上平臺在帳戶改密業務中的漏洞,盜刷數家企業在該支付公司支付帳戶內的資金共20多萬元。

資金被盜風險大增

上述案例爆發的風險只是冰山一角。隨著互「聯網+」的興起,各類O2O服務已成為日常生活的一部分,一旦應用存在安全風險,除了對用戶個人帶來威脅之外,還威脅著平臺商的數據和資金安全。民眾面臨資金被盜的風險越來越大。

人行一人士表示,在支付獲得便捷的同時,支付業務風險卻在不斷積累。隨著日益頻繁的支付活動,個人支付信息洩露風險大增,消費者面臨更大的資金被盜和欺詐風險。◇
 

您也許會喜歡