【新闻】中国移动用户手机被锁遭盗刷5.3万 官方正式回应
摘要:今天晚间,@中国移动 官方发布《关于客户何先生账户遭遇互联网盗刷的情况说明》,对近期媒体报道的移动客户何某被盗刷5万余元一事做出说明。据悉,该案件是由犯罪嫌疑人通过已掌握信息,攻破某智能手机云服务平台账号所致。中国移动表示,犯罪嫌疑人具体作案手法主要分三步:1、破解用户某品牌智能手机云服务平台账号信息;2、利用已攻破的该品牌智能手机云服务平台“回复短信”接口,完成主副卡绑定;3、在该品牌智能手机云服务平台发起强制关机指令,接收相关验证码,完成“盗刷”操作。中国移动称,遭受本次攻击的客户均为某品牌手机用户,暂未发现其他客户受到类似攻击。除客户何某外,也为受到其他客户遭受损失的相关报道。为避免此类案件再次发生,该品牌智能手机云平台已经优化。以下为详细说明:http://cms-bucket.nosdn.127.net/catchpic/6/60/607a14444b661e9a7faf4bfde0fd1420.jpg?imageView&thumbnail=550x0这个某品牌说的不是小米吗? 往往回复未必是事实…… 这个品牌说的是 360 在云平台能够回复短信的,是哪个手机的? 不公布某品牌的名称,保护了少数商家,得罪了广大消费者。 梦梦君 发表于 2017-2-15 10:00
这个某品牌说的不是小米吗?
小米短信同步让父母银行卡被盗10万?扒一扒事情的来龙去脉
事件回顾——究竟哪里出问题了? 2016年8月21日晚,一篇《小米短信同步缺陷让父母银行卡被盗十万元》的知乎文章引起关注,整个事件简单来说就是: 事主父母的浦发银行卡被盗刷10万(含贷款4万),检查下来发现是被人攻破了小米云的密码,事主父母此前开启了小米云的“短信同步”服务,导致银行的验证短信被截获。 “妈妈的手机是小米5,早上手机收到了小米'新增云同步设备'的通知提醒,二十分钟后陆续收到银行发送的多条短信验证码、多条转账成功还有贷款成功的通知,时间间隔非常短。”事主知乎这样写道。 小米“新增云同步设备”的通知提醒截图如下: http://n1.itc.cn/img8/wb/recom/2016/08/22/147187003611572852.JPEG (来自事主的知乎,现原文已被暂时清除) 事件疑点: 1、银行卡和密码怎么丢的没有说清楚。 2、银行为什么给办理了贷款? 3、手机是否中了木马未知。 另外,事主在知乎原文中记录:“在犯罪分子用浏览器尝试登陆小米云服务、并打开短信同步权限时,下发过手机验证码”但是事主并不知情,”在小米手机5上也看不到这条验证短信,期间SIM卡完全正常运行。”小米的说法是, 接受这条验证码的设备是小米3,推测可能是SIM复制卡,但是如果是复制卡,是可以直接收到银行验证短信,那么就无需再通过小米云服务同步短信来操作了。 http://n1.itc.cn/img8/wb/recom/2016/08/22/147187003432056789.JPEG (截图来自事主知乎) 关于这个说法,雷锋网也咨询了资深安全人士,他表示两边的逻辑都不完全通—— “首先确实事主说的对,如果手机卡已经被复制,那么就无须再通过小米云获取银行的短信验证码。但是事主所说的关于复制卡就会导致原卡失效也是错误的,只有补卡或者换卡的时候会导致原卡失效,复制卡如果成功两张卡是可以同时使用的。” 也就是说,在成功的情况下,复制卡是可以同时使用的。 2、短信验证的缺陷 这并不是小米第一次因为短信验证缺陷带来的盗刷事件。 上个月,山西的王先生因为小米账号被盗,利用小米云服务的短信同步收获其短信验证码,并将事主本人手机里的短信自动删除,盗刷其银行存款。 而与此类似的是,运营商的 “短信托管”服务也曾被诟病,就是因为不法分子会利用非法手段获取客户的相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交易验证短信并盗取资金。 运营商一方面推出了短信密码验证服务,另外并没有对短信的安全性进行升级,包括移动的短信托管服务。另一方面,其他部门还是把短信当做是通信服务来看待,认知偏差导致了使用场景和设计场景的偏差。银行会觉得,你运营商既然开通了短信验证密码服务,你就得保护用户短信的安全。 除了以上方法,手机木马、伪基站、钓鱼Wi-Fi都可以被利用从而获得短信验证码,进而盗刷银行存款。 那么,银行方面为什么不用令牌?除了成本,就是市场对便捷性的追求。 “为什么要大力推手机银行,因为成本,还有创新业务和增值服务。小米为什么要搞云,因为提高用户粘度,提供长尾增值服务,说不定还可以通过分析短信内容去挖掘用户习惯。那么安全在哪里呢?安全在业务推广和成本压力下被忽视了,用户就被赤裸裸地挂在黑暗森林里。”资深安全人士这样告诉雷锋网。 3、不仅仅是小米的责任 从事主的账号被盗、云服务同步短信到最后发生银行卡盗刷行为,这个过程中涉及:手机厂商、运营商和银行。 客观来看,这件事光打小米是不合理的。 首先 小米的云同步不是默认设置的,一般用户会使用默认设置,如果修改默认设置就意味着后果自负。 如图: http://n1.itc.cn/img8/wb/recom/2016/08/22/147187003489577148.JPEG 其次,法律中的直接后果原则,即有限责任原则:小米提供云服务,只承担云服务的责任,银行提供金融服务就承担金融服务的责任。举个简单的例子,比如你用短信发的商业机密被泄露了,运营商只需要承担泄露隐私的责任,而不是赔你合同,承担泄密的后果。 这样的说法对大多数用户来说,显得过于冰冷。在这件事情中,小米的责任是肯定有的,比如云服务商应该对存放在云端的数据有所选择,比如涉及照片等用户隐私、银行信息等敏感数据提醒用户或者默认不同步,并且进行二次验证。 而从用户角度,银行卡和密码又是怎么泄露的?可能的情况实在太多了: 是不是家里的网络有问题? 之前是否在不安全的地方用过网银? 小米云备份的短信信息泄露了银行卡和密码?(有人会在短信上保存银行卡密码等信息) ...... 这个事件其中一个疑点就是 贷款问题,如果贷款真的办下来了,要不就是银行规则有漏洞,要不就是银行内部人员操作。因为线上办贷款,这种事情,即使是浦发银行也做不出来的。 追究到最后,整个事件的核心问题还是在于银行的风险管控,毕竟银行是短信验证的最终得益者。 银行应该细分场景然后进行风险控制,比如手机支付在2万元以下,或者可疑的支付行为有电话进行调查。 今天上午,小米方面已经积极配合,事主也将内容暂时清空,而事件疑点也有待进一步解开。截止雷锋网(搜索“雷锋网”公众号关注)发稿为止,事主的知乎内容如下: http://n1.itc.cn/img8/wb/recom/2016/08/22/147187003551315390.JPEG 关于这个事件背后的责任问题,雷锋网邀请了启明星辰副总裁shotgun做深度分析,可关注雷锋网后续出文。 雷锋网注:转载请联系授权,并保留出处和作者,不得删减内容。
怕不怕@gamersmile 华为防伪基站形同虚设,导致花粉被无故盗刷千元
白已搞机2016-08-03 16:05:12
声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
关于手机支付安全的问题一直是公众关心的焦点,怎么去在手机上通过技术手段来减少电信诈骗也成了各个厂家在今天主打的几个功能点,其中华为手机主打硬件级防伪基站来杜绝电信诈骗的功能成了不少人的选择。 不过近日,有华为用户污的不要不要的i在微博上称华为手机自带的快捷功能没有用户,还需要用户手动调节,使得该用户被盗了近千元。 http://img.mp.itc.cn/upload/20160803/8dff196571f345ddbaecb403c3530430_th.jpg 如此看来华为一次在宣传的防诈骗功能并没有什么卵用啊。 为了大家的财产安全还是建议不要太过于依赖这种功能,尤其是像华为这种内部还有监听行为的公司,更不能相信! http://img.mp.itc.cn/upload/20160803/489ee789bef3450294bee5505dc1bc1c_th.jpg http://img.mp.itc.cn/upload/20160803/e47d453dca034ae3adde399f6fdd32d3_th.jpg 因为你的所有的隐私资料都被华为监听着,你的钱说没了就没了,你找谁去啊。
我是辛勤的搬运工 苹果有类似情况发生吗? 2014年7月4日 - 我记得小米广告上说的,假如手机那家里了,到了公司可以通过电脑登陆云服务来回复短信,查看未接来电。
传统备份弱爆了 小米云服务全方位体验
http://www.cnmo.com/os/244033.html
又是“云”惹的祸!我一般情况下不用云。 nook2 发表于 2017-2-15 10:21
苹果有类似情况发生吗?
https://www.zhihu.com/question/51293564
http://bbs.tianya.cn/post-free-5283911-1.shtml
http://www.sznews.com/mb/content/2016-11/02/content_14143558.htm
慢慢看吧 camio 发表于 2017-2-15 10:14
怕不怕@gamersmile 华为防伪基站形同虚设,导致花粉被无故盗刷千元
白已搞机2016-08-03 16:05:12
声明: ...
其实要防范监听监控也不难吧。重要电话不用华为手机接打就好了
公司手机是苹果,我也还有一部S7的 我为了安全,只登录Hotmail账户,关闭2G网路链接.
用老款非智能机安全。 把信息上传云平台?作死啊
我米躺枪了。
这个是流氓头子360的手机,前几天新闻有报道。
页:
[1]