Search
【手機洩密】實測SMS飛線成功轉錢 揭支付寶CSL保安漏洞
💡漏洞=SMS飛線+預設身分證為密碼
一直覺得CSL感覺穩陣,居然係最高危果個😱
//記者以第三方手機,致電3香港及CSL的客戶服務熱線,申請SMS飛線。CSL僅需原機主姓名、電話號碼、身份證,及回答一個簡單問題,例如原機主支付電話費形式(現金或銀行轉賬),即獲審核申請。至於3香港,職員會再致電確認,記者至此步驟申請失敗。
在CSL申請成功後,要啟動SMS飛線至其他號碼,第一個方法必須經原機主手機按入快捷鍵啟動;另一方法是登入網上賬戶,惟記者在CSL網站發現,客戶首次登入密碼,全部預設為身份證號碼,由於記者已知原機主身份證號碼,故能輕易進入其網上賬戶,並啟動SMS飛線。//
http://s.nextmedia.com/realtime/a.php…
*** 以下是小編的親身經歷 ***
前日 (19 / 7) 早上十一時多,小編正忙於工作的時候,電話突然震過不停,一看之下大驚失色:原來是信用卡公司以短訊通知多筆交易記錄,涉及的商戶是支付寶(香港)。第一筆交易涉及的只是十多元,緊接着卻有數筆幾百元到一千元的交易。
小編從來沒有安裝支付寶(香港),馬上察覺信用卡資料可能被人盜用,故火速致電信用卡中心取消信用卡。正在等待的同時,電話再接獲兩個短訊,今次是信用卡以 SMS 發送的認證密碼,也許是騙徒所消費的金額已觸及二段認證(2 step authentication)的的額度,故這兩個交易未能成功完成。
今次事件令小編懷疑支付寶(香港)的流程存在嚴重安全漏洞,於綁定信用卡及首次支付時,並沒有要求 SMS 認證。本着尋根問底的精神,小編用太空電話及太空卡開啟支付寶(香港)戶口並縛定信用卡,確認了以下的事實:
1)開啟支付寶(香港)戶口只需要電話號碼以接收短訊確認,完全不需要任何其他個人資料。
2)縛定信用卡只需要信用卡號碼,到期日及卡後的安全碼,完全不需要任何其他個人資料,亦沒有要求銀行以 SMS 作雙重認證。
3)縛定後雖然不能提款或轉錢到銀行(需要身分認證),但已可立即透過二維碼在支援的商戶消費。
4)支付寶(香港)對新增信用卡的首次交易,亦沒有要求信用卡以 SMS 去認證身份。
5)支付寶(香港)對可疑的消費手法,例如新戶口在短時間內多次消費,並沒有任何阻礙或要求進一步認證。
除了致電銀行跟進之外,小編及後亦致電支付寶(香港)的客戶服務熱線,提供資料以作日後跟進之用。在對話過程中,職員親口告知,近日收到不少類似的投訴。顯而易見,支付寶(香港)的流程存在嚴重安全漏洞,騙徒單憑信用卡上的資料已經可以成功消費數以千元,而開戶過程不需任何個人資料亦令警方事後難以追查。即使最後有關的損失由信用卡公司或支付寶(香港)負責,受害人亦要花上不少時間及精神去申訴及處理。
現時本港類似的電子錢包各有不同的認證方法,例如 PayMe 需要用電話影身分證,Apple Pay及 Google Pay 則需以信用卡登記電話收 SMS 認證,唯獨支付寶(香港)不需任何認證。我們前線科技人員認為金管局及警方應從速行動,檢討並統一類似的電子錢包的認證要求,以保障市民的財產安全。
#資訊安全即是財產安全
21/7 6:24pm 補充
今朝小編分享咗自己嘅信用卡畀騙徒經支付寶盜用嘅事,其實目的都係希望支付寶可以加強認證,以免將來更多人仲招。估唔到引起咗大家嘅興趣,但睇咗大家嘅留言,當中似乎有唔少誤解,等小編喺度嘗試解釋得清楚啲:
Q:小編係唔係話裝支付寶 App 或者開支付寶戶口唔安全?
A:唔係。小編係今日之前並冇裝支付寶 App 亦冇開支付寶戶口。隻 App 本身係唔係安全並唔關今次嘅事。
Q:咁係信用卡公司問題啫,關支付寶乜事?
A:今次嘅問題係出喺支付寶綁定信用卡嘅認證流程,同其他電子錢包相比,支付寶係冇咁嚴謹。例如支付寶並冇強制要求信用卡公司用 SMS 做雙重認證(參考 Apple Pay 或 Google Pay 或 WeChat Pay 嘅做法)又或者要求申請人提交身份證副本(參考 PayMe 嘅做法), 所以好容易被騙徒借用支付寶做平台,用偷番嚟嘅信用卡資料去套現。
Q:咁件事係唔係完全係支付寶嘅責任?
A:又唔係。用唔用 SMS 做雙重認證,係發卡銀行同埋支付寶兩者嘅共同決定,所以公道講句,應該話兩者都有責任。
Q:但我上網買嘢訂酒店 book 機票,好多時都唔駛用 SMS 做雙重認證㗎啦,點解小編個個都唔鬧,剩係鬧支付寶?
A:無錯,支付寶並唔係唯一冇強制做雙重認證嘅商戶,但係因為電子錢包容易俾騙徒套現而且難以追查,所以電子錢包對認證嘅要求應該比一般商戶為高。而且同 PayMe/Apple Pay/Google Pay/Samsung Pay 等相類近嘅電子錢包比較,支付寶嘅認證要求最低。
Q:唔好剩係識鬧,咁你有乜建議比支付寶先?
A:最基本都要參考 Apple Pay 或 Google Pay 嘅做法,第一次綁定信用卡嘅時候需要用 SMS 確認。
小心,唔好中招……
*** 以下是小編的親身經歷 ***
前日 (19 / 7) 早上十一時多,小編正忙於工作的時候,電話突然震過不停,一看之下大驚失色:原來是信用卡公司以短訊通知多筆交易記錄,涉及的商戶是支付寶(香港)。第一筆交易涉及的只是十多元,緊接着卻有數筆幾百元到一千元的交易。
小編從來沒有安裝支付寶(香港),馬上察覺信用卡資料可能被人盜用,故火速致電信用卡中心取消信用卡。正在等待的同時,電話再接獲兩個短訊,今次是信用卡以 SMS 發送的認證密碼,也許是騙徒所消費的金額已觸及二段認證(2 step authentication)的的額度,故這兩個交易未能成功完成。
今次事件令小編懷疑支付寶(香港)的流程存在嚴重安全漏洞,於綁定信用卡及首次支付時,並沒有要求 SMS 認證。本着尋根問底的精神,小編用太空電話及太空卡開啟支付寶(香港)戶口並縛定信用卡,確認了以下的事實:
1)開啟支付寶(香港)戶口只需要電話號碼以接收短訊確認,完全不需要任何其他個人資料。
2)縛定信用卡只需要信用卡號碼,到期日及卡後的安全碼,完全不需要任何其他個人資料,亦沒有要求銀行以 SMS 作雙重認證。
3)縛定後雖然不能提款或轉錢到銀行(需要身分認證),但已可立即透過二維碼在支援的商戶消費。
4)支付寶(香港)對新增信用卡的首次交易,亦沒有要求信用卡以 SMS 去認證身份。
5)支付寶(香港)對可疑的消費手法,例如新戶口在短時間內多次消費,並沒有任何阻礙或要求進一步認證。
除了致電銀行跟進之外,小編及後亦致電支付寶(香港)的客戶服務熱線,提供資料以作日後跟進之用。在對話過程中,職員親口告知,近日收到不少類似的投訴。顯而易見,支付寶(香港)的流程存在嚴重安全漏洞,騙徒單憑信用卡上的資料已經可以成功消費數以千元,而開戶過程不需任何個人資料亦令警方事後難以追查。即使最後有關的損失由信用卡公司或支付寶(香港)負責,受害人亦要花上不少時間及精神去申訴及處理。
現時本港類似的電子錢包各有不同的認證方法,例如 PayMe 需要用電話影身分證,Apple Pay及 Google Pay 則需以信用卡登記電話收 SMS 認證,唯獨支付寶(香港)不需任何認證。我們前線科技人員認為金管局及警方應從速行動,檢討並統一類似的電子錢包的認證要求,以保障市民的財產安全。
#資訊安全即是財產安全
21/7 6:24pm 補充
今朝小編分享咗自己嘅信用卡畀騙徒經支付寶盜用嘅事,其實目的都係希望支付寶可以加強認證,以免將來更多人仲招。估唔到引起咗大家嘅興趣,但睇咗大家嘅留言,當中似乎有唔少誤解,等小編喺度嘗試解釋得清楚啲:
Q:小編係唔係話裝支付寶 App 或者開支付寶戶口唔安全?
A:唔係。小編係今日之前並冇裝支付寶 App 亦冇開支付寶戶口。隻 App 本身係唔係安全並唔關今次嘅事。
Q:咁係信用卡公司問題啫,關支付寶乜事?
A:今次嘅問題係出喺支付寶綁定信用卡嘅認證流程,同其他電子錢包相比,支付寶係冇咁嚴謹。例如支付寶並冇強制要求信用卡公司用 SMS 做雙重認證(參考 Apple Pay 或 Google Pay 或 WeChat Pay 嘅做法)又或者要求申請人提交身份證副本(參考 PayMe 嘅做法), 所以好容易被騙徒借用支付寶做平台,用偷番嚟嘅信用卡資料去套現。
Q:咁件事係唔係完全係支付寶嘅責任?
A:又唔係。用唔用 SMS 做雙重認證,係發卡銀行同埋支付寶兩者嘅共同決定,所以公道講句,應該話兩者都有責任。
Q:但我上網買嘢訂酒店 book 機票,好多時都唔駛用 SMS 做雙重認證㗎啦,點解小編個個都唔鬧,剩係鬧支付寶?
A:無錯,支付寶並唔係唯一冇強制做雙重認證嘅商戶,但係因為電子錢包容易俾騙徒套現而且難以追查,所以電子錢包對認證嘅要求應該比一般商戶為高。而且同 PayMe/Apple Pay/Google Pay/Samsung Pay 等相類近嘅電子錢包比較,支付寶嘅認證要求最低。
Q:唔好剩係識鬧,咁你有乜建議比支付寶先?
A:最基本都要參考 Apple Pay 或 Google Pay 嘅做法,第一次綁定信用卡嘅時候需要用 SMS 確認。
