一个骗局的完成,涉及多个流程和环节。记者梳理发现,这其中既有客户保管个人信息不善被不法分子钻了空子等原因,也和当前部分银行推出的一些金融产品服务片面强调交易便捷、忽视安全管理,安全漏洞被不法分子利用有关。

——信息泄露是资金被骗的“祸首”。

这类事件中,不法分子首先要获取客户账号、开户信息、密码、手机号码等个人信息,这些信息通过多种渠道泄露,有的是保管客户信息的单位工作人员泄露,有的是客户个人保管不善,被不法分子诱导,登录钓鱼网站或被植入木马程序等,导致账户密码泄露。

专家指出,银行应加大自查、内查,谨防客户信息被泄露。但如果由于客户自身原因导致信息被盗,会给银行在交易的辨识上产生一定困难。

——理财交易设定的认证级别较低。

记者了解到,目前工行网银在转账、汇款、缴费的交易都得使用u盾,但基金、理财、贵金属交易等投资交易的认证级别较低,默认不需要u盾验证。业内人士指出,大部分客户对“如意金积存”等贵金属交易不太了解,骗子利用这样的“名字噱头”好行骗。

记者了解到,“如意金积存”是工行一款贵金属理财产品,客户既可以选择赎回,获得现金,也可以提取实物黄金。不过,如意金积存买卖不仅根据每天市场行情价格实时浮动,而且每克赎回还有实时价格和赎回价格的价差,相当于银行总能赚一笔手续费。

“工行目前购买‘如意金积存’的u盾认证是默认‘关闭’的,需要客户开通。”王先生告诉记者,“平时使用网银转账几百元钱都要使用u盾,但购买上万元理财产品却不需要,安全隐患一目了然。”

工行从事外部风险欺诈的工作人员回应说,要求客户自主定制主要是方便客户体验。“比如网银理财,很难因为安全考虑而要求客户都使用u盾。对于外汇、贵金属等日交易频繁的产品,使用u盾会影响客户体验。”

一位上海的受害人表示,骗子曾偷偷登录他的网银购买了11万元的如意金积存,尽管钱没被骗子骗去。但他第二天按照当天金价赎回时,损失7000多元。

——网银登录验证缺失,快捷支付验证安全风控不到位。

“此类诈骗频繁发生,银行有着不可推卸的责任。”王先生认为,“客户的网银在异地登录,银行应该明显能发现登录ip地址异常,但为什么没有触发风险预警机制?我从未接触过贵金属理财,这种不正常的交易行为为何没有引起银行风险监控系统的注意?”

此类事件中,不法分子大都通过冒充商户客服或银行工作人员,获取客户快捷支付或工银e支付短信验证码盗窃客户资金,这显示出目前快捷支付存在验证不足的问题。专家建议,用户要妥善保管短信验证码,不要向包括网络客服、银行工作人员在内的任何人提供密码内容。

作者:佚名

来源:51CTO

账户余额“蒸发”暴露网银安全哪些漏洞?相关推荐

  1. php备份漏洞源码,原创|从 PHP Git 源码的查找导致 PHP 安全漏洞的代码变更

    原标题:原创|从 PHP Git 源码的查找导致 PHP 安全漏洞的代码变更 前言 2020年好,各位 PHPer 们,很久没有写原创文章了,心里实在过意不去,决定写点文字,"从心" ...

  2. [译] APT分析报告:08.漏洞利用图谱–通过查找作者的指纹来寻找漏洞

    这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织和恶意代码分析的方法,希望对您有所帮助.当然,由于作者英语有限,会借助机翻进行校验,还请包涵!前 ...

  3. qt 中使用openssl_openSSL漏洞致使SSL证书安全配置评级F

    原文阅读:openSSL漏洞致使SSL证书安全配置评级F SSL数字证书在服务器配置不当会暴露更多的安全漏洞,因此给黑客提供了攻击网站提供了便利和入口,通常我们会借助SSLLABS进行测试SSL安全部 ...

  4. inotifypropertychanged接受不执行_scp客户端现多个漏洞,可执行恶意脚本

    0x00概述 根据国外安全人员披露,基于ssh文件传输软件scp暴露了多个漏洞,影响windwos.Linux等多个平台的SCP客户端.可以通过恶意scp服务器,可以未经授权的更改目标目录和客户端输出 ...

  5. 修复linux bash破壳漏洞,Linux系统下如何检测并修复bash中的破壳漏洞​​

    问题:我想要知道我的Linux服务器是否存在bash破壳漏洞,以及如何来保护我的Linux服务器不受破壳漏洞侵袭. 2014年9月24日,一位名叫斯特凡·沙泽拉的安全研究者发现了一个名为"破 ...

  6. APP安全漏洞学习笔记

    APP安全漏洞学习笔记 本文首先明确了APP安全的目标,然后对常见的APP漏洞进行了整理分析,并研究学习了APK的静态分析与动态分析技术,最后介绍了安卓的渗透测试技术和常见的安全评估工具.附录处整理了 ...

  7. Find-Sec-Bugs 漏洞范例

    第一章 Find-sec-bugs简介 插件介绍: Find-Sec-Bugs 是一款本地 bug 扫描插件 "FindBugs-IDEA" 的 Java 安全漏洞规则扩展库,它支 ...

  8. 修复linux bash破壳漏洞,Linux下bash破壳漏洞检测及修复的方法

    如果Linux服务器存在bash破壳漏洞,将可能导致远程攻击者操作系统来执行任意命令,威胁等级较高,我想要知道我的Linux服务器是否存在bash破壳漏洞,以及如何来保护我的Linux服务器不受破壳漏 ...

  9. linux系统漏洞测试过程,Linux下bash破壳漏洞检测方法

    如果Linux服务器存在bash破壳漏洞,将可能导致远程攻击者操作系统来执行任意命令,威胁等级较高,那么我们要怎么知道Linux系统是否存在该漏洞,又该如何修复呢?下面随学习啦小编一起来了解下吧. 问 ...

  10. DAY25:逻辑漏洞复现

    DAY25:逻辑漏洞复现 1.phpaacms垂直漏洞复现 进入靶场,发现是phpaa,那么进后台 可以发现admin.admin 可以登陆进去- 点击管理员账户,添加账号,抓个包看看, 可以看到是 ...

最新文章

  1. 台式无线网卡管理服务器,台式电脑设置wifi上网
  2. SourceTree中拉取GitLab代码时提示:Too many authentication failures“ fatal: Could not read from remote reposit
  3. 安安猜价格聪明机器人_5 项降噪优化,石头扫地机器人 T6 安静也有大吸力
  4. 命令(CMD)终端的清屏(清除/清空)命令/快捷键
  5. ios 跨域_如何在iOS和Android中建立跨域通信桥
  6. docker Gitlab14.5.0 安装、配置、部署、使用
  7. 有很帅气的微信头像推荐吗?
  8. 两年盗取 1000 万美元的 Xbox 礼品卡,这个人竟然是“内鬼”!
  9. BZOJ1061: [Noi2008]志愿者招募(线性规划)
  10. GBK与UNICODE编码互转
  11. 我的家乡html网页设计,创作一个以“我的家乡”为主题的网站
  12. 手机三十分钟熄屏如何一直亮_怎么让手机屏幕一直亮着
  13. 前端等值线分析DEMO(更新地址)
  14. linux拼音五笔输入法下载软件,自已动手制作Linux下拼音五笔输入法
  15. 使用telnet登录数据库服务器
  16. 微信接龙,查人,查谁没有接龙,工具
  17. 健康医疗类APP苹果审核5.2.1
  18. BZOJ4416 [Shoi2013]阶乘字符串
  19. word样式和多级列表设置技巧(二)
  20. 从小白到web渗透工程师——零基础指南(1)web渗透工程师介绍

热门文章

  1. SA: 情感分析资源(Corpus、Dictionary)
  2. URL提交之前对数据编码
  3. 编译安装M2Crypto-0.20.2
  4. susmote个人网站博客论坛(TexTec | 关注互联网技术,传播极客精神)
  5. python使用ip代理抓取网页
  6. litepal更好的操作sqlite3,配置与基本操作
  7. 北京集训②DAY1 Morning
  8. python多进程程序之间交换数据的两种办法--Queue和Pipe
  9. delete和truncate的区别
  10. pageControl设置不居中显示,居左或居右