百科问答小站 logo
百科问答小站 font logo



如何看待日本电子支付连发盗刷事件?日本电子支付行业形势怎么样? 第1页

  

user avatar   phantasmhorus 网友的相关建议: 
      

“如果输入账号后尝试多次错误密码会被锁定,那么我输入固定的密码之后尝试多个账号可以吗?”

“嗯!?竟然可以”


盗刷事件背后是日本各类银行在安全性上的脆弱性。本质上和docomo,以及任何在线支付都没有关系。很多答主都没有提到的最重要的情况是,各类地方银行在进行一个类似支付宝快捷支付的授权时,根本不会有短信认证或者专门的登录密码之类的方式来认证,只会有上图所示的一个很单纯的验证:账户+密码,密码错3回就被锁,但是反过来锁定密码,反复测试账号竟然没有一点问题。你可以用同一个密码无限试所有账号,然后反复刷,最终达到突破授权的地步。

因此,这一场大型好戏一开始只是docomo账户炸裂,但后来不法分子发现其他的类似服务只要本人确认足够松,就可以如法炮制。这就让一段时间后paypay和line pay等服务也遭受了类似打击。现在paypay上直接显示不能用邮储充值,且不能添加三菱的账户。

简单还原一下流程:

注册仅需要一个邮箱就可以登录的docomo账户,登录docomo的支付服务d-barai,添加绑定银行,输入固定的密码例如1234以及无限尝试的银行支店数字&仅有7位的银行账号,然后就可以无限尝试直到中奖为止。

去年711暴雷就是因为账户密码尝试无限,并且不需要验证码,这次稍微好了一点,但是思路变了一下就好了。

日本的电子支付业务其实很早就有发展,笔者也时对此极其有兴趣的一人。

之前也总结过2019年7月时点的五现金支付情况,今年的暂时还没去更新,等下次有什么动力吧。

但是一句话总结日本电子支付的话,其实还是比较顺利的。以paypay为首的前排军正在继续以大量的优惠活动吸引人入坑,强度比花呗还强。毕竟动不动10%~20%的还原还是很有吸引力的。但唯一的弱点就在于,日本银行,尤其是那些不入流的小地方银行,他们的系统设计时根本就没有考虑这类IT的多元化安全认证。脑子正常的银行都会支持各种双重验证,或者手机app的密码令牌。而本次暴雷的中心77银行等这种根本就不需要。

因此为了回避这类受灾,我的建议是:不要再用地方银行,还有邮储银行这种假银行,大家一起用三井和三菱吧。

例如我现在用paypay追加711银行,就会是这样的。不仅要账户和登陆密码,还要一张安全卡上的对应位置数字才可以给授权。


user avatar   yang-leonier 网友的相关建议: 
      

记得这事件出来都至少两个星期了。

这个事情是这样的,Docomo搞了个“Docomo账户”服务,类似中国的支付宝/微信支付的快捷支付一样,是将Docomo账户绑定用户的银行账户,以实现即时结算的线上支付。

但是又出现了一个问题。“Docomo账户”绑定银行卡的流程存在漏洞。日本银行业没有一个统一管理快捷支付的机构,“Docomo账户”绑定银行卡时,对于银行账户户主的身份确认是交给各银行方自己来处理的。

这次遭到盗刷的那些地方银行,七十七银行、中国银行(不是中国的中国银行在日本的分公司,是日本冈山县的一家地方银行,中国银行在日本的分行多半都会注片假名バンク・オブ・チャイナ以便与之区分)、东邦银行、大垣共立银行、滋贺银行、鸟取银行等,在银行卡绑定“Docomo账户”时的身份验证过于简单,甚至连邮件/短信验证都没有,只需要户主姓名、账号和取款密码等基本信息即可。

最终,黑客新注册Docomo账户(注意,注册Docomo账户不需要用户是Docomo的手机用户),通过社工库里的户名、银行账号、取款密码信息,就能绑定这些不属于自己的银行账户,以达到盗刷的目的。

Docomo账户本身具有双因子认证、账户锁定等风控和安全功能,但如果银行一方对绑定银行卡的流程存在漏洞,这些功能就形同虚设。受害者甚至根本不需要使用过Docomo的任何服务,只要其银行卡信息在社工库里面有,就会莫名其妙地遭到盗刷。

大银行可以玩得起现代化的多因子验证手段,比如三菱东京UFJ的网银登录需要使用独立的用户名和密码,同时有和风控绑定的邮件验证码验证,支付时必须使用随机密码器,但也许这些被盗刷的地方银行还没有习惯这种全面IT化的金融体系。

当然这次盗刷事件的核心,还是用户银行账户信息包括取款密码的泄露。在日本,个人银行账号本身是容易泄露的,在很多没有接入第三方支付的平台上,所有用户都是直接转账或者通过第一方的在线支付来交易,这个过程中,用户的户名(片假名)、银行账号(日本除了邮储银行之外,银行账号是银行代码-支行代码-账户号的形式),收款方一定能看到。日本银行卡的取款密码只有四位数字,去ATM取钱的时候,本身已经是双因子认证了(银行卡本身+取款密码),但是,如果这个四位数字的取款密码作为网上交易的唯一凭据,那么其本身的安全性就成问题。虽然一般银行都规定不能用户主的生日作为密码,但是如果社工库里面有户主的其他个人信息或其亲属的个人信息,就完全可能瞎猫碰到死耗子,碰中这四位数字。不知道以往有没有地方还有用取款密码验证的,如果那些地方发生了信息泄露,也会导致这次这样的后果。

参考资料:




  

相关话题

  大家是怎么看待大连日本风情街的?和看待苏州广东的日本街有什么不同? 
  日本中古店买大型家具会有工作人员帮忙搬进家吗? 
  如果国际形势变动,我们大概会怎么处理日本? 
  同学逛某站,看番,天天和我吹日本有多好多好,我该怎么看待并反驳? 
  小田原之战后把德川家康转封到哪里是最优解? 
  二战时期日本占领东南亚各个国家,有没有找个类似卢沟桥事件的借口? 
  八年抗战时,中国有密码学家去破解日本加密的电报? 有没有攻破purple machine? 
  有没有以学霸为主题的漫画(或动画)?(PS:一开始就是学霸,不是逆袭那种)? 
  我总觉得历史总是在进步的,那为什么战国最后的获胜者是一个守旧的家康,而不是另一个推崇革新进步的信长? 
  日本普通民众究竟是怎么看待南京大屠杀的? 

前一个讨论
如何看待米哈游《原神》移动版公测拒绝上架主流安卓应用商店?
下一个讨论
如何看待我国 2020 年研究生在学人数预计突破 300 万?





© 2024-11-08 - tinynew.org. All Rights Reserved.
© 2024-11-08 - tinynew.org. 保留所有权利