手机可秒读他人银行卡信息
第10版：北京·民生
| 版面导航 | 标题导航
支付宝+NFC=“读芯术”
手机可秒读他人银行卡信息
&&&&本报记者&杨汛&&&&银行卡内的余额、资金进出记录等信息，对于我们每一个消费者来说都应是秘而不宣的“高度机密”。可是，如果一台手机只需安装普通的软件应用，无需任何门槛就能瞬间读取任何一张银行卡的这些信息，您还感觉自己的银行卡是安全的吗？&&&&这并不是危言耸听。记者调查发现，用手机的NFC（近场支付）功能结合支付宝软件，非常简单就能让手机拥有这样的“读芯术”。即便是支付宝方面称银行卡的安全可以得到保障，这一情况依然让很多消费者忧心忡忡。&&&&现象&&&&银行卡公交卡两秒钟通读&&&&“我只是无意中将银行卡放在手机背面，结果手机居然读出了银行卡的卡号和最近10次的交易记录！”这个偶然之中的发现，让消费者李妍惊诧不已。&&&&李妍的说法是否属实？记者就此进行了调查。打开手机上的支付宝软件，李妍掏出一张工商银行的芯片银行卡，贴到手机的背面。短短两秒钟之后，手机屏幕上立即显示出这张卡片的具体信息，其中包括是哪一家银行发出的卡，卡的使用次数，还可以查看最近10笔交易记录。&&&&“6月20日，账户转账20000元；7月2日，提款1400元……”一笔一笔核对完这些交易记录，李妍的脸色都有些变了：“完全没错，就是我这张卡最近10笔资金变化的记录。”&&&&更加让人意外的是，手机这种“读芯术”还不仅仅只针对消费者本人的银行卡。李妍换了一张朋友的芯片银行卡，同样在一瞬间就刷出了卡片信息。&&&&如果换一个卡种呢？记者随即掏出一张北京公交一卡通，贴到手机背面，也只是短短两秒钟，手机屏幕上同样立即显示出卡片信息：北京市政交通卡，包括卡号、卡内资金余额、近期使用次数等信息均一一在列。&&&&记者调查发现，要刷出银行卡的信息，必须满足三个条件。首先，手机要具备并开通NFC（近场支付）功能，这种近距离无线通讯技术是一种非接触式识别和互联技术，可以在移动设备和电子芯片之间进行近距离无线通信。此外，刷的银行卡必须是带有芯片的金融IC卡，手机上还必须安装有支付宝软件。&&&&详细分析下来，这三个条件都并非难事。手机安装支付宝软件，只需要有无线网络支持便可以随时下载安装；多家银行均可以新办或者更换IC芯片卡。至于具备NFC功能的手机也不在少数，包括三星Note3、S5等目前主流的手机均具备这一功能。&&&&追问&&&&“快捷支付”能盗刷资金？&&&&如果支付宝软件仅仅只是显示银行卡的一些信息，或许还不至于让李妍如此不安。在刷卡之后，手机屏幕上还多出几个选项，包括“开通快捷支付”、“转账到该卡”等，这意味着通过手机可以对这张银行卡进行进一步的操作。&&&&看着这些选项，李妍心里更虚了：“万一谁拿着我的银行卡，直接在手机上一刷，再悄悄开通快捷支付，岂不是可以轻松盗刷我卡里的资金？”&&&&在多个手机论坛以及微博等平台上，不少发现了这一秘密的消费者纷纷表达着担忧的声音：“这是一个让人不安的功能，试想，别人开着支付宝NFC功能，悄悄把手机贴近你的银行卡……”“也有可能某个人开着这个功能，在公交或地铁里贴近别人的钱包，别人银行卡里的信息不就全都泄露了？”&&&&不仅是网友，公安部治安管理局的官方微博“公安部打四黑除四害”近期也连续发出针对这一现象的消费提醒。微博中明确表示，经多方实验，手机确实能够通过NFC功能读取芯片银行卡的相关消费记录。&&&&回应&&&&“读芯”功能对内不对外&&&&既然这种“读芯术”如此简单易操作，会不会被心怀不轨的人利用，对消费者银行卡账户的安全构成威胁？消费者的担忧有没有道理？带着这些问题，昨日记者立即采访支付宝客服人员，请他们做出回应。&&&&“支付宝只是显示一下银行卡中的信息，NFC功能终究还是需要手机支持的。”支付宝客服人员解释称，读取银行卡信息的主体是手机NFC功能，只要是能够对接这个功能的软件，都能显示银行卡信息，软件并不仅仅局限于支付宝一种。“但是，如果您不需要读取银行卡信息，也可以关闭手机的NFC功能。”&&&&但这一回复并不能完全回应消费者的疑虑。如果能够在读取卡片信息之后，随意开通“快捷支付”功能，能否意味着银行卡能够绑定到任何支付宝账户上随意花钱？&&&&“绑定快捷支付是有前提的，必须要求支付宝的账户姓名和银行卡持有人姓名一致，才能绑定。就是说，您的名字是绑定不了他人的银行卡的。”支付宝客服人员表示，银行账户的密码等核心信息也不会被读取。&&&&与此同时，NFC功能虽然可以显示银行卡的部分信息，但是在操作中是“对内不对外”，银行卡不能向外转账，只能通过部分金融应用向卡内转账。如果按照这一说法，网友确实不必担心“银行卡被悄悄读取后盗用，再消费”的情况发生。&&&&支付宝客服人员还透露，NFC功能有严格的距离要求，银行卡和手机NFC芯片之间的距离不能超过5厘米，而且NFC功能无法穿透金属物。“哪怕卡不会被轻易盗刷，我也很难接受自己的银行卡交易记录有可能随时被读取，这种被窥探的感觉太不好了。”李妍说，NFC功能无法穿透金属物在日常生活中也很难实现。“毕竟我不能用一个金属壳包裹住所有的银行卡吧？”&&&&支招&&&&如何避开手机“读芯术”？&&&&（1）不少手机在购买后，NFC功能就是默认打开的，消费者在使用手机时，最好在第一时间关闭NFC功能，避免消费信息隐私暴露。&&&&（2）被读取信息，别担心资金盗刷。银行卡绑定快捷支付有前提，支付宝的账户姓名必须和银行卡持有人姓名一致，才能绑定。&&&&（3）妥善保管银行卡。NFC功能有严格的距离要求，银行卡和手机NFC芯片之间的距离不能超过5厘米，而且NFC功能无法穿透金属物。
<INPUT type=checkbox value=0 name=titlecheckbox sourceid="SourcePh" style="display:none">
本网站所有内容属北京日报报业集团所有，未经许可不得转载
　技术支持：人次在我爱卡申请信用卡
人次申请贷款 255家 银行和金融机构授权合作
后使用快捷导航没有帐号？
查看: 6305|回复: 4
更换信用卡的联系和短信通知手机号码怎么更换？
阅读权限20
在线时间0 小时
普卡Ⅱ级, 经验值 103, 距离下一级还需 96 经验值
在线时间0 小时
我想请问各位怎么更换建行信用卡的联系方式和短信通知的手机号码? 就是更换手机号码,要怎么样的手续,要怎么更换?请说详细点~
阅读权限110
在线时间2358 小时
在线时间2358 小时
致电客服，转人工就可以的
阅读权限20
在线时间0 小时
在线时间0 小时
回复 #2 Rocky 的帖子
不用说什么问题的答案之类的东西吧 ? 因为我全部都忘记了~
阅读权限150
在线时间1754 小时
在线时间1754 小时
二楼说了。。。。。。。。。。
建行：V 白金85K。
工行：M 标金50K。
浦发：尊尚白49K。
中行：银联白25K。
交行：银联金15K。
广发：臻尚白15K。
农行：标准金17.367K。
用卡准则：理性用卡，坚持提额，但绝不当卡奴！
精减卡片中……
阅读权限40
在线时间132 小时
在线时间132 小时
肯定会问些东西的，改地址一般要问你最近一笔或两笔交易，先打了试试吧
社区人气奖
社区人气奖
热门信用卡中心
热门信用卡申请
Powered by Discuz! X3&
我爱卡客服
&&扫描二维码关注
&&随时咨询办卡等问题提醒｜10086这条短信千万小心！有人回复后“倾家荡产” - 生活经 - 新湖南
提醒｜10086这条短信千万小心！有人回复后“倾家荡产”
&#160;&#160;&#160;&#160;&#160;&#160;[来源:央视新闻]&#160;&#160;&#160;&#160;&#160;&#160; 16:14:24
最近，一篇自述被骗经历的万余字长文，配发一系列截图证据，在网络上广为流传。经过多方联系，记者找到了当事人小许，一名参加工作不久的大学毕业生。由于回复了一条短信，他的支付宝、银行卡以及百度钱包内所有的资金一夜之间被“洗劫一空”。
小许究竟是如何“中招”的?骗子是如何攻破他所有账户的?央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，不可不知、不得不防。
诡异订阅付费服务 回复验证码退订手机竟瘫痪
4月8日傍晚，挤在北京晚高峰的地铁里，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成手机余额不足。
△小许收到的短信截图
小许很纳闷，因为他根本就没有订阅这个服务。紧接着又一条短信接踵而至，内容显示，只要回复“取消+验证码”即可退订该项服务，且3分钟之内退订免费。
当小许正在琢磨“验证码”到底是什么时，手机上又收到了一条来自中国移动客服电话“10086”的短信，内容显示“您的USIM卡验证码为******(六位数字)”。小许并未多想，便编辑了“取消+六位验证码”的短信回复了过去。原以为成功避免了一次手机用户经常碰到的“吸费业务”，但他却惊讶地发现，自己的手机突然显示“无服务”，无论重启多少次都没有响应。
支付宝一夜“归零” 网银账户皆“沦陷”
当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着有人在另一个终端上操作他的支付宝账户。
由于手机无法呼出挂失，情急之下，小许通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。但是，当小许挂失完成后，发现支付宝没钱了，而且还在网银里跨行转账，每张银行卡余额均为零。
更令小许感到恐惧的是，第二天他发现名下的招行、工行两张储蓄卡被人绑定在另一个在线支付平台“百度钱包”上，加上小许原本在“百度钱包”绑定的另一张中国银行卡，三张卡在事发当晚均进行了资金转移操作，并最终通过招行和工行的手机银行，以“短信验证码转账”全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。
一条短信让小许一夜之间变得身无分文。
诈骗分子设“连环局” 上演“偷天换日”
小许的遭遇不仅让众多网民震惊，也在通信、互联网和银行业内引发了热议。从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时。骗子到底是通过怎样的手段“发起攻击”的?央视记者通过调查复盘了整个骗术过程，这实际上是一个“连环计”。
第一计：破解移动官网密码 “劫持”手机发动攻击
记者登录中国移动北京分公司官方网站，找到了“中广财经半年包”业务。自助订阅后立即扣费，记者收到的短信和小许接收到的内容完全一样，都来自“10086”。明明小许没有订阅，为何会收到订阅短信?根据中国移动的内部查证：4月8日17点54分，有人通过海南海口的一个IP地址，以小许的手机号成功登录了北京移动官方网站，不仅发起了手机报订阅，还在18点13分成功办理了一项名为“自助换卡”的业务。
第二计：发“退订”短信 制造验证码假象
骗子在攻破移动网站的登陆密码后，给小许订阅了“手机报”，并发了所谓“取消+验证码”的退订信息。这么做一是通过手机欠费让受害者产生担心心理;二是制造“退订”时需要“验证码”的假象。
第三计：启动换卡流程 “退订”变“换卡”
套取验证码是本次骗术的关键所在，骗局的核心就是“自助换卡”。
上面提到，骗子在登陆移动官网后还发起了“自助换卡”业务。这是中国移动推出的一项在线服务，用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。
但是，自助换卡时系统会向用户发一个二次确认的验证码，也就是小许收到短信：USIM卡六位验证码XXX。只有把这个验证码再填回系统之后，才会发起后期的换卡工作。也就是说，这个验证码可以直接把之前手机的SIM卡废掉，原来的号码将会转移到另一张SIM卡。这是设局的关键，诈骗分子制造“退订”假象，就是要拿到这张新SIM卡。
而小许收到的这条来自10086系统自动发出的验证码，并未说明用途，也没有对验证码的泄露风险进行安全提示，结果将换卡的验证码误以为是退订用的回复给了骗子。小许认为，普通人没有接触过这方面信息的时候，是不知道验证码是有什么用处的。骗子正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：
对此，移动公司表示，目前不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。
换卡无需“验明正身” 便捷还是隐患?
小许的经历并非个例，不少有着同样遭遇的网友主动与小许联系，讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。
记者体验了“自助换卡”的全部流程，与到营业厅当面办理不同，自助换卡全程都没有核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡，并将卡面上的编号输入网页，这张卡被业内称为“白卡”。
据了解，这种“白卡”和领取人的手机号没有绑定关系，因而领取后可以写入任何手机号，不仅可以免费从官方途径获得，甚至在淘宝等网站上有人公开售卖。这就意味着，攻击者要“劫持”小许的手机卡，只需要以小许的手机号成功登录中国移动网上营业厅，并骗到那个没有任何提示说明的6位验证码，剩下的条件都可以轻易获取，不需要任何身份验证。
“冷门”业务成了诈骗的“后门”
回溯小许的遭遇记者发现，在这场“连环”骗局的几条短信中10086是中国移动统一客服号码、是中国移动手机报号码，令当事人深信不疑。就连此次事件中唯一一条由骗子编造的诈骗短信，也是利用“139邮箱”的一项“发短信”功能发出的。
记者实际操作发现，如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人，接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节，不仅可以对诈骗短信进行伪装，骗取接收者的信任，还可以接收到当事人回复的关键验证码。
因此，139邮箱的“发短信”功能被攻击者所用，成为骗局的重要一环。而这项中国移动已经推出8年的免费功能，很少有人真正了解它的操作细节，使用率也不高。
诈骗分子在劫持小许手机的过程中，自始至终利用的都是中国移动的业务、工具和平台。一些用户眼中的“冷门”业务，成了极易被攻击者“盯上”的充满风险的“后门”。
骗子是如何攻破全部账户的?
攻击者在“劫走”当事人的手机卡后，第三方支付平台、甚至银行的安全验证都被接连突破。这一切是如何做到的?仅靠掌握短信验证码就可以实现吗?
账户接连遭劫 个人信息泄露在先
据工商银行客服介绍，只有取钱密码、银行卡号和手机完全掌握才能在网银上进行操作。这意味着，尽管短信验证码是每一步攻击的关键，但同时还分别需要身份证号和银行卡号。因而可以断定，小许的手机卡被“劫持”之前，他更多的“成套”个人信息已经被攻击者掌握了。
据信息安全专家张耀疆介绍，个人信息已形成地下数据库。这个库里面会有大量的非常完整的个人信息的链条。比如姓名、家庭住址、手机号、银行卡号、银行的密码，其实在网络黑市里都有，而且是别人整理好的，不是零散的。
短信验证码“不能承受之重”
记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现：所有的在线支付都可以用手机号和静态密码登录，百度钱包直接可以用短信验证码登录;“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成;而对于第三方支付最重要的“支付密码”，支付宝也简化到仅凭短信验证码就可以更改。好比所有的鸡蛋都放在一个篮子里，导致了种种问题。
可见，之所以小许的所有账户被“全线攻破”，是因为除了个人信息这把“钥匙”早已泄露外，第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。
如何防范“验证码攻击”?
面对此类针对短信验证码的“精准诈骗”和“组合攻击”，该如何保护自身安全?信息安全专家提示，如果只靠一个简单的静态密码，无法保证安全，下面这四招一定要记住：
招数一：静态密码设置一定要复杂
静态密码首先要足够复杂，并妥善保管防止泄露。其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别，冷静应对。
招数二：遭遇“干扰信息”仔细甄别莫慌张
攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份的手机短信和来电进行认真甄别，冷静应对。
招数三：手机离奇“瘫痪” 紧急“挂失”当先
如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于"信息孤岛"时，冒名顶替机主身份窃取账户。
招数四：最重要的是：短信验证码不要告诉任何人!
电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。
从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。
[责编:朱玉文]新湖南新闻，未经授权不得转载只需一步，快速开始
查看: 3462 | 回复: 6
三门峡移动短信通知我的手机卡版本太低，免费换新卡，手机号不变。我就到移动大厅换新卡，谁知道换新卡的人不少，但有专人操作，换起来也很快，连身份证都不用，只要输入手机号，按短信回复的验证码打入，就激活新卡，而且复制了原来卡上的通讯录。老卡上的信息还可查看。我对工作人员的服务态度很满意，在此送给他们一个赞！
帖子永久地址：&<button type="submit" class="pn" onclick="setCopy('三门峡移动短信通知我的手机卡版本太低，免费换新卡，手机号不变。\n/thread--1.html', '帖子地址已经复制到剪贴板您可以用快捷键 Ctrl + V 粘贴到 QQ、MSN 里。')">推荐给好友灵宝生活网 - 论坛版权1、本主题所有言论和图片纯属会员个人意见，与立场无关
2、本站所有主题由该帖子作者发表，该帖子作者与享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体，但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题，请立即告知本站，本站将及时予与删除并致以最深的歉意
7、管理员和版主有权不事先通知发贴者而删除本文
新卡是4G的 流量很费&&他们是想促进消费&&昨天晚上我点开一个歌曲21M流量阔没了&&怕怕
世界上那有免费的午餐，移动公司天天给我发短信让我换4G卡，我都没有换。
新卡是4G的 流量很费&&他们是想促进消费&&昨天晚上我点开一个歌曲21M流量阔没了&&怕怕
难怪他们很热情，原来促销费是最终目的。
世界上那有免费的午餐，移动公司天天给我发短信让我换4G卡，我都没有换。
“世界上没有免费的午餐”——这是真理啊！
珍惜手中的3G卡，过二年更值钱。
珍惜手中的3G卡，过二年更值钱。
我儿子的联通手机卡是日入网的，现在要办4G卡，还要作手机卡身份认证。
微信扫一扫&#160;转发朋友圈
Powered by}