掃呢頁CODE去手機

2019年2月25日 星期一

【手機洩密】實測SMS飛線成功轉錢 揭支付寶CSL保安漏洞 __,支付寶,

SMS飛線惹驗證碼外洩危機,《蘋果》實測不同電訊商發送電子錢包驗證碼的SMS飛線情況,發現第三方只需獲取客戶簡單的個人資料,即使並非本人,也可啟動SM ...


SMS飛線惹驗證碼外洩危機,《蘋果》實測不同電訊商發送電子錢包驗證碼的SMS飛線情況,發現第三方只需獲取客戶簡單的個人資料,即使並非本人,也可啟動SMS飛線服務,尤以CSL的保安程度最低。在熱門的電子錢包中,支付寶及微信支付均失守,會因SMS飛線而被截取驗證碼,其中登入支付寶後,更可更改原有客戶密碼,甚至操控賬戶過數。

相關新聞:【手機洩密】SMS飛線賊偷驗證碼盜婦18萬 金管局監管甩漏



記者:龔蕙芝 李錦欣 攝影:周子惇



去年國泰及環聯等機構接連爆出洩密事故,合共外洩逾千萬個客戶資料,包括姓名、電話號碼、身份證號碼、出生日期及住址等。網絡保安專家曾指外洩資料或被黑客放上Dark Web永久保存。《蘋果》測試SMS「被飛線」情況,發現六大電訊商中,數碼通、中移動、中聯通及香港寬頻,都沒提供SMS飛線服務,只有3香港及CSL提供SMS飛線。

相關新聞:【手機洩密】港人平均3.2個電子錢包 專家教七招自保



記者以第三方手機,致電3香港及CSL的客戶服務熱線,申請SMS飛線。CSL僅需原機主姓名、電話號碼、身份證,及回答一個簡單問題,例如原機主支付電話費形式(現金或銀行轉賬),即獲審核申請。至於3香港,職員會再致電確認,記者至此步驟申請失敗。



在CSL申請成功後,要啟動SMS飛線至其他號碼,第一個方法必須經原機主手機按入快捷鍵啟動;另一方法是登入網上賬戶,惟記者在CSL網站發現,客戶首次登入密碼,全部預設為身份證號碼,由於記者已知原機主身份證號碼,故能輕易進入其網上賬戶,並啟動SMS飛線。



記者隨即測試4個電子錢包的SMS飛線成效,包括支付寶、微信支付、PayMe及八達通。記者輸入原機主CSL手機號碼登入賬戶後,按「忘記密碼」來獲取驗證碼,發現支付寶及微信支付,原機主及記者均能收到SMS飛線來的驗證碼;記者則收不到PayMe驗證碼,而八達通只要求電郵驗證。



輸入驗證碼後,由於微信支付需經原機主手機認證,才能進入賬戶,記者因此失敗;但支付寶只需驗證碼登入,即可更改登入密碼,並奪取原機主賬戶。



至於要在支付寶作金錢交易或轉賬,必須提供機主支付密碼,若忘記密碼需提交文件作證,由於可驗證文件包括原機主手機月結單,記者一早因CSL預設身份證為密碼而成功登入網上賬戶,故能順利提交月結單給支付寶驗證,不足一小時就驗證成功,並更改支付密碼,最後成功轉錢。



《蘋果》測試後發現,假設CSL客戶失去個人基本資料,即姓名、電話號碼和身份證號碼(及回答一個簡單問題),由於CSL網站首次登入密碼預設為身份證號碼,故才能成功啟動SMS飛線;加上支付寶單靠驗證碼,便能奪取原機主賬戶,當黑客再提交CSL月結單給支付寶,便可更改支付密碼,最終成功轉賬盜款。



對於以上漏洞,熟悉互聯網科技的資深工程師趙炳權直言,若機構以客戶的身份證號碼作為賬戶預設密碼,是「最差嘅做法」。他解釋:「密碼分唔同保安層次,最低保安層次係同人嘅個人資料link up(連繫),所以我哋係唔贊成(採用)。」建議用戶不應以此作預設密碼,須盡快更改。



資訊科技界立法會議員莫乃光指有關SMS飛線驗證碼,除了金管局,電子錢包營運商應主動通知電訊商,阻截驗證碼飛線,才可令電訊商在系統更改設定,「電訊商喺飛線上就冇咩責任,因為佢都唔會scan短訊內容,但收到(營運商)通知去改(設定),就已經解決問題。」



《蘋果》向香港電訊查詢,有關CSL會否改善預設身份證為密碼及SMS飛線等問題,發言人指旗下CSL及1010客戶,均有SMS轉存服務,如金融機構或儲值支付工具,有提供不能被轉駁的短訊發送號碼給CSL及1010,將不會透過SMS轉駁短訊。



支付寶香港發言人稱,對存在風險賬戶,風險管理系統會攔截交易,要求用戶完成多重認證或致電客服核實身份,以確保賬戶安全,至今沒有賬戶被盜事件。WeChat Pay HK回應,按金管局最新通知已即時跟進及更新系統,其所有短訊,均不會被轉發至其他手機號碼。



10萬蚊 100人分!

星期一至五晚上10點半

《動腦Q》Let's Q the money!

http://bit.ly/2QW8LcI



你敢爆,我敢獎! 立即WhatsApp《蘋果》24小時爆相爆片熱線致電:63836568





《蘋果》實測發現支付寶和CSL均有漏洞,第三方能成功奪去別人支付寶賬戶轉錢。(設計圖片) 《蘋果》實測發現支付寶和CSL均有漏洞,第三方能成功奪去別人支付寶賬戶轉錢。(設計圖片)
啟動飛線後,第三方手機(右)登入支付寶,可透過截取SMS驗證碼來登入原機主(左)賬戶。(周子惇攝)

啟動飛線後,第三方手機(右)登入支付寶,可透過截取SMS驗證碼來登入原機主(左)賬戶。(周子惇攝)
利用客戶簡單資料,第三方即可奪取賬戶,修改登入及支付密碼,令原機主不能再登入。(周子惇攝)

利用客戶簡單資料,第三方即可奪取賬戶,修改登入及支付密碼,令原機主不能再登入。(周子惇攝)
經測試發現,透過SMS飛線可奪取他人支付寶賬戶,最後成功過賬,取去機主電子錢包的款項。(周子惇攝)

經測試發現,透過SMS飛線可奪取他人支付寶賬戶,最後成功過賬,取去機主電子錢包的款項。(周子惇攝)
趙炳權指電訊商以客戶身份證號碼作登入的預設密碼,反映其保安程度很低,而且是很差的做法,易被黑客有機可乘。(資料圖片)

趙炳權指電訊商以客戶身份證號碼作登入的預設密碼,反映其保安程度很低,而且是很差的做法,易被黑客有機可乘。(資料圖片)
CSL客戶的網上賬戶及留言信箱均以身份證號碼作預設密碼,專家建議用戶更改密碼,保障個人資料安全。(周子惇攝)

CSL客戶的網上賬戶及留言信箱均以身份證號碼作預設密碼,專家建議用戶更改密碼,保障個人資料安全。(周子惇攝)

鍾意就快D Share啦!