如何看待日本电子支付连发盗刷事件？日本电子支付行业形势怎么样？ 第1页

记得这事件出来都至少两个星期了。

这个事情是这样的，Docomo搞了个“Docomo账户”服务，类似中国的支付宝/微信支付的快捷支付一样，是将Docomo账户绑定用户的银行账户，以实现即时结算的线上支付。

但是又出现了一个问题。“Docomo账户”绑定银行卡的流程存在漏洞。日本银行业没有一个统一管理快捷支付的机构，“Docomo账户”绑定银行卡时，对于银行账户户主的身份确认是交给各银行方自己来处理的。

这次遭到盗刷的那些地方银行，七十七银行、中国银行（不是中国的中国银行在日本的分公司，是日本冈山县的一家地方银行，中国银行在日本的分行多半都会注片假名バンク・オブ・チャイナ以便与之区分）、东邦银行、大垣共立银行、滋贺银行、鸟取银行等，在银行卡绑定“Docomo账户”时的身份验证过于简单，甚至连邮件/短信验证都没有，只需要户主姓名、账号和取款密码等基本信息即可。

最终，黑客新注册Docomo账户（注意，注册Docomo账户不需要用户是Docomo的手机用户），通过社工库里的户名、银行账号、取款密码信息，就能绑定这些不属于自己的银行账户，以达到盗刷的目的。

Docomo账户本身具有双因子认证、账户锁定等风控和安全功能，但如果银行一方对绑定银行卡的流程存在漏洞，这些功能就形同虚设。受害者甚至根本不需要使用过Docomo的任何服务，只要其银行卡信息在社工库里面有，就会莫名其妙地遭到盗刷。

大银行可以玩得起现代化的多因子验证手段，比如三菱东京UFJ的网银登录需要使用独立的用户名和密码，同时有和风控绑定的邮件验证码验证，支付时必须使用随机密码器，但也许这些被盗刷的地方银行还没有习惯这种全面IT化的金融体系。

当然这次盗刷事件的核心，还是用户银行账户信息包括取款密码的泄露。在日本，个人银行账号本身是容易泄露的，在很多没有接入第三方支付的平台上，所有用户都是直接转账或者通过第一方的在线支付来交易，这个过程中，用户的户名（片假名）、银行账号（日本除了邮储银行之外，银行账号是银行代码-支行代码-账户号的形式），收款方一定能看到。日本银行卡的取款密码只有四位数字，去ATM取钱的时候，本身已经是双因子认证了（银行卡本身+取款密码），但是，如果这个四位数字的取款密码作为网上交易的唯一凭据，那么其本身的安全性就成问题。虽然一般银行都规定不能用户主的生日作为密码，但是如果社工库里面有户主的其他个人信息或其亲属的个人信息，就完全可能瞎猫碰到死耗子，碰中这四位数字。不知道以往有没有地方还有用取款密码验证的，如果那些地方发生了信息泄露，也会导致这次这样的后果。

参考资料：