百科问答小站 logo
百科问答小站 font logo



如何看待日本电子支付连发盗刷事件?日本电子支付行业形势怎么样? 第1页

  

user avatar   phantasmhorus 网友的相关建议: 
      

“如果输入账号后尝试多次错误密码会被锁定,那么我输入固定的密码之后尝试多个账号可以吗?”

“嗯!?竟然可以”


盗刷事件背后是日本各类银行在安全性上的脆弱性。本质上和docomo,以及任何在线支付都没有关系。很多答主都没有提到的最重要的情况是,各类地方银行在进行一个类似支付宝快捷支付的授权时,根本不会有短信认证或者专门的登录密码之类的方式来认证,只会有上图所示的一个很单纯的验证:账户+密码,密码错3回就被锁,但是反过来锁定密码,反复测试账号竟然没有一点问题。你可以用同一个密码无限试所有账号,然后反复刷,最终达到突破授权的地步。

因此,这一场大型好戏一开始只是docomo账户炸裂,但后来不法分子发现其他的类似服务只要本人确认足够松,就可以如法炮制。这就让一段时间后paypay和line pay等服务也遭受了类似打击。现在paypay上直接显示不能用邮储充值,且不能添加三菱的账户。

简单还原一下流程:

注册仅需要一个邮箱就可以登录的docomo账户,登录docomo的支付服务d-barai,添加绑定银行,输入固定的密码例如1234以及无限尝试的银行支店数字&仅有7位的银行账号,然后就可以无限尝试直到中奖为止。

去年711暴雷就是因为账户密码尝试无限,并且不需要验证码,这次稍微好了一点,但是思路变了一下就好了。

日本的电子支付业务其实很早就有发展,笔者也时对此极其有兴趣的一人。

之前也总结过2019年7月时点的五现金支付情况,今年的暂时还没去更新,等下次有什么动力吧。

但是一句话总结日本电子支付的话,其实还是比较顺利的。以paypay为首的前排军正在继续以大量的优惠活动吸引人入坑,强度比花呗还强。毕竟动不动10%~20%的还原还是很有吸引力的。但唯一的弱点就在于,日本银行,尤其是那些不入流的小地方银行,他们的系统设计时根本就没有考虑这类IT的多元化安全认证。脑子正常的银行都会支持各种双重验证,或者手机app的密码令牌。而本次暴雷的中心77银行等这种根本就不需要。

因此为了回避这类受灾,我的建议是:不要再用地方银行,还有邮储银行这种假银行,大家一起用三井和三菱吧。

例如我现在用paypay追加711银行,就会是这样的。不仅要账户和登陆密码,还要一张安全卡上的对应位置数字才可以给授权。


user avatar   yang-leonier 网友的相关建议: 
      

记得这事件出来都至少两个星期了。

这个事情是这样的,Docomo搞了个“Docomo账户”服务,类似中国的支付宝/微信支付的快捷支付一样,是将Docomo账户绑定用户的银行账户,以实现即时结算的线上支付。

但是又出现了一个问题。“Docomo账户”绑定银行卡的流程存在漏洞。日本银行业没有一个统一管理快捷支付的机构,“Docomo账户”绑定银行卡时,对于银行账户户主的身份确认是交给各银行方自己来处理的。

这次遭到盗刷的那些地方银行,七十七银行、中国银行(不是中国的中国银行在日本的分公司,是日本冈山县的一家地方银行,中国银行在日本的分行多半都会注片假名バンク・オブ・チャイナ以便与之区分)、东邦银行、大垣共立银行、滋贺银行、鸟取银行等,在银行卡绑定“Docomo账户”时的身份验证过于简单,甚至连邮件/短信验证都没有,只需要户主姓名、账号和取款密码等基本信息即可。

最终,黑客新注册Docomo账户(注意,注册Docomo账户不需要用户是Docomo的手机用户),通过社工库里的户名、银行账号、取款密码信息,就能绑定这些不属于自己的银行账户,以达到盗刷的目的。

Docomo账户本身具有双因子认证、账户锁定等风控和安全功能,但如果银行一方对绑定银行卡的流程存在漏洞,这些功能就形同虚设。受害者甚至根本不需要使用过Docomo的任何服务,只要其银行卡信息在社工库里面有,就会莫名其妙地遭到盗刷。

大银行可以玩得起现代化的多因子验证手段,比如三菱东京UFJ的网银登录需要使用独立的用户名和密码,同时有和风控绑定的邮件验证码验证,支付时必须使用随机密码器,但也许这些被盗刷的地方银行还没有习惯这种全面IT化的金融体系。

当然这次盗刷事件的核心,还是用户银行账户信息包括取款密码的泄露。在日本,个人银行账号本身是容易泄露的,在很多没有接入第三方支付的平台上,所有用户都是直接转账或者通过第一方的在线支付来交易,这个过程中,用户的户名(片假名)、银行账号(日本除了邮储银行之外,银行账号是银行代码-支行代码-账户号的形式),收款方一定能看到。日本银行卡的取款密码只有四位数字,去ATM取钱的时候,本身已经是双因子认证了(银行卡本身+取款密码),但是,如果这个四位数字的取款密码作为网上交易的唯一凭据,那么其本身的安全性就成问题。虽然一般银行都规定不能用户主的生日作为密码,但是如果社工库里面有户主的其他个人信息或其亲属的个人信息,就完全可能瞎猫碰到死耗子,碰中这四位数字。不知道以往有没有地方还有用取款密码验证的,如果那些地方发生了信息泄露,也会导致这次这样的后果。

参考资料:




  

相关话题

  为什么美国海军飞机会使用旭日旗作为涂鸦? 
  没有日语证书要怎么才能获日本高中录取? 
  如何看待日本品牌POLA公然挂牌禁止中国人入内? 
  日本国民的严谨认真守规矩尊礼数是自古有之还是明治维新之后才有的? 
  日本一出租车司机感染新冠肺炎,这会对日本疫情的发展产生怎样的影响? 
  日本人如何看待横田空域? 
  为什么日本女人总是要强调可爱? 
  「日本人觉得中国人不如黑人」的说法是真的吗?这是全民的观点还是局部人的意见? 
  外国户籍的中国国籍孩子,汉字名的英文拼写是什么? 
  日本人自己搞的动漫,在日本上线播放,有什么规定或者标准吗? 

前一个讨论
如何看待米哈游《原神》移动版公测拒绝上架主流安卓应用商店?
下一个讨论
如何看待我国 2020 年研究生在学人数预计突破 300 万?





© 2024-11-16 - tinynew.org. All Rights Reserved.
© 2024-11-16 - tinynew.org. 保留所有权利