百科问答小站 logo
百科问答小站 font logo



如何看待日本电子支付连发盗刷事件?日本电子支付行业形势怎么样? 第1页

  

user avatar   phantasmhorus 网友的相关建议: 
      

“如果输入账号后尝试多次错误密码会被锁定,那么我输入固定的密码之后尝试多个账号可以吗?”

“嗯!?竟然可以”


盗刷事件背后是日本各类银行在安全性上的脆弱性。本质上和docomo,以及任何在线支付都没有关系。很多答主都没有提到的最重要的情况是,各类地方银行在进行一个类似支付宝快捷支付的授权时,根本不会有短信认证或者专门的登录密码之类的方式来认证,只会有上图所示的一个很单纯的验证:账户+密码,密码错3回就被锁,但是反过来锁定密码,反复测试账号竟然没有一点问题。你可以用同一个密码无限试所有账号,然后反复刷,最终达到突破授权的地步。

因此,这一场大型好戏一开始只是docomo账户炸裂,但后来不法分子发现其他的类似服务只要本人确认足够松,就可以如法炮制。这就让一段时间后paypay和line pay等服务也遭受了类似打击。现在paypay上直接显示不能用邮储充值,且不能添加三菱的账户。

简单还原一下流程:

注册仅需要一个邮箱就可以登录的docomo账户,登录docomo的支付服务d-barai,添加绑定银行,输入固定的密码例如1234以及无限尝试的银行支店数字&仅有7位的银行账号,然后就可以无限尝试直到中奖为止。

去年711暴雷就是因为账户密码尝试无限,并且不需要验证码,这次稍微好了一点,但是思路变了一下就好了。

日本的电子支付业务其实很早就有发展,笔者也时对此极其有兴趣的一人。

之前也总结过2019年7月时点的五现金支付情况,今年的暂时还没去更新,等下次有什么动力吧。

但是一句话总结日本电子支付的话,其实还是比较顺利的。以paypay为首的前排军正在继续以大量的优惠活动吸引人入坑,强度比花呗还强。毕竟动不动10%~20%的还原还是很有吸引力的。但唯一的弱点就在于,日本银行,尤其是那些不入流的小地方银行,他们的系统设计时根本就没有考虑这类IT的多元化安全认证。脑子正常的银行都会支持各种双重验证,或者手机app的密码令牌。而本次暴雷的中心77银行等这种根本就不需要。

因此为了回避这类受灾,我的建议是:不要再用地方银行,还有邮储银行这种假银行,大家一起用三井和三菱吧。

例如我现在用paypay追加711银行,就会是这样的。不仅要账户和登陆密码,还要一张安全卡上的对应位置数字才可以给授权。


user avatar   yang-leonier 网友的相关建议: 
      

记得这事件出来都至少两个星期了。

这个事情是这样的,Docomo搞了个“Docomo账户”服务,类似中国的支付宝/微信支付的快捷支付一样,是将Docomo账户绑定用户的银行账户,以实现即时结算的线上支付。

但是又出现了一个问题。“Docomo账户”绑定银行卡的流程存在漏洞。日本银行业没有一个统一管理快捷支付的机构,“Docomo账户”绑定银行卡时,对于银行账户户主的身份确认是交给各银行方自己来处理的。

这次遭到盗刷的那些地方银行,七十七银行、中国银行(不是中国的中国银行在日本的分公司,是日本冈山县的一家地方银行,中国银行在日本的分行多半都会注片假名バンク・オブ・チャイナ以便与之区分)、东邦银行、大垣共立银行、滋贺银行、鸟取银行等,在银行卡绑定“Docomo账户”时的身份验证过于简单,甚至连邮件/短信验证都没有,只需要户主姓名、账号和取款密码等基本信息即可。

最终,黑客新注册Docomo账户(注意,注册Docomo账户不需要用户是Docomo的手机用户),通过社工库里的户名、银行账号、取款密码信息,就能绑定这些不属于自己的银行账户,以达到盗刷的目的。

Docomo账户本身具有双因子认证、账户锁定等风控和安全功能,但如果银行一方对绑定银行卡的流程存在漏洞,这些功能就形同虚设。受害者甚至根本不需要使用过Docomo的任何服务,只要其银行卡信息在社工库里面有,就会莫名其妙地遭到盗刷。

大银行可以玩得起现代化的多因子验证手段,比如三菱东京UFJ的网银登录需要使用独立的用户名和密码,同时有和风控绑定的邮件验证码验证,支付时必须使用随机密码器,但也许这些被盗刷的地方银行还没有习惯这种全面IT化的金融体系。

当然这次盗刷事件的核心,还是用户银行账户信息包括取款密码的泄露。在日本,个人银行账号本身是容易泄露的,在很多没有接入第三方支付的平台上,所有用户都是直接转账或者通过第一方的在线支付来交易,这个过程中,用户的户名(片假名)、银行账号(日本除了邮储银行之外,银行账号是银行代码-支行代码-账户号的形式),收款方一定能看到。日本银行卡的取款密码只有四位数字,去ATM取钱的时候,本身已经是双因子认证了(银行卡本身+取款密码),但是,如果这个四位数字的取款密码作为网上交易的唯一凭据,那么其本身的安全性就成问题。虽然一般银行都规定不能用户主的生日作为密码,但是如果社工库里面有户主的其他个人信息或其亲属的个人信息,就完全可能瞎猫碰到死耗子,碰中这四位数字。不知道以往有没有地方还有用取款密码验证的,如果那些地方发生了信息泄露,也会导致这次这样的后果。

参考资料:




  

相关话题

  目前是马上要毕业的在日大4学生 想在日本考大学院请问想继续留下来1年备考的话有没有什么好办法? 
  侵华战争期间,日本为何不沿用秦隋元之战略,采用大纵深大迂回的战略灭中国? 
  日本人经常YY日本沉没,为何同为岛国的英国人没有这种意识? 
  日本的农副产品价格到底贵不贵? 
  日本为什么不能像清兵入关那样横扫中国? 
  日本PC市场的现状会对日本的未来造成什么影响? 
  如何看待日本 2020 年出生人口 84.8 万?降至历史最低? 
  如何评价大阪因旧金山接收民间团体捐赠的慰安妇雕像与其解除友好城市关系? 
  日本的学部出愿忘记填学科了会不会直接被刷呀? 
  川端康成的《雪国》表达的主题是什么? 

前一个讨论
如何看待米哈游《原神》移动版公测拒绝上架主流安卓应用商店?
下一个讨论
如何看待我国 2020 年研究生在学人数预计突破 300 万?





© 2024-12-18 - tinynew.org. All Rights Reserved.
© 2024-12-18 - tinynew.org. 保留所有权利