V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zerh925
V2EX  ›  信息安全

刚被诈骗了

  •  
  •   zerh925 · 2015-08-17 15:48:35 +08:00 · 4828 次点击
    这是一个创建于 3412 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在工作,突然来个电话,一个糙汉的声音,先生,您刚是不是在我们这里消费了 xxx 元的 Q 币?
    我直接回他,先学好普通话再来诈骗吧。然后就挂了。

    接着看到三条银行短信,大体就是:
    您卡号 xxxx 于 xx 日 xx 点 xx 分工商银行支出(保证金入) xxxx 元。

    平时正常消费的短信是这样:
    您卡号 xxxx 于 xx 日 xx 点 xx 分工商银行支出(消费 /跨行 /信使 /ATM 取款) xxxx 元。

    所以我一看就知道大概就是以前说的那种先把卡里面的钱转到卡内其他金融项目中(钱并没有转出去,不要慌),这个操作银行是会发短信通知的,一般没注意可能就真的因为是留出去了。然后 95588 ,坐席会告诉怎么转出来,然后 81234567 报警。

    原因问了下,是因为手机客户端登陆密码泄露了,但是交易密码没有,所以骗子顶多登陆进去看一下我有多少钱(然后顺便鄙视一下真他妈穷),并没权利进行转账之类的资金流出操作。

    为什么泄露了,我估计是因为早两天去了一个五星酒店,蹭了网,还在蹭网期间登陆了网银。(是该酒店的指定免费 WIFI 哦,不是野路子,所以大酒店在信息安全这一块也不能让人完全放心)

    难道工行的 APP 密码是以明文发送的吗?如果是的话那我当时如果发生了交易,让骗子获取了交易密码,那我岂不是只能哭了?

    我当时也登陆了另外一个银行卡,渣打 Breeze ,渣打的卡不需要任何认证手段,直接登陆进去就可以交易。但是即使是这样,渣打的卡也没有任何损失。

    38 条回复    2015-08-18 10:59:17 +08:00
    justfindu
        1
    justfindu  
       2015-08-17 15:55:23 +08:00
    这个已经不止你一个了 已经很多个了最近
    tabris17
        2
    tabris17  
       2015-08-17 15:59:35 +08:00
    所以我的网银账户里最多只留 3000 块,用于平时在线支付什么的
    loading
        3
    loading  
       2015-08-17 16:07:03 +08:00 via Android
    全程 ss 还是有点用的。至少没那么明显。
    loading
        4
    loading  
       2015-08-17 16:08:11 +08:00 via Android
    手机不装银行的 app ,没开通。也就支付宝装了,因为没有了图形解锁,现在用完就退出。
    Strikeactor
        5
    Strikeactor  
       2015-08-17 16:09:32 +08:00
    公共 WiFi 不开 VPN 你也真敢上。。
    zerh925
        6
    zerh925  
    OP
       2015-08-17 16:15:30 +08:00
    平时在外我都不会随便连 WIFI 的,就算连了也不会进行输入密码等操作。
    但是银行 APP 难道对用户输入不进行加密的吗?
    cxe2v
        7
    cxe2v  
       2015-08-17 16:16:09 +08:00
    还好从来不连免费公共 wifi ,出门都用流量的
    20150517
        8
    20150517  
       2015-08-17 16:17:35 +08:00 via Android
    密码是明文发的?这是银行问题吧
    lonelygo
        9
    lonelygo  
       2015-08-17 16:21:09 +08:00
    还是开个 4G ,实在不放心,找个放心的 VPN ,涉及到财物操作的时候,挂一下。
    免费 wifi 根本不敢用啊
    9hills
        10
    9hills  
       2015-08-17 16:28:03 +08:00
    是这样的,免费 WIFI 出问题不是 wifi 提供人的锅。是因为无密码的 wifi 本身其他人就能嗅探。
    moxuanyuan
        11
    moxuanyuan  
       2015-08-17 16:35:32 +08:00
    @tabris17 平时银行账户不会超过 10 元,钱都投了 P2P ,还有少量在汇添富现金宝里,等要用钱,就转出来,则时到账,很方便的。。。
    mrjoel
        12
    mrjoel  
       2015-08-17 16:36:38 +08:00
    只能说一句 果然是工行 详情百度
    lightening
        13
    lightening  
       2015-08-17 16:40:02 +08:00
    银行 app 连接居然没用 SSL?
    void1900
        14
    void1900  
       2015-08-17 16:42:28 +08:00
    不可能吧 应该有 SSL 吧
    zerh925
        15
    zerh925  
    OP
       2015-08-17 16:54:47 +08:00
    @mrjoel 求关键词 我百度了一些不得要领
    aru
        16
    aru  
       2015-08-17 17:13:17 +08:00
    今天登录工行网银,立刻给我发了条短信:
    您于 8 月 17 日 14:49 登录网上银行,登录编号 56614687 。如非本人操作,转发本短信至 95588 可强制退出,并尽快修改登录密码。 [工商银行]
    zerh925
        17
    zerh925  
    OP
       2015-08-17 17:18:28 +08:00
    @aru 在 APP 里面设置的吗
    kingcos
        18
    kingcos  
       2015-08-17 17:19:01 +08:00 via Android
    银行卡永远 1 分钱路过。。。
    其余余额宝或者 p2p 。。。
    可是刚才一个不小心多转到信用卡 510 块。。。
    crab
        19
    crab  
       2015-08-17 17:26:18 +08:00
    @lightening 楼主说的工商银行的 APP 是有的。
    aru
        20
    aru  
       2015-08-17 17:28:27 +08:00
    @zerh925 没做任何设置,可能是工行新上的业务
    lightening
        21
    lightening  
       2015-08-17 18:36:59 +08:00
    @crab 那就不能嗅探到密码了啊……应该是有别的途径泄露了密码吧
    zythum
        22
    zythum  
       2015-08-17 19:33:11 +08:00
    说实话。外面的 wifi 少连。不缺那么几块钱流量钱...
    真心提供个免费 wifi 来钓鱼的很多的。
    bing1178
        23
    bing1178  
       2015-08-17 19:38:22 +08:00
    银行如果 有作为的话 使用 HTTPS 是没有问题的
    xx314327475
        24
    xx314327475  
       2015-08-17 19:51:40 +08:00
    @zerh925 是 iPhone 还是安卓?如果是安卓 root 了么?
    zerh925
        25
    zerh925  
    OP
       2015-08-17 19:59:58 +08:00   ❤️ 1
    @xx314327475 iPhone 没越狱
    xx314327475
        26
    xx314327475  
       2015-08-17 20:03:23 +08:00
    @zerh925 已吓尿,以后只用 3g
    002jnm
        27
    002jnm  
       2015-08-17 20:03:51 +08:00 via iPhone
    公共 wifi 记得用自己的 vpn
    a154312237
        28
    a154312237  
       2015-08-17 20:39:55 +08:00 via iPhone
    很放心的想到自己卡里没有钱没有钱没有钱没有钱 T-T
    googlefans
        29
    googlefans  
       2015-08-17 21:18:03 +08:00
    我从不用手机支付。。手机支付最不安全了 就是赤裸裸
    free4537
        30
    free4537  
       2015-08-17 21:53:20 +08:00
    @moxuanyuan 实时到账?请问是哪家的。
    aliuwr
        31
    aliuwr  
       2015-08-17 22:36:00 +08:00
    楼上说用 HTTPS 就没有问题的太天真了。
    以前在 wooyun 还是什么地方看过报告,很多银行 APP 并不校验证书的有效性。
    l12ab
        32
    l12ab  
       2015-08-17 23:04:44 +08:00
    最近这样的事频繁发生在工行上面,所以工行本身或者其产品可能出了问题。
    在外面,关键业务我只用流量
    ljbha007
        33
    ljbha007  
       2015-08-18 00:28:33 +08:00
    @aliuwr 我估计也是中间人攻击
    czb
        34
    czb  
       2015-08-18 00:28:45 +08:00
    @Strikeactor 其实我觉得这是银行的问题多点,银行 APP 理应用正确有效的 HTTPS 来通讯。。
    czb
        35
    czb  
       2015-08-18 00:29:26 +08:00
    @aliuwr 那只是没有正确使用 HTTPS 。
    Strikeactor
        36
    Strikeactor  
       2015-08-18 00:38:01 +08:00
    @czb 责任在银行 APP ,但那玩艺咱们没法控制啊
    还是养成公共 WiFi 全局加密的习惯比较好。。
    zhangwei1996
        37
    zhangwei1996  
       2015-08-18 00:50:19 +08:00
    手机客户端登陆密码泄露。安卓?用公共 WIFI ?呵呵哒。
    xx314327475
        38
    xx314327475  
       2015-08-18 10:59:17 +08:00
    @lightening
    @void1900
    @lightening
    @zerh925

    联合前阵子《流行 iOS 网络通信库 AFNetworking 曝 SSL 漏洞》,我推测恶意人员可以通过此漏洞,利用自颁发证书,欺骗工商 app,获取解密的敏感数据.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1071 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:18 · PVG 03:18 · LAX 11:18 · JFK 14:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.