安全快讯16 | 90亿信用卡曝漏洞,黑客无需密码即可盗刷

阅读量279576

发布时间 : 2020-09-10 20:00:46

 

诈骗先知

“出租收款码”能躺赚?你可能违法犯罪了!

最近流行一种叫“出租收款码”的赚钱方式,只需要简单地按照对方要求输入收款金额,然后将收款码截图发送给对方,就能按照收款金额拿到一定比例的佣金,更有甚者还发展“下线”一起赚钱,不知不觉中成了诈骗分子的“帮凶”。

(出租二维码交易截图)

这种手法通常是赌博、色情、诈骗等黑色产业的不法分子利用普通用户账户,分批分量地运作,将赃款洗白的一种新型洗钱犯罪方式。

天上掉馅饼?不存在的!你出借的收款码,可能会被不法分子利用,参与了一种新型的“洗钱”犯罪!

图片来自网络

在这条洗钱路径中,赌博网站通过中介平台和代理商将赌博用户充值的赃款下发给“出租收款码”的用户。这部分用户在扣取自己的收益后将剩下的钱再通过代理商返还给中介平台。中介平台和代理商收取各自的利益后再将钱打给赌博网站。非法赌博网站数以亿计的赃款,通过这些私人账户分批分量地运作,最终将钱赃款漂白,并且由于洗钱路径隐蔽分散,也加大了警方的侦查难度。

安全课堂

对于“出租收款码”这样的新型洗钱套路,大家一定要提高警惕,不然轻则微信被封,重则间接参与违法犯罪,不要沦为诈骗分子的“帮凶”。

 

行业动态

超8成网友每周接到骚扰电话,工信部拟建立谢绝来电平台

工信部近日就《通信短信息和语音呼叫服务管理规定(征求意见稿)》公开征求意见,根据征求意见稿,工信部组织建立全国统一的“谢绝来电”平台,引导相关组织或个人尊重用户意愿规范拨打商业性电话。

未经同意视为拒绝,商业短信不可随意发

一直以来,一些机构、个人以商业推销之名频繁发送短信、拨打电话,给人们生活带来不小的困扰。如何规范和管理商业性短信、电话备受关注。

征求意见稿明确提出,任何组织或个人未经用户同意或者请求,或者用户明确表示拒绝的,不得向其发送商业性短信息或拨打商业性电话。其中特别强调,用户未明确同意的,视为拒绝。用户同意后又明确表示拒绝接收的,应当停止。

建立“谢绝来电”平台,加强源头治理

近年来,运营商在提升技术防范能力方面持续发力,建立包含终端风险提示、网络行为发现等在内的安全防控体系,能够实现对一些异常话务的自动识别。但随着垃圾短信和骚扰电话的隐蔽性加强,借助一些平台随意改号等现象频繁发生,给溯源带来困扰。

“不得擅自变更、隐藏、冒用电信网码号”“不得擅自转让或者出租电信网码号”……征求意见稿聚焦码号资源等源头端,对垃圾短信、骚扰电话严格治理。

 

国际前沿

90亿信用卡曝出协议漏洞,黑客无需密码即可盗刷

每次我们使用信用卡/借记卡付款时,收款机都会使用EMV通信协议来处理付款。该协议由Europay、Mastercard和Visa等公司开发,目前在全球超过90亿张卡中使用。最近,来自苏黎世联邦理工学院计算机科学系的3名研究人员发现了EMV协议中的漏洞,该漏洞使攻击者可以实施中间人攻击(MITM),进行欺诈性交易。

通过一个模型来模拟商家机器、用户卡和银行的真实情况,研究人员找到2个主要漏洞。首先,他们开发了一个Android应用程序概念验证(POC)漏洞,当用于非接触式支付时,攻击者可以在不使用任何PIN码的情况下进行攻击。该攻击能够得手的原因是持卡人验证方法中缺少身份验证和加密技术,攻击者可以根据自己的需要修改设置。

第二个漏洞使攻击者诱使商家认为现场的脱机非接触式交易已成功,攻击者离开后才发现该交易已被拒绝。

综上所述,可以通过直接全局更新终端系统而不是EMV协议本身来修复这2个漏洞。但是,考虑到大约有1.61亿个这样的终端,其中许多位于技术落后的国家,可能需要花费大量时间才能避免此类漏洞被犯罪分子利用。

本文由360手机卫士原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/217148

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360手机卫士
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66