520 ابعد مسافة ليست هي العالم أقف أمامكم، كنت لا تعطي الحزم الحمراء بالنسبة لي، ولكن كنت تأخذ سنتوريون بطاقة الذهب الأسود، وأخذت شهر تكافح التوازن بين الإيجابية والسلبية بطاقة مصرفية.

كيف يمكن لبطاقة البنك؟ الذي لديه أليس كذلك؟

هناك الآن قادرة على التعامل مع الحسابات البعيدة.

ليس فقط هو بطاقة مصرفية، وبطاقات الهاتف، بطاقات الضمان الاجتماعي، وما يمكن أيضا أن تعالج بعد.

أوه، حتى لو كان التوازن لديه قصة طويلة، لا يزال الناس تتطلع بطاقتي المصرفية، ولكن يد سوداء وراء الهدف ليس مجرد هذه "البطاقة المصرفية".

اليوم، لى فنغ، رئيس تحرير وآلاف الأميال تشاو بانغ بانغ الأمن وتجاذب اطراف الحديث كبار مستشارا أمنيا، سر وراء الحيل ناحية اللعب سوداء في عملية لكيفية فتح حساب في جهاز التحكم عن بعد، ما الغرض منها ونعم.

القطاع المالي حزينة

حسابات البطاقات المصرفية، على سبيل المثال.

بطاقة الخصم البنك قائلا الآن تنقسم أساسا إلى ثلاث فئات: بطاقة واحدة، نوعين من البطاقات، وثلاث بطاقات.

1. عدد الأسهم المملوكة مختلفة

وهناك نوع من بطاقة مصرفية يمكن أن يكون واحد فقط؛

بطاقة II، III لا يحد.

2. حدود التداول المختلفة

وهناك نوع من بطاقة لا يحد.

اكتب بطاقة II حساب غير ملزم لتحويل الأموال، إيداع نقدي إجمالي الحد الكلي من 1 مليون يوان، أي ما مجموعه 200،000 $ الحد الكلي وهلم جرا.

ثلاثة رصيد البطاقة ليست أكثر من 1000 يوان، أموال حساب غير ملزمة نقله إلى تاريخ الحد الكلي من 5000 يوان، والحد الكلي السنوي 100000 $ وهلم جرا.

في عمل البنك، يجب على المستخدم بطاقة واحدة فتح حساب لمشهد الحسابات المصرفية، ولكن اثنين، ثلاثة أنواع من البطاقات يمكن فتح حساب عن بعد.

شرط مركزي عن بعد لفتح حساب: أثبت أنني لدي لإثبات I كان قانونيا.

خطوات محددة، أولا من خلال الهاتف وبطاقة المقابلة رمز التحقق من خلال الطبقة الأولى، ومن ثم تحميل الجزء الأمامي والخلفي من معلومات بطاقة الهوية، من خلال التحقق من التعرف على الوجه، تليها حساب بطاقة مصرفية جمعية الدرجة، وأخيرا، في ملء المعلومات الشخصية، مثل التوقيعات الإلكترونية لإكمال فتح حساب.

[المصدر: CCTV أخبار]

ويبدو أن هذه الخطوات البسيطة جدا، ولكن أيضا إلى حد كبير في توفير الوقت الذهاب إلى موقع البنك بطاقة نافذة مفتوحة، ولكن هناك العديد من المخاطر الأمنية، قد تسبب عدة أنواع من النتائج المباشرة:

1. عندما تشارك البنوك في الأنشطة، دفعة فتح بطاقة وجمع الصوف، والنقدية في.

2. استخدام طرف ثالث منصة الدفع الضعف، مع حسابات خاطئة لسرقة المال.

3. بعض الاتجار بالبشر لإنتاج السوداء معلومات الحساب كاذبة، لا لنفسك روايات كاذبة، وبيع المعلومات لجعل حسابات خاطئة من إنتاج السوداء، لتحقيق "حلقة مغلقة مثالية".

4. تنفيذ الاحتيال النشاط غير المشروع وغسل الأموال من خلال معلومات الحساب كاذبة.

في كلمة واحدة، قاو تشيان، تفعل أشياء سيئة.

تنتج الأسود N خدعة

ونحن نلقي نظرة على الحيل إنتاج السوداء:

أول واحد، التضليل.

يريد المهاجم لاستخدام معلومات الهوية لشخص آخر سجلت، ولكن ليس على يد شخص آخر بطاقة الهاتف، وليس رمز، وكيف نفعل؟ وفكرت في هذه الخطوة - نظام غير الاسم الحقيقي على الخاص رقم الهاتف المحمول الخاص بك لتلقي الرسائل النصية على رقم قطعة 170، من خلال العقبة الأولى.

ومع ذلك، فإن السؤال هو، رقم الهاتف 170 ليست في الحقيقة شخص رقم هاتف آخر، هو كيفية تدبر أمرها من خلال؟

واتضح أن البيانات النهائية المقدمة هو رقم هاتف غير قانوني، تحقق من أن الخادم يكون من الخطأ، ولكن المهاجم لتقديم التحقق من البيانات وخطف رقم هاتف شخص آخر إلى رقم هاتف حقيقي.

المقياس الثاني، دفع قطع هو جين تاو قبالة.

مهاجم تحميل صور وهمية، والهاتف كاذبة رموز التحقق، على الرغم من أن هذه رابط التحقق تفشل، ولكن عندما يتم إرجاع النتائج النهائية وراء الكواليس، التلاعب بالنتائج، لأن هذه المعلومات ليست مرتبطة عدة المصادقة موحدة، والخادم ان "نتائج" ثم " تعتبر البرنامج "، أمام سلسلة من الشهادات من قبل.

التدبير الثالث، صحيح من خطأ؟

عندما رفع المهاجم إلى خادم لفتح حساب مع المعلومات الحقيقية، معلومات حقيقية لفتح حساب، الملقم لا يصدر رسالة واضحة، بإرجاع البيانات للسماح الحساب العادي، هل حقا يعتقد انه كان على وشك إصدار البطاقة؟ حدد المقدمة مرة أخرى، لأن هوية العميل قد أقر به، سيقوم الملقم قبول المتابعة بعد يرسل العميل خطأ عزز المهاجم ظهر الخادم في مجال التحقق حزمة فشل، وخدمة التحقق من جانب العميل للحصول على نتيجة فشل البيانات، ثم يقدم مهاجم معلومات كاذبة عن طريق يمكن تحقيق ذلك باستخدام معلومات كاذبة كاذبة لفتح حساب العبث.

وتأتي هذه الخطوة الرابع، الحصول على عملاء.

المهاجم المباشر إلى رمز المصدر العميل الكراك، تزوير البيانات العملية التجارية، لتحقيق روايات كاذبة.

السكتات الدماغية الخامسة، اعتماد تدابير تدريجية.

نظرا لنظام بطاقة الهوية العيب وبعض نظام التعرف على الوجه، ويمكن للمهاجم توليد بطاقة الهوية، والتحقق منها الصور PS.

أدلة المشغلين وجدت

المهاجم "وإذ" هو وسيلة بطاقة خفض البنك كثيرا، ومشغلي هاه ليست غامضة.

وقال تشاو ان آلاف الأميال، وقنوات الناقل، بما في ذلك يمكن للمشغلين افتراضية فتح بطاقة عن بعد من خلال نظام الاسم الحقيقي، بطاقة خاصة لفتح الجهاز. في الرصد، ووجد أن العاملين في الاسم الحقيقي لفتح بطاقة، خادم يعرض معلومات غير طبيعية بطاقة مفتوحة، ومشغل للعرض نظام نقاط البيع، جهاز كاذبة، موقع كاذبة وزائفة العميل بطاقات الهوية.

كيف المهاجمين يتعرض؟

على سبيل المثال، فتح بطاقة قصيرة جدا فاصل زمني، لثواني عشر.

وتوجد آثار سجل حركة المرور، ووجد الباحثون الأمن، والبيانات مفقود بعض الحقل العادي للهواتف النقالة، مثل معلومات عن هوية الجهاز، IMEI، معلومات نظام التشغيل، واندروز ID، الخ، والتي يمكن أن يحكم أن تكون مفتوحة بطاقة المضاهاة.

A الموظفين الأرض، ولكن في كثير من الأحيان في B فتح البطاقات.

أطلق المهاجمون "التصيد" عملية باولو، لأنها توفر أول المعلومات الشخصية الحقيقية، واستخدام هذه المعلومات الشخصية لتحقيق إنتاج بطاقات هوية مزورة، ومن ثم استخدام الهجوم إطار محاكاة، والعملاء الكراك، والوصول إلى البيانات الذاكرة، أو استخدام الاتصالات بروتوكول دفعة للبيانات العبث. عندما تكون هذه البيانات إلى الخادم، والخادم عادة ما تقبل كل شيء، N همية حسابات خارج.

عدة احتياطات التحركات

اكتشاف الشبكة لى فنغ، لتحديد عميل حسنا، ربما فقط تبحث عن كائن معقد.

أولا، يجب أن ندرس شخصية الكائن نفسه - محطة آمنة وموثوق بها.

الثانية، وقال انه تتعلق بالسكان ومنها ما - ما إذا كانت البيئة فيها محطة يمكن الوثوق بها؟

وقال تشاو ان آلاف الأميال، ليتم الكشف خلال العملية، لمنع حقن الحيوية. منع ذاكرة العبث مع البيانات، وتحديد ما إذا كان هناك إطار محاكاة هجمات، ما إذا كان اعتراض وكيل وبيئة التشغيل.

بيانات التشغيل التاريخية من خلال تحديد ما إذا كانت البيئة التي تعمل ضمن نطاق معقول، مثل ما إذا كان هناك تزوير الجغرافي، ولكن أيضا لمنع رمز من يتم decompiled، يتعرض المنطق، ولكن أيضا لتحديد المخاطر الأمنية التي توجد في الأعمال التجارية من خلال وسائل الاختراق الاختبار وإصلاح في الوقت المناسب.

على سبيل المثال، وقال انه قد واجه مثل هذه الحالة - تم اكتشاف منطق الأعمال التطبيقات الأجهزة الأعمال.

"المبلغ الذي يمكن إخراج الدولار إلى 9999، بجانب ملقم واحد، الخلفية الخاصة بك لا يتحقق التي ارسلتها لي المال. إذا كان السعر العادي من هذا المنتج هو 98 يوان، طالما قدمت البيانات الأساسية، لا يتحقق مقدار مرة أخرى سوف يتم شحنها مباشرة لكم ". وقالت ترينيداد شبكة لى تشاو فنغ.

هل تعتقد أن المهاجم محاولة لتغيير الدولار المدفوعات؟

لا! لا تعطيك دولار.

في الشوط الثاني المهاجم التطبيقات، وجدنا العميل واجهة إلى الخادم، ثم جعل العميل وهمية، معرف تسجيل الدخول، تم تغيير القيمة إلى "-1".

ما هو أيضا إلى أسفل بسبب رجل الدولار؟ ؟ ؟

في الأصل، وكثير من تعريف الحقل، لا تعترف "-1". تعرف أحيانا حقول قاعدة البيانات "- 1" يساوي الحد الأقصى لعدد ومدخلات المهاجم "-1" 9999 القوة المكتسبة.

واضاف "لكن المورد الكهرباء في القيام بهذا التطبيق، أولا وقبل كل شيء لا تنظر في هذه المسألة، لأنها لا تأخذ في الاعتبار المهاجم بعد نهاية الشوط الاول التطبيقات توليد المعاملات يدويا، والنقطة الأساسية هي التي كانت تعتبر في الأصل تتحرك النهاية هو ذات مصداقية، والآن لا يمكن العثور عليه بعد الرسالة، ما عليك القيام به الصكوك التنظيمية وفقا للظروف العميل لا يمكن الاعتماد عليها ". وقال تشاو ترينيداد.