帐号安全提示
即日起穷游网将实行手机绑定实名制，绑定手机后就可以正常使用穷游的写帖、创建行程、点评、足迹、问答等功能。
穷游大洋洲
奇怪的问题，网上支付要短信验证码
奇怪的问题，网上支付要短信验证码
帮老师订Travleloge的房间的时候，用建行龙卡的Master支付，弹出一个建行和Master联合的认证网页，要输入手机短信验证码才能继续……无法支付了，手机没有开通国际漫游。
结果这卡就没法在外国网购了……怎么破？
另外，发现信用卡不合算，很多网站（比如瑞安和Travloge）用信用卡订都要比借记卡贵。算下来比我用电子旅行支票贵多了呀。
让别人帮你在国内开通不就好了。
问了电信，我的手机号码不支持国际漫游。
哦，电信好像是不方便。
联通号码无压力，自动漫游全球。接打电话一分钟一块
是否可以关闭掉信用卡的验证？招行的卡可以在网银中进行“VISA/MASTER验证服务”申请或取消，不知建行如何。
一直觉得这个验证服务没有任何意义，因为其并非植入V/M通道的支付系统中，只是处于应用层面，只有部分商家采用了这个支付接口，对于使用普通V/M支付接口的网站来说，即使卡片开通了这个验证，也起不到任何保护的作用。反过来说，未开通该服务的卡在有验证的支付接口支付，也不会有任何障碍，直接跳过这个步骤了。
相关阅读1/3
奇怪的问题，网上支付要短信验证码
穷游兴趣小组
https://www.baidu.com/s?wd=借记卡开通网银需要手机验证码吗？_百度知道
借记卡开通网银需要手机验证码吗？
我有更好的答案
借记卡开通网银需要手机验证码。在开通网银时，需要一个网银的预留手机号码，到时候会发送验证码需要验证开通网银。
需要的，因为你开通网银还要验证下
有的银行需要。
其他2条回答
为您推荐：
其他类似问题
开通网银的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。光大银行首现惊天漏洞，手机验证码形同虚设
各位看官,如果你是抱着看笑话的心态进来的,认为又是储户自己泄露验证码什么,电脑中毒,手机中毒,银行卡复制什么的而导致的,那么我首先想申明一点,就算是这种情况下,也没办法达到本次事件中最关键性的漏洞点:只能本人在柜台办理的更改签约手机号的业务,但就是在储户没有任何操作的情况下这么简单地被别人直接更改了,而且更为离奇的是,多起事件还是发生在营业网点未上班的时间节点上面.
光大银行网上银行有一个手机动态密码版的专业版网银,手机动态密码还是算安全吧?那么如果储户在自己没有主动泄露,手机没有中毒的情况下,是不会出现利用手机动态密码通过网上银行进行转账操作的对吧?那好,那我们来更高明的一招,我先把你签约的手机号给更改了,那会怎么样呢?什么动态密码完全是浮云了.如果你能破解这一点,那么恭喜你,你可以去光大总部领奖了,因为目前光大没有给我们任何正面答复.引用一句说得好”再安全的锁又怎么样?你把钥匙放在你的肚子里又怎么样?老子直接把你的锁都给你换了!”
&&&&再次申明一点,不是普通的骗取验证码那种,严格上来说,那应该是属于诈骗范畴了.这次是储户在没有任何操作的情况下,直接更改了银行系统中储户的签约手机号码.而要更改这个手机号码,唯一的渠道就是通过柜台,同时必须满足以下条件:本人携带身份证原件,银行卡原件,手机号码进行办理,缺一不可.
事件回顾—惊心动魄
事件回顾于2016于1月4日下午16点49分,当时本人手机收到光大银行95595发来的一条短信,提示我购买了外汇,本来经历了2015年12月23日的光大大面积外汇兑付事件,明白又是骗子在操作,只是把我的钱转成了美金账户而已,但蹊跷的是,经过我那次风波之后,我已经更改了我的网银登录账号和密码,对方怎么又登录了我的手机银行呢?
紧接着,马上又收到了银行的跨行汇款的短信,不是什么验证码,是直接转账多少钱,余额多少,赶紧打开手机银行,本应该是默认保存好了的我的手机号码,却突然变成了另外一个完全不熟悉的号码,心中一惊,赶紧打95595,确实有转账操作,但查不到对方信息,赶紧先冻结银行卡.
本人第一反应,是自己的手机中毒了,光大的手机银行被别人操作了,但也不应该呀,我的手机没有root,而且刚刚恢复了系统,只从魅族官方应用市场安装了几个常见的正常应用.手机杀毒了也没有任何异常.而且在整个过程中,手机就放在自己办公桌上,包括自己,同事都没有接触到手机.
赶紧跑到公安局进行报案,当然,公安局也只是流程似地做个记录.给我回执,从公安局出来已经六点多了,银行也下班了,没办法去柜台查更多信息了.当时打开手机银行,想换回自己的账号登录,却现在自己的账户不能登录了.立即打95595,得知我的签约手机号已经被更改为我当时手机银行显示的那个130的号码了,我说我没有更改过,并且这个号码也不是我本人的,客服也惊讶,称这个只能本人在柜台进行修改的.客服那边也没办法查到这个130的完整号码.
回到家里之后,继续打95595,得到的答复依然是只有本人带身份证原件,银行卡和手机到柜台才能办理签约手机号码的更改业务,其它信息他们也查不了太多,我的网银也没办法登录了,我也没办法再查到什么东西.
第二天一早,第一个跑到开户行网点,打印流水,然后询问工作人员那笔转账操作是通过什么渠道转走了,以及对方信息,他们查不到,我继续打95595,客服也说没有权限,要转后台查,询问要等多久,说要七个工作日,本人立马不满,质问道:”后台查询这么一个信息要这么久?如果实在要这么久我就只有先投诉到人民银行了”,对方还满不在乎地说如果对处理时间不满意,可以直接向上级反映.
挂完电话没多久,分行电话过来,告之后台查询到是通过个人PC电脑转账操作了,并提供了对方的账户信息,但没办法确定其所属银行.然后继续向柜台工作人员说明情况,并一再强调我的手机号在本人未操作的前提下被更改了.对于银行来说,也许是第一次遇到这样的情况,银行也无法说明为何被更改,更改的记录,更改的方式,更改的地点,一无所知.只得各种查询,各种报告,各种转总行.我也只有先把网银关了,密码改了,各种能控制的先控制了,然后又去公安局,继续提供了查询到了对方账户信息,以及对方登录IP.做案手法.
到这里,对方的做案手法其实是非常明确了,先通过某种渠道,更改了我们的签约手机号,只要这个一更改,什么要接收验证操作的都是浮云一片了,因为验证码直接转到他们的手机号上面了.
接下来的事件进展,也只有等银行查手机号修改原因了.
(事件进展持续更新中….)
事件统计—令人发指
&&&&&&&&4号晚上在家里,查询光大盗刷一事,发现一篇老帖子,虽然事情发生的情景不同,但留了一个QQ群,不管了,先加进去再说,此群是创建了2012年1月1日,本人刚加时,人数好像是64日,而截止此时,短短一天多,已经增加到了81人,新加进来的几乎都是遇到同样的遭遇.5日已经在微博上面发现还有大量的报道.同时也有网友组建了微信群,5号临时组建了的微信群,截止此时,已经暴增到101人了.在群友们积极的配合之下
,让我们来看一看这些令人发指的数据吧(以下数据取于参于统计人员28人中的有效数据25份):
涉及人员之众
&&&&上面已经说了,目前微信群已经达到了101人,那么我们来考虑一下,整个事件涉及到的所有相关储户的加群率有多少?能达到10%吗?那也是几百上千人了呀.
涉及金额之大
涉及范围之广
事发时间之集
在目前能够统计的情况下,此事件最早发生的一笔于日8:30,最晚一笔发生在日01:00,完全集中于这两天发生,不是普通的诈骗案所能及的,也不是普通的个人所能操作完成.
对方手机号,卡号之多
&&&&&&&&一个手机号只能签约一个网银,也就说是,骗子在骗了多少人之下,也准备了比这更多的手机号码,在实名制的政策之下,可想对方的能力之大,同时根据群友提供信息来看,对方的账号也基本是不一样的,那对方还得准备多少张这些非法的银行卡呢?
漏洞分析—疑云重重
漏洞直指手机银行
&&&&&&&&通过本次事件统计发现,涉及到储户有两种情况,一是本身就开通了手机银行的,另是没有自己开通过手机银行的,开通了的,就直接被修改了签约手机号,没有开通的,基本是都被对方在转账操作之前被开通了手机银行.但是对方的转账操作又是在PC端的网上银行完成操作的,那么开通手机银行的目的所在,又是为何呢?也许这就是对方利用漏洞所在.
开通手机银行之手段
&&&&&&&&接着上一点,如果对方开通手机网银是为了利用某个漏洞来更改签约手机号,那么在开通之前,储户的手机号是还没有被更改的,那么在这个情况之下,通过专业版网银开通手机银行,在登录的时候,开通的时候,都需要正常接收到验证码才行的,那么验证码又发到哪里去了呢?没有这些验证码,骗子又是怎样开通了手机银行的呢?
修改手机号码时间之谜
&&&&&&&&还是接着上面一点来分析,如果对方在开通手机银行之前已经修改了签约的手机号码,那么对方在已经修改了手机号码的情况下,他已经完全可以通过网上银行进行转账操作了,那么开通手机银行的目的又何在?什么时候修改的手机号,这个关键的时候点,也许只有银行的后台才能给我们一个答复了.
转账短信—痛心疾首
光大公关—拭目以待
&&&&&&&&本次事件之后,我们统计了25名受影响的储户,在询问以后是否还会再使用光大银行时,全部得到的是清一色的回答:”不会了”
&&&&&&&&而对于此事,最终光大银行的处理方式,解决结果将可能直接影响到其作为一个国企背景的银行在民众心中的形象.
&&&&&&&&积极面对,及时处理,透明公开,把储户的的损失降到最低,将有可能会得到民众的良好支持,获取到良好的口碑,建立大众的信任度.
&&&&&&&&而如果光大消极面对,推卸责任,面对的将可能直接激怒所有民众,给自己带来更加严重的危机,也将直线降低众人对光大银行的认可度,信任度.
&&&&&&&&而光大是否会给所有的储户,给社会一个满意的答案,那就请让我们拭目以待吧.
网银测试—无懈可击
&&&&有人说在百度经验上面有文章说不用去柜台,通过网很就可以修改手机号码的,那么我们来实际验证一下,首先说明一下,光大的系统手机号码是非常复杂的,分为以下几种
预留手机号码
短信通号码
签约手机号码
&&&&这几种号码都可以是不同的号码,那么哪些能够修改呢?又怎么修改呢,我们实际操作来演示,也以此证明,通过网上是没办法完成最重要的那一个手机号码的修改的.
&&&&首先,我们正常登录网银
&&&&我们以专业版的身份登录,权限够大了吧,那么在进入之前,我们首先要输入一次验证码
&&&&进入之后,”网银设置”,这里有三个关键点,红框内的,分别对应上面说的三种手机号码
&&&&接下来我们来分别设置
&&&&第一部分,个人信息,可以随便设置,无需交易密码,验证码之类的.
&&&&我们默认上一步操作已经改成了另外一个手机号码,那么接下来打开短信通设置
&&&&这一步我们会发现,手机号码还是以前的,不是上一步修改的,并且这里也可以随意改成一个号码,只需要交易密码,不需要验证码.
&&&&完成这一步操作,我们可以退出网银,重新登录,发送验证码的手机还是最开始的,不是第一步修改的,也不是第二步修改的,那么最关键的一步来了,我们打开最后一个专业版的设置
&&&&看到没,没办法修改的,并且下面也说明了,只能去柜台办理的.
&&&&而现在我们也明白了,对方修改掉的反而是这个最重要的号码,这个号码就是签约手机号,而前面的预留手机号码和短信通号码根本是没办法影响到接收短信验证码这一重要保障的.
&&&&随便我们来开通一下手机银行吧
&&&&我们也发现了,在这里,一个是需要交易密码,另一个是签约的手机号码是没办法修改的.
&&&&也就是在整个操作过程中,只要涉及到是签约手机号的,那么我们都是没有办法修改掉的.
&&&&银行的安全措施应该还是比较不错了吧,那么在这种情况下,对方又是何以修改掉的呢?
&&&&我们再来操作一遍网银转账操作,
&&&&填完信息之后,确定信息,这个时候还需要我们的签约手机号接收验证码的,所以;我们只能肯定的是,对方是通过网银正常转账的,在转账之前已经修改好了我们的签约手机号码,然后通过这个手机号码来接收相应的验证码的.
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。人次在我爱卡申请信用卡
人次申请贷款 255家 银行和金融机构授权合作
后使用快捷导航没有帐号？
查看: 2258|回复: 15
usbkey网银是不是不需要手机验证码?
阅读权限100
钛金卡I级, 经验值 18780, 距离下一级还需 219 经验值
给我开的e令版网银，还要输入手机验证码，我手机根本就收不到。
阅读权限50
盾不需要手机验证码，你可以两个都要，可以同时有。
阅读权限100
盾不需要手机验证码，你可以两个都要，可以同时有。
可以免费给我同时办理两个吗?
阅读权限50
可以免费给我同时办理两个吗?
我在长沙办理两个都是免费的，你那里就不知道了，不过柜员一般都不会给你，就算你主动问他们也说没货，你态度一定要强硬，我走了3个网点才办好的。
阅读权限100
我在长沙办理两个都是免费的，你那里就不知道了，不过柜员一般都不会给你，就算你主动问他们也说没货，你 ...
我先把我手上的这张卡销了,再重新办.
阅读权限50
我先把我手上的这张卡销了,再重新办.
你直接要柜员给你加一个盾就好了，没必要注销卡。
阅读权限100
你直接要柜员给你加一个盾就好了，没必要注销卡。
怕他不给我，省得跟他废话，而且我收不到他的手机验证码，用这个e令也是没用。
阅读权限50
怕他不给我，省得跟他废话，而且我收不到他的手机验证码，用这个e令也是没用。
要他注销网银，省得注销了卡却没有注销网银，那就不好了。
阅读权限90
你可以上网银自己设置，单手机，单令，手机+令。这三种方式
阅读权限100
你可以上网银自己设置，单手机，单令，手机+令。这三种方式
我现在根本都进不去，可能开始时就选了要手机验证码，不知道怎么修改了，是不是首次进入时就要选择？
阅读权限100
要他注销网银，省得注销了卡却没有注销网银，那就不好了。
网银和卡一起注销？以后那个e令还能使用吗？如果不注销网银有什么不好？
阅读权限50
网银和卡一起注销？以后那个e令还能使用吗？如果不注销网银有什么不好？
卡和网银是分开的，除非你只有一张卡，你注销卡还是不会给你加盾，你直接要他给你加盾，不给你你再注销网银重新开，没必要注销卡。
阅读权限50
你可以上网银自己设置，单手机，单令，手机+令。这三种方式
可以单手机交易码，动态口令+手机交易码，和usbkey，没有单动态口令。
阅读权限100
卡和网银是分开的，除非你只有一张卡，你注销卡还是不会给你加盾，你直接要他给你加盾，不给你你再注销网 ...
我目前就一张卡，卡多要收费，一张免费，正好这个卡我也不是很想要，如果网银注销了，e令不知道还能不能继续使用。
阅读权限50
我目前就一张卡，卡多要收费，一张免费，正好这个卡我也不是很想要，如果网银注销了，e令不知道还能不能 ...
应该不能用了，你可以将e令带过去，可以绑定就要柜员重新绑定，不能用就要他们给一个新的。
阅读权限100
应该不能用了，你可以将e令带过去，可以绑定就要柜员重新绑定，不能用就要他们给一个新的。
我现在就是担心他不愿意给我免费办，本来中行就抠门。
热门信用卡中心
热门信用卡申请
信用卡问答
Powered by Discuz! X3&
我爱卡客服网上支付 短信验证足够安全吗？
　　所有第三方支付平台和不少移动端网络应用，在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码，甚至可以立即重置重要的登录或支付密码。那么，短信验证码究竟能否当此大任？23日，西安电子科技大学的三位硕士研究生和记者一起做了一个实验。
　　实验验证
　　恶意程序盗取短信验证码，难吗？
　　实验时间：日16：00~17：00
　　实验人员：西安电子科技大学计算机学院硕士研究生李鑫、王涛、，记者
　　实验顾问：西安电子科技大学计算机学院博士、信息安全团队骨干成员、华
　　为了做这次实验，三位硕士研究生使用了一个特殊的安卓手机软件，这是一个恶意程序，起名“钓鱼攻击”。
　　实验模拟的情境是，李鑫使用的一部安卓手机已中招，恶意程序一直在后台运行。该软件预先设置的黑客手机号码，是一起做实验的记者的一部手机。
　　实验开始，李鑫打开手机“支付宝”进行登录。而实际上，他打开的只是一个钓鱼界面。但中毒手机的机主很难注意到，所以输入的账号、登录密码都是真的。
　　就在李鑫登录“支付宝”的瞬间，记者的手机收到了一条短信，内容就是李鑫所用的支付宝账号和登录密码。如果充当黑客角色的记者，此时立即打开自己手机上真正的支付宝应用，输入短信中的用户名和密码，完全可以登录并使用李鑫的支付宝账户。
　　如果黑客使用支付宝过程中，需要短信验证码怎么办？这个验证码，支付宝可不会直接发给黑客。
　　别急，按照程序设计，中毒手机在使用支付宝的过程中，只要收到含有“支付宝”三个字的短信，就会自动把短信内容转发给黑客手机。
　　为验证这一点，另一位实验人员王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫。几乎同时，记者的手机就收到了同一条短信。如果这就是黑客需要的验证码，后果可想而知。重置密码、改绑手机，凡是黑客在操作中需要填短信验证码的环节，中毒手机都会自动在需要的时候通过短信转发过来。所以，几分钟甚至几十秒这样的时间限制，并不是问题。
　　就这么一个小小的程序，不但破解了支付宝账户名和登录密码，而且在操作中凡是需要短信验证码的时候，都会自动发给黑客。让记者看得目瞪口呆。
　　李鑫说，为研究如何加强安卓系统防木马和钓鱼软件的功能，他们设计了一个新的安卓操作系统。为验证该系统防护性能，才专门制作了这样的“钓鱼攻击”软件。其实这样的钓鱼软件并不罕见，甚至在网上花一二百元就能买到。这类恶意软件通常会和热门软件捆绑，或者伪装成游戏挂件等，用户很难辨别真假。一旦安装并运行了这样的软件，不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客，有些软件还会让用户无法收到支付宝发来的短信。
　　实验总结
　　仅靠短信验证 无法确保支付安全
　　西安电子科技大学计算机学院博士、副教授杨超介绍，传统的银行账户实行实名强验证，也就是本人拿着身份证去当面验证，必要时输入验证密码。网络支付方式为突出便利性，降低了验证门槛，一般采取密码验证和短信验证相结合的方式，被称为“双因子验证”。但现在出现了两个问题：一是手机短信验证用过头了，被当做主要验证方式，用它可以去重置登录密码或支付密码，也就是说用短信验证去否决密码验证，这样的设计是不合适的。二是手机短信验证有天然缺陷，在传播过程中可以被截获，实验也说明了这样的问题。所以，短信验证码是不能单独担当主要验证权限大任的。
　　专家解读
　　远程身份验证以后可能靠“刷脸”
　　所有的第三方支付平台，几乎都赋予了短信验证码重要的验证权限，可谁知道能获取短信验证码信息且在平台上进行操作的就一定是机主本人？第三方支付平台和移动端网络应用，该如何来解决短信验证码难当远程身份验证大任的尴尬？
　　杨超认为，解决远程身份验证难题还有两类办法：
　　1.增加验证因子，以提高攻击难度。比如增加身份证验证、邮箱号验证等等。
　　2.相关技术手段成熟后，可以增加指纹、虹膜、声音等生物信息验证方式。据悉，指纹验证目前苹果设备已经能做到，而人脸识别技术正日趋成熟，“刷脸支付”将会成为移动支付的下一个引爆点。 据《华商报》
　　使用电子支付，怎样做更安全?
　　1、主要银行账户，不要开通网银及第三方支付平台；开通第三方支付平台的账户，里面不要储存过多现金。
　　2、不要用公共场合的电脑进行网上支付。
　　3、不了解的WiFi不要“蹭”。
　　4、钓鱼网站一般都是用假支付页面打掩护，只要从正规渠道进入官网，可避免绝大部分木马病毒等恶意软件。
　　5、只从官方途径下载手机APP，不要频繁刷机，不接不明文件，不扫不安全的二维码。
　　6、支付宝等第三方支付平台的登录密码和支付密码最好用数字和字母组合的高级别密码。
　　7、经常用手机购物的用户，要养成设置开机密码的习惯。
　　8、若出现手机、银行卡等一起丢失情况，应第一时间电话挂失手机卡，拨打95188冻结支付宝账户。
（责任编辑：HN666）
04/15 13:2004/29 06:14
互联网金融精品推荐
每日要闻推荐
社区精华推荐
精彩专题图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。