银行专家还推荐用户自己小心，要你们干啥？


信用卡账单上或手机应用通知中出现不明来源的1元交易或许是小数目，却可能导致信用卡用户损失上万元。

无需盗取实体信用卡，黑客利用程式数秒即可生成信用卡资料，通过小额转账反复试错直到成功后，再神出鬼没转走受害者的血汗钱。网安专家指出，这个诈骗手段基本上无法预防，公众只能设定开启每笔交易通知，以及定期查看账单来避免自己蒙受损失。

本地博客Alvinology创办人林连豪（43岁）日前无故收到星展银行手机应用的推送，称他进行了一笔1美元的小额转账，令他十分讶异，担心有诈。

他说，一张专用于支付公司广告投放的信用卡，多了一笔转给“Setapp”公司的转账，银行应用甚至要求他点击通过交易。

“我向员工求证后，确认公司没有这笔交易，立刻拨打银行热线，接线员指我的信用卡很可能被盗刷了。由于近来诈骗案非常猖獗，我平时就特别谨慎，根本不知道信用卡资料是如何泄露的。”

延伸阅读
11月至今237人坠WhatsApp诈骗 损失超过60万元
553人涉诈骗案被调查 涉案金额逾1400万元

林连豪立刻停用了六张星展银行信用卡和网银服务，这虽造成不便，但所幸没有蒙受任何损失。“我后来回想，当时我若点击确认了银行推送的通知，钱可能就会被转走了。这次算是幸运的，但难保我下次也能来得及防堵骗子的操作。”

银行识别码攻击不罕见 且难以防范
这种无需取得实体信用卡，利用程式“生成”信用卡号、有效日期和安全码（CVV），再频繁“猜”卡主资料是否正确的诈骗伎俩并不罕见，并且难以防范，专家称为银行识别码攻击（Banking Identification Number Attack，简称BIN Attack）。

派拓网络亚太区域首席安全官林奕轩答复《联合早报》询问时说，信用卡用户若收到来自同一IP地址、金额较低且频密的可疑交易，就极可能遭遇银行识别码攻击。“这些黑客一旦成功猜中并入侵信用卡，短时间内就会进行大量消费窃取钱财。”

他解释，所谓的银行识别码，就是信用卡前六位或前八位的数字，用来识别发卡银行，大多是唾手可得的公开资讯。有了前面的数字，黑客再来仅需利用程式生成无数个剩余的数字组合来配搭，包括有效日期和安全码。

经过多次测试，就有可能测中有效的信用卡资料。黑客测试时的金额通常都比较小，以免被发现。这些交易成功的信用卡资料还可能流入暗网售卖，造成受害者接下来可能损失上万元。

另有网民申诉，自己的大华银行备用信用卡突然被扣除370澳元，还有一笔在美国的交易，让他百思不得其解。他说，这张备用卡从未使用，因此资料不可能泄露。银行职员事后告知他，这类骗子一旦得逞，就会无止尽地盗刷，防不胜防。

网安公司NordVPN新加坡区经理乌涅（Ugne Mikalajunaite）受询时说，用户若遭受银行识别码攻击，除了会看到小额且频繁的交易，银行应用还会不断出现授权错误或安全码错误的记录，说明黑客正不断反复试验来破解个人资料。此外，黑客也会专挑用户警惕心低的时段，例如在半夜进行消费。

用户可设触发通知及定期检查账单以避免损失
乌涅指银行识别码攻击基本上无法预防，但用户可以设定每笔交易都触发通知，以及定期检查信用卡账单来避免损失。“不少人进行小额交易时，都不会使用密码进行双重验证，也选择不触发通知。这确实可以节省时间，但也让骗子盗卡时毫不费力。”此外，多数黑客在暗网兜售信用卡资料前，都会试刷小笔数额以确定信用卡是否仍然有效，这都会反映在账单上。

林奕轩说，银行用户也应该多留意任何尝试登录失败的电子邮件通知。除了银行户头外，电邮和社交媒体账号同样应设定多重身份验证。
---
该帖荣获当日十大第4，奖励楼主12分以及18华新币，时间：2023-11-14 22:00:01。
---
该帖荣获当日十大第1，奖励楼主25分以及37华新币，时间：2023-11-15 22:00:02。

但是，目前处在垄断地位，所以也没有动力去改进。

【案例说法】

上海的宋先生突然收到一条短信，提示他138的手机卡在安徽被跨省补卡。由于这个手机号与自己的支付宝账号是捆绑的，宋先生立马意识到事有蹊跷。

宋先生赶回家中打开电脑一看，自己支付宝内的6650元余额和余额宝的5万元存款相继被转走，与支付宝绑定的工商银行卡也已经被转走7001元，另外还有一笔19999元的转账正在进行中，尚未完成。

意识到自己的支付宝被盗后，宋先生立即打电话通知支付宝客户服务电话停止19999元的转账，并向警方报案。

【警方揭秘】

很快，警察就将涉案的钱某、陈某和岳某抓获归案。不过，令警察也十分意外的是，涉案的岳某、陈某、钱某在现实生活中互不相识，但因三人各有“专长”，于是分工完成了“洗料”、“办证”和“盗宝”等程序，俨然已经形成了一个完整的支付宝盗刷犯罪“产业链”，并最终在距离上海近千里之外的安徽将宋先生的支付宝洗劫一空。

　　新华社乌鲁木齐1月2日电（记者于涛）乌鲁木齐市民李女士在更换手机号后，旧手机号只做了注销处理，但未解绑支付宝，导致银行卡内1万元被盗。近日，乌鲁木齐市警方和市反电信网络诈骗中心联合破获此案。

　　记者2日从乌鲁木齐市公安局刑侦支队了解到，李女士报警称，几年前，她用旧手机号注册了支付宝账号。现在自己换了新手机号，旧号也办理了注销。但报案当天，李女士发现与支付宝绑定的银行卡内1万元钱不翼而飞了。警方调查发现，有人用李女士注销的手机号登录支付宝，实施了盗窃。

　　乌鲁木齐市警方和市反电信网络诈骗中心近日联合侦破该案，并抓获犯罪嫌疑人李某。据李某交代，手机卡是她在营业厅办理的，在使用过程中，发现这个号码以前有人使用过，于是抱着侥幸心理进入了手机号绑定的支付宝账户，并将受害人银行卡内的1万元现金转出。目前，被盗刷的1万元钱已追回，案件正在进一步侦办中。

手机换了，不解绑支付宝，用户负很大责任吧！比起信用卡那几个容易猜的数字，那一个有根本框架问题？

神通广大，相当于新加坡补办到别人的IC, sim卡，跟支付宝的安全又有几毛钱关系？你是语文不行还是不懂技术？

别瞎扯蛋了。

相比暴力破解，social engineering 还是容易得多，不然哪有还那么多电信诈骗？都去暴力破解就是了。

说弱爆了也没问题～也因此发展了支付安全，风控，争议处理等很多支付行业的基石

承认visa master的安全性很差有那么唯吗？

这种应该是 所谓的信用卡撞库，撞成功了；然后后面就是大笔刷款了，不过一般来说银行对于大笔刷款肯定会卡的；不过也很烦，打了客服电话一直给你换卡
现在很多App都绑了你的旧卡号的，一直给你换卡号 变得你要一直从各种App (比如打车，账单giro) 换你的卡号

没网 没带 就歇菜了

你看得懂吗？
信用卡这么容易暴力破解？
你以为 payment gateway 这么傻？
任凭你不断的发送请求尝试各种组合？
你听过多少撞库成功的？
别看个新闻就当个宝似的拿出来现。

撞库机率虽然不高，但是成本低啊，软件自动生成，跟电信诈骗一毛一样，抓到一个就赚大了。所谓的金融技术专家明知道有这个漏洞，百年前的技术就是不知改进，还借口多多，傻不傻？

张口就来遥遥领先弱爆了，
别丢人现眼了。
一个是账户，一个支付通道。
能放在一起比吗？
要比的话也得比支付宝和网银，
但是也比不了，常见我之前的扫盲贴。

怎么去用，取决于支付通道，
可以传统方式实体卡，
可以网银，
可以通过支付宝，
可以通过各种钱包，
可以虚拟卡，用完就扔，随时生成新卡，
也可以完全不用卡号，比如 Apple Card
方式多得很，
非得硬扯着最原始的一种通道来突显自己遥遥领先的无知。

最不安全，所谓的金融技术砖家怎么不想办法改进呢？

支付宝微信就不是种账户了？人家是账户，通道集成化一体解决方案，代替银行一点问题也没有。安全性更是领先太多。

楼上已经有很多解决方案了，例如给客户每次交易都需要手机验证的选择，为啥金融技术砖家只拿钱不干事？默许黑客骗新加坡人的血汗钱？

遥遥领先。关键是原始技术死猪不怕开水烫，就是不改，你耐我何？

张口就说信用卡怎么怎么落后，这不是傻吗？
就像你一个人犯傻，人家不能说中国人都傻，对吧？

信用卡是种账户，就像你有储蓄账户一样，
除了最传统的实体卡，
现在有不少其它的交易通道来使用这些账户，
即用即抛的虚拟卡，
PayPal
绑定手机号码的微信支付宝，
完全没有卡号的 Apple Card
怎么能说没有创新呢？
难道在你眼中只有微信支付宝才是创新？

关键是visa master的验证码ccv只有三位数，这个是根本设计问题。还有就是要给用户强制手机二次验证的选择。这样就万无一失了。