在银行手机APP开通新的扫码支付功能的第一天,银行用户小伙胡某就发现了其中的漏洞。他开始利用这个漏洞做起了盗刷的生意,甚至将利用漏洞的方法在网络上传播给不法分子们。
胡某的行为,致使在这项新支付功能开通的短暂的4天里,国内多地数百位银行用户损失总额40多万元。昨日,胡某被沈阳警方依法拘留。
支付软件免验证码成漏洞
今年2月15日,某大银行的手机网银APP上,新开通了一项小额扫码支付功能。银行设计这项新功能,目的在于方便客户进行操作简易的小额付款。所以软件设计规定,千元以下的小额付款,在客户用手机扫描二维码支付时,可以不必通过验证码短信,直接就能付款。
河南郑州23岁的小伙胡某就是这家银行的信用卡用户,他也在自己的手机上安装了该银行的网银APP。当天,这个新的支付功能上线后,落在胡某眼里,却成了发财的渠道。
胡某发现,用户扫码付款却无需验证码,银行这种看似方便顾客简易操作的设计,其实却是一个严重的漏洞。因为任何人,只要掌握了该银行用户的账号和密码,就可以用这个账号登陆银行手机APP,扫码转账付款,从而将用户银行卡里的钱转走,而无需用户输入验证码同意付款。
胡某找来同伙唐某、刘某等人,几人先是用自己的银行账户试验了两次。“我们发现这么干的确好使,当时感觉挺兴奋的。因为没想到这么大银行居然还能出现这么明显的漏洞!”在看守所里胡某说。
