黑客瞄准星巴克移动用户，窃取未知帐号的绑定信用卡(2)

发布时间:2015-05-13 14:21 作者:佚名来源:360安全播报点击:加载中...次

麻烦开始于周三上午的7点11分，她受到了一封自动发送的电子邮件，内容是她的用户名和密码已经被更改，如果她没有授权更改，请拨打客服电话。她尝试过，但是并没有接线员回应她的呼叫，知道8号早上才有回应。

“黑客知道什么时候进行操作是合适的，”她说。

接着，她拿起手机，并打开了星巴克的应用程序。那是，有一个推送通知显示她34美元不见了。她看到之后试图找出到底发生了什么，小偷偷走了25美元，然后又迅速偷走了75美元。

“太疯狂了!我当时想，这个世界上有什么?”Nistri说。”我很幸运，我正好要检查我的电子邮件，如果我不这么做，谁知道有多少钱会被窃取。”

实际上，黑客通过装载到她星巴克App中的礼品卡窃取信用卡中的钱，根本无需触及到她的电话，也不用知道她信用卡的卡号等信息。Nistri不是一个人。很容易找到消费者在网上抱怨自己的信用卡里的钱少了，黑客都是通过同样的方式窃取信用卡的。

“今天早上，我收到了一封电子邮件，说我的用户名和密码更改了，”这是一个受害者在自己的Facebook中写的。之后5月6号的一篇博客中也提到了同样的问题。

“我刚刚被黑了!有人偷走了我礼品卡里的163美金!”，这是本月早些时候的一个抱怨。

“我的账户今天早上早到了黑客攻击，”另一个在4月24号说”我们得到了我的余额，然后试图重新加载已经绑定信用卡的礼品卡，但是银行并没有组织这一行为。取消信用卡非常麻烦，因为我的地址、email和电话号码都在里面，信用卡报告公司放置一个诈骗警报以防万一很有必要。星巴克的电话客服小姐非常棒!星巴克是垃圾!因为这个App非常垃圾!”

因为星巴克没有具体回应相关的诈骗行为，我没法确认它是如何工作的，但是我已经看报告了推测，基于熟悉犯罪分子的匿名消息的谈话。这个人表示，星巴克今年早些时候曝出了问题。本质上讲，任何罪犯都可以得到用户名和密码凭据，因为Starbucks.com上有用户的储值排名，然后罪犯就可以攻击其信用卡了。

黑客经常设法窃取用户名和密码的组合，他们窃取信用卡账户名的数据库的方式。因为消费者往往反复使用相同的凭证，黑客就暴力攻击成千上万网站上的潜在登录。星巴克的移动支付App非常受欢迎，使用窃取的凭证，至少可以解开几个星巴克账户。

犯罪也可以通过其他方式窃取凭据——通过网络钓鱼电子邮件，或者键盘记录程序等方式。

登录后，犯罪分子有几个方式窃取受害者的借记卡或信用卡。

星巴克允许消费者把一个礼品卡里的余额转移到另一张礼品卡，或者把多个礼品卡里的余额转移到另一张卡里。一个犯罪分子可以控制星巴克的礼品卡，把受害者的余额转移到他们控制的卡里面。这些黑客的礼品卡或他们背后的电子码，然后在黑市上出售。

受害人账户自动气冲负载可以把看似无害的10美元到20美元的盗窃变成更严重的罪行。

把消费者的礼品卡中的余额转移到黑客的卡中需要一个额外的认证步骤：Starbucks.com/card会把一个验证码发给用户，所以黑客必须进入他们之前窃取的电子邮件地址。这意味着，黑客必须拥有匹配相关电子邮件的星巴克礼品卡。但是，这一步是相当微不足道的，因为控制星巴克账户之后，黑客可以修改相关的电子邮箱，改变成自己控制的电子邮箱，然后只需要几分钟就可以把余额转移到自己的卡里了。

受害的消费者得到通知，他们的邮箱地址已经改变，但是Nistri的故事表明，这样的电子邮箱瞬间相应对组织诈骗来说是不够好的。

另一个这种犯罪的变形里，黑客利用被劫持的账户为自己的礼品卡订购礼物。消费者抱怨在Facebook上。

“昨天，4月22日，我收到了一封电子邮件，我送出了价值200美元的电子礼品卡给一个人”，一个受害者说，”我的支付宝账户连接到了星巴克App。我像星巴克投诉，取消激活礼品卡，然后把钱退回给我的支付宝。支付宝正努力撤回这笔消费。这相当的可怕。希望星巴克在未来可以有效防止这类事件的发生。”

犯罪分子已经开始把注意力转向金融机构和第三方培训公司，因为他们比银行更容易破解，Gartner的欺诈分析师Avivah Litan说。

“欺诈开始从银行转向了大型电子商务公司，”她说，”犯罪分子正在学习如何把积分、预付卡等换成现金。”

星巴克表示暂时不会讨论个人账户，但是会做出回应。

“虽然我不能对客户的个人账户进行评论，你所藐视的事情并没有联系到移动支付——把这两个联系起来是不正确的，”发言人Maggie Jantzen陈述。”我们有义务保护客户信息，并且已经制定了相关保障措施来监测欺诈活动，然后与各大金融机构，比如大型零售商，密切合作。显而易见，我们没有办法讨论具体的安全措施。我们的客户安全对我来说非常重要，我们将采取有效措施来处理这个严重的问题。”

“如果客户认为自己的账户可能会受到欺诈，请立刻和我们联系，我们的客户服务热线为周一到周五上午5点到下午8点，周六上午6点到下午4点，客户也可以访问他们的在线账户，24小时实时更新。已经登记自己礼品卡的客户，他们的账户余额受星巴克保护。客户联系我们之后，我们会立马采取措施解决他们的担忧。”她补充说。

“我们也鼓励我们的客户遵循最佳的实践方案，来保护他们的信息，即经常变更用户名和密码，并保证不同账户的用户名和密码各不相同。”

虽然Nistri收到了星巴克相应金额的佩服，但是她认为这是星巴克在争取他们，她其实非常失望，并表示再也不会用自动加载这项功能了。

(责任编辑：安博涛)