欢迎来到 - 冰雪故事网 !    
当前位置: 首页 > 句子大全 > 手机短信 >

一条短信致倾家荡产?手机验证码安全吗

时间:2019-01-13 04:49 点击:
一条短信致倾家荡产?手机验证码安全吗 手机验证码,短信,换卡

(原标题:“一个‘退订’短信倾家荡产事件”复盘)

■IT时报 吴雨欣

当手机中的应用越来越多、绑定的服务也越来越多时,谁会想到一条短信引发的连锁反应,能让一个人在一夜间倾家荡产?近日,北京许先生的遭遇《中国移动,请你告诉我,为什么一条短信就能骗走我所有的财产?》在网上引起轩然大波,中国移动、中国银行、中国工商银行、招商银行、支付宝、百度钱包纷纷牵扯其中。

当《IT时报》记者通过许先生描述的被骗经过,试着重走幕后黑手攻击之路后才发现,这根链条风谲云诡、环环紧扣,国内地下数据交易市场的猖獗使用户信息严重泄露;银行批量发卡、办卡审核不严的同时,网银系统在线验证身份信息薄弱;第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时,一个精通各项业务环节的骗子粉墨登场,利用运营商网上自助换卡,把自己变成用户,开始一场肆无忌惮的掠夺。

复盘一:远程可自助换卡 备卡或从内部流出

4月8日,许先生在下班路上收到一条10086发来的短信,提示他开通了某杂志半年的手机报服务,在许先生回复退订无效后,又收到一条类似于官方号码发来的退订需输入“取消+验证码”的短信和10086发来的USIM验证码短信。为了退订业务,许先生没多想就回复了6位验证码。之后,手机的SIM卡就一直处于无服务状态。

许先生哪里会想到,这是骗子精心设下的局,自己的号码订了增值业务是真的,10086第一次发来的退订信息和验证码也是真的,但都是骗子进入自己网厅后提出的请求。那条输入“取消+验证码”的短信是假的,这时骗子正在远程申请SIM卡业务的“备卡激活”,短信验证码就是确认换卡的关键步骤。

在接下来的几个小时里,骗子用许先生的SIM卡接收短信验证码,相继攻破他的邮箱、支付宝及网银,并为用户绑定了百度钱包,盗取其资金。

在这场连环骗术中,除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外,中国移动网上自助换卡业务流程设计也成为众矢之的。

“在整个骗局中,骗子利用了正当的业务规则,外加受害人对相关业务不熟悉骗取验证码,行骗手段具有可复制性,但如果运营商对业务规则进行修改,加强认证,骗子无法获取验证码,则攻击就会失败。”360天眼实验室的工作人员告诉《IT时报》记者。

如何才能异地自助换卡?中国移动北京公司的客服人员告诉《IT时报》记者,办理人需在网站上申请一张备卡,登记邮寄地址后送卡到家,但地址仅限于北京,外省市不可享受此项服务。但据记者了解,此次事件中,骗子的IP地址在海南海口,而且网上申请备卡除需填写申请姓名、手机号、收货地址外,依然需要短信验证码,既然此前许先生并未收到过申请备卡的短信验证码,那骗子的备卡是从哪来的呢?

“骗子可能通过内部渠道拿到了备卡,也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露,在手机卡未严格执行实名制前,不用本人的身份证也可以领卡。

记者在淘宝页面中输入“USIM卡”,出现了浙江移动、上海移动等地的4G USIM卡,这些备卡均可用于短信自助换卡,店主告诉《IT时报》记者:“虽是短信换卡的备卡,异地网上自助换卡也可以试试,但不保证成功。”

复盘二:手机验证码可修改网银密码

“这是社会工程学诈骗的一种,也是欺骗性攻击,利用补卡换卡,骗子在与许先生做心理上的较量,此外,骗子对许先生做过调查,已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息,只缺最关键的一步,就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。

短信验证码有多重要?以登录支付宝为例,正常情况下,若有人在用户不常用设备上登录支付宝,用户会收到短信提醒。即使不知道登录密码,但已经给用户换卡成功的骗子,可以通过短信验证码、证件号码来重置密码。

在此次事件中,因为已经拥有许先生的SIM卡,收到异常登录短信提醒的是骗子自己,另从许先生的手机支付宝依然与骗子保持同步登录状态来看,骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码,这也就说明,许先生的支付宝号及密码可能早已泄露,被骗子掌握。

记者又尝试以找回登录密码的方式登录银行网银,虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理,但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合,并可以连续尝试输入10次。在这样的验证机制下,骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。

值得注意的是,对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的邮箱,用邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书,安装过程依然需要输入随机验证码及短信验证码,而被骗子关联的百度钱包,有2小时内转账的超级转账功能且转账不收手续费。在百度钱包里添加银行卡,需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记,还可以通过短信验证码找回。

短短几个小时里,对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱,到最后,许先生什么也没抢回来。

复盘三:余额1000元的支付宝账号密码可卖80元

“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息,还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向《IT时报》记者介绍,日常生活中,用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号,如果该酒店管理不严或系统存在漏洞,用户会在一瞬间泄露三个关键信息。此外,某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购,形成隐蔽而庞大的市场,这早已不是秘密。

菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称,实际均是用于信息买卖的QQ群,为了增加隐蔽性,群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。

在记者加进的一个QQ群中,信息被称为“料”,相较于售价几毛钱的身份证、手机信息,兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”,就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号,余额1000元以下的支付宝售价80元、1000至3000元售价150元,额度越高,售价越高,大家均默契地先付款后拿“料”,拒绝做数据测试。当被记者追问为什么不自己操作时,一个卖主回答:“风险太高,一个IP操作多了会被查。”

在这个讲究“十年打工一场梦,人无横财不富裕,马无夜草不肥”的群里,快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全,大家都等着靠做偏门生意成富翁。

数据统计中,请稍等!
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------