一夜之间钱包被黑,短信验证码并不安全

对于喜欢看电影的朋友来说,偷盗类影片无疑是个非常熟悉的类别,并且其一直以来也都是电影工业中很重要的一类。俊男靓女们通过精诚合作和种种不可思议的操作,打劫一个牢不可破的金库,无疑也成为大众所喜闻乐见的题材,但是这样的情节如果发生在现实中,对于当事人来说,肯定是笑不出来的。

  • 手机安全问题不容忽视

上周,一则豆瓣上名为《这下一无所有了》的帖子引发了广泛的关注,当事人在一觉醒来之后,发现手机收到了100多条短信验证码,在资产损失惨重的同时还背上了一笔债务。这飞来横祸在引发了网友的感同身受的同时,也受到了各方的关注,毕竟无妄之灾对任何人来说都难以接受。

资产安全问题从古至今都是大众最关心的问题,从古老的机关盒、牢固的银行保险库大门再到虚拟世界的各种安全卫士、加密协议,也几乎都是为此而生。但对于保障个人的资产安全,各种密保手段也纷纷应运而生,比如为了防止盗号,网游厂商网易推出过密保卡、将军令和专门的APP,而各大银行也纷纷为网银业务推出了U盾服务。

而手机安全问题随着近年来智能手机的普及,也呈现出逐年上升的趋势。不同于各种带有传奇色彩的PC病毒,如千年虫、震网、熊猫烧香等用户对PC安全有一定认知的情况,是会上大众对于手机安全的重视程度并不是高。并且和PC的大环境不同,一般用户在手机上下载APP都是通过正规渠道,而厂商在经历过PC时代的洗礼后,技术实力也显然更为强悍。

但俗话说有光的地方就有阴影,在安全领域的攻防斗法可以说蔓延了千年,而且不同于现实世界,网络的虚拟环境在一定程度上拉动了攻防双方的实力对比,比如说一代传奇凯文·米特尼克就是单枪匹马的最好例证。

  • 短信验证码已经落后于时代了

在如今的移动互联网时代,有着使用频率高,号码具有唯一性的手机号进行注册的机制,取代了传统自建账号体系,也有效避免了之前要记住许多不同类别账号的烦恼。但起到校验作用的短信验证码,原理是让用户知晓操作处于“现在进行时”的同时,给盗刷用户账号的犯罪分子也提高门槛,因为拿到了支付密码,却未必能控制用户的手机。

但是这也带来了一个很大的问题,一旦手机被控制之后,账号的统一性自然很容易被一锅端,因此导致一连串的连锁反应。上文的受害者大概率就是因为支付宝、京东等APP都是使用同一账号而被犯罪分子一锅端。在江宁公安在线发布的消息中显示,该网友是被一种名为“GSM劫持+短信嗅探技术”的犯罪方式所攻击,通过伪基站劫持,犯罪分子获得了手机号码、身份证号码、银行卡号、短信验证码这四种盗窃财产的必要信息。

事实上,在去年年中就已经有无线安全问题研究者发现了这个问题,但是相比于要考虑更多隐私问题的厂商,黑产的嗅觉则更加灵敏。再加上在如今的大数据时代中,大大小小的互联网服务提供商都收集了海量用户信息,撞库+GMS中间攻击+RRC重定向的方式,基本上对于防护薄弱的短信验证码也是无解的。

  • 保障财产安全还是要提高警惕

为什么说短信验证码的防护薄弱?原因就是其有着一贯明显的弱点——明文发送+单向鉴权,因此在通信途中很容易被拦截。而我们常用的3G或者4G网络则是LTE网络,因此在安全性上比基于GSM的2G网络要强很多。

需要注意的是,银行APP、支付宝、微信这类大型支付软件都是提供双因子认证(2FA)的,这是一种结合密码以及实物(密保卡、令牌或指纹等生物标志)两种条件对用户的身份进行认证的方法,但是相比于廉价够用的短信验证码,双因子验证则需要额外的技术支持,因此无形中也要多一笔支出成本,所以其推广效果并称不上好。

如果黑产从业者将你的个人信息拿到一些中小的野鸡网贷APP上,利用其审核不严和安全防护约等于0的漏洞,让你平白增加了一堆借款。对于这种新型犯罪手法,事实上也有许多解决思路,比如说睡前关机、开通VoLTE功能、关闭短信云同步等等,但是这些办法各有各的缺陷,例如睡前关机可能会漏接电话,关闭短信云同步功能则有可能会遗失之前的短信内容,显然也并非对所有的人都实用。

而被广泛讨论的VoLTE功能,让短信也通过3G/4G网络传输的效果最显著,但是依然不是万全之策。

因为黑产从业人员也有办法让LTE网络回落到GSM网络,攻击者可以通过架设LTE伪基站来“捕获”手机,在这一过程中通过RRC重定向信令,用相关代码让目标手机在离开连接态后驻留到预先架设的恶意网络中,然后攻击者就能用自己的手机套上马甲,以目标手机的身份在运营商网络中注册,从而完成一出瞒天过海的戏码。

总的来说,面对黑产从业者的攻击,目前的运营商网络其实很难做到绝对的安全。因此相比于保护短信验证码的安全,防止个人身份证、银行卡等敏感信息的泄露也就变得对个人用户来说更为重要。而对于支付服务的提供商来说,在自家的系统内升级双因子认证也自然是非常的必要。

当然,如果还是不放心的话,类似“账户安全险”之类的保险,也不妨可以了解一下。

【本文图片来自网络】

推荐阅读:

安卓9.0发布,让一款三年前的“神U”焕发新生

早在2013,高通就已经提出了NPU的概念

首款5G手机面世,它告诉了我们三件事

Moto Z3的发布,也让我们了解到5G手机会是什么样的。

(0)

相关推荐

  • 短信验证码的背后

    引:短信(SMS)验证码已经被各种各样的应用作为双重认证的主要手段之一,为什么还要将生物特征识别作为作为双重认证的趋势之一呢?短信验证码是否是安全的呢?如果不安全的话,背后的机制又是什么呢?本文编译自 ...

  • 怎么拉黑短信

    [回答] 拉黑好友:①先打开手机微信,点击[通讯录]:②然后点击一个想要拉黑的好友,点击右上角三个点:③最后依次点击[加入黑名单]-[确定]即可.取消拉黑好友:①先依次点击[我]-[设置]-[隐私]: ...

  • 短信验证码是与客户之间直接桥梁

    互联网时代,验证码应用非常广泛,几乎是通往各项服务的必经之路.对企业来讲,短信验证码通道的好坏直接影响着推广成本及市场扩张的效率."短信验证码在如今,已经成为企业与客户沟通的直接桥梁,一个智 ...

  • 记者实测短信嗅探风险:短信验证码+身份证,就能挪走你手机里所有的钱!

    <IT时报>记者通过"独钓寒江雪"描述的被骗经过,试着重走"幕后黑手"攻击之路发现,整个链条风谲云诡.环环紧扣.但安全专家同样安慰大众,短信被嗅探并 ...

  • 短信验证码须知

    短信验证码现在应用非常广泛,很多地方都需要用到,如网站注册,账号登录.找回密码.修改密码.网上支付等,但是有时候会出现获取短信验证码收不到的情况,非常令人头疼,那么导致短信验证码收不到的原因有哪些呢? ...

  • 如何解决企业短信验证码到达率问题

    如今处于互联网的高速发展阶段,越来越多的门户网站注册,APP注册,以及登陆网站,修改密码,登陆游戏等都要通过手机收取短信验证码的方式来提高用户和网站双方的安全度.但是随着越来越多的人开始使用这项技术, ...

  • 详解织梦dedecms短信验证码功能

    现在大部分网站都需要用短信验证码,因为织梦官方没有短信验证码插件,所以写了几个短信验证码插件,一个使用的是阿里云的短信验证码接口,一个使用的是阿里大于的短信验证码接口,一个使用的是阿里通信短信验证码接 ...

  • 短信验证码的基本常识

    在我们注册一些手机APP应用时,常常会让我们输入自己的短信验证码,来验证是否本人登录,但是在注册一些平台会员时,常常会有一些平台需要要求输入图片验证码或者是语音验证码,那么APP短信验证码和图片验证码 ...

  • 短信验证码和我们的关系

    不知道多久,短信验证码慢慢"入侵"我们生活,我们的生活也慢慢的离不开短信验证码,注册网站,银行支付,注册APP都需要短信验证码的程序,随着信息时代的来临,互联网高速发展,智能手机的 ...