您的位置:首頁 > 資訊 > 要聞 >
身份可偽裝、內(nèi)容易泄露 短信驗證碼亟待加把安全鎖
來源:人民日報參與互動 2018-08-16 08:28:43

8月14日,深圳龍崗警方宣布打掉一個新型盜刷銀行卡犯罪團伙,抓獲10名嫌疑人,查繳偽基站等電子設備6套,帶破同類案件50余宗,涉案金額逾百萬元。據(jù)專家分析,嫌疑人通過“GSM劫持+短信嗅探”技術(shù)截獲受害人短信驗證碼,從而完成盜刷等操作。截至目前,這是全國該類案件中打掉涉案人數(shù)最多、金額最大的一起。

“基于短信驗證碼實現(xiàn)身份驗證的安全風險顯著增加。”全國信息安全標準化技術(shù)委員會在《網(wǎng)絡安全實踐指南——應對截獲短信驗證碼實施網(wǎng)絡身份假冒攻擊的技術(shù)指引》中指出。

網(wǎng)友遇怪事

夢中收短信 網(wǎng)銀被盜刷

7月30日凌晨5點,從夢中醒來的網(wǎng)友“獨釣寒江雪”發(fā)現(xiàn)了一件怪事:“手機一直在震,一看,接收了100多條驗證碼,支付寶、京東、銀行什么都有。嚇得一下子清醒,去看支付寶,余額寶、余額和關聯(lián)銀行卡的錢都被轉(zhuǎn)走了。京東開了金條、白條功能,借走1萬多元。”

人在睡夢中,手機在身邊。是誰遠程偷看了短信驗證碼,還利用短信驗證碼完成了轉(zhuǎn)賬購物借貸等操作?據(jù)了解,這是不法分子通過“GSM劫持+短信嗅探”技術(shù),實時獲取用戶手機短信內(nèi)容,竊取用戶信息,盜刷用戶賬戶。

“不法分子先使用偽基站獲取用戶手機號,再通過網(wǎng)上泄露的數(shù)據(jù)庫,根據(jù)手機號碼反查用戶的姓名、身份證號、銀行賬號等信息。然后在某些網(wǎng)站啟動注冊或交易,并利用和用戶位置相近的特點竊取用戶短信驗證碼。”北京大學信息科學技術(shù)學院副教授陳江說。

有業(yè)內(nèi)人士形容,嗅探硬件“小的跟手機差不多,大得像行李箱,最低成本只用花一頓必勝客的錢”。騰訊守護者計劃安全專家周正介紹,目前絕大多數(shù)移動互聯(lián)網(wǎng)服務都采用以手機號和短信驗證為基礎的識別策略,但國內(nèi)GSM的語音和短信業(yè)務鑒權(quán)和加密性偏弱。犯罪分子使用定制化、成本低、易攜帶的嗅探系統(tǒng),獲取受害人的手機號和短信驗證碼,進而實施犯罪。

此前已有多地出現(xiàn)“GSM劫持+短信嗅探”盜刷案件。2017年底至2018年8月,騰訊守護者計劃安全團隊協(xié)助北京、福建、廣東等地警方打擊此類犯罪團伙5個,抓獲犯罪嫌疑人25人。

短信漏洞多

身份可偽裝 內(nèi)容易泄露

注冊新賬號,需要短信驗證碼;忘記密碼又想登錄網(wǎng)站,需要短信驗證碼;在網(wǎng)上轉(zhuǎn)賬提現(xiàn),需要短信驗證碼……當前,使用短信驗證碼驗證用戶身份的技術(shù),被廣泛應用于各類移動應用和網(wǎng)站服務。

陳江說:“短信驗證碼雖然方便高效、容易普及使用,但存在‘是否用戶本人使用本人手機完成驗證操作’這樣的漏洞,給不法分子偽裝受害者提供了機會。”

“短信驗證碼是賬號安全的核心,承擔著實名認證的任務,是保證資金安全的一把密匙,但目前的關注程度還不高。”中國政法大學傳播法研究中心副主任朱巍說。

通過短信驗證碼登錄賬號后,不法分子可以獲取用戶的快遞地址、消費記錄、通訊錄等隱私信息,還可以通過“撞庫”“社工”等方式,“集齊”用戶的姓名、身份證、銀行卡號,實施資金盜刷、電信詐騙、敲詐勒索等活動。

除了被“偷窺”,泄露短信驗證碼的途徑還有很多。有的用戶點擊了非法鏈接,手機被安裝監(jiān)聽木馬;有的不法分子偽裝銀行客服,直接索取驗證碼內(nèi)容;還有運營商內(nèi)鬼主動泄露,里外勾結(jié)。此外,短信云同步、自動填寫驗證碼等功能的初衷雖是方便用戶,卻也可能被不法分子利用。

安全待升級

改發(fā)送方式 加生物識別

“改變短信設置,使用VoLTE技術(shù)(基于4G的語音傳輸技術(shù)),改用4G網(wǎng)絡傳輸短信。”“關閉手機蜂窩功能,改用無線網(wǎng)絡”“晚上睡覺時關閉手機或調(diào)整到飛行模式”……為了避免短信驗證碼被“偷窺”,不少媒體和熱心用戶給出了解決方案。

但是,這些方案并不能一勞永逸。比如,就算改用4G傳輸短信,不法分子也可能在4G網(wǎng)絡薄弱的地區(qū)“監(jiān)聽”,或用特殊手段把短信“逼”上不夠安全的2G通道。

全國信息安全標準化技術(shù)委員會建議,網(wǎng)絡平臺可以要求用戶主動發(fā)送短信用以驗證身份,使用語音通話傳輸驗證碼,將用戶常用設備和賬號綁定,采用指紋識別、人臉識別等生物特征識別技術(shù),同時隨機選擇多種方式進行驗證。

“用戶傳輸敏感隱私信息時,應選擇安全性相對高的通信軟件,發(fā)現(xiàn)手機信號模式異常時應及時更換網(wǎng)絡環(huán)境。網(wǎng)絡平臺應增加多維度動態(tài)驗證機制,對賬號異常行為進行強校驗,采用生物特征識別技術(shù)。運營商應提高4G網(wǎng)絡覆蓋率和穩(wěn)定性,推動VoLTE等高清數(shù)據(jù)傳輸方式的普及。”周正建議。

“第三方支付機構(gòu)要注意資金安全,發(fā)現(xiàn)異常及時停止服務,避免用戶損失。同時,第三方支付也要和銀行開展配合,形成立體化風控體系。”朱巍說。

關鍵詞: 驗證碼 安全
相關文章
補上生鮮食品安全短板

補上生鮮食品安全短板

隨著居民生活水平的提高,生鮮食品的購買頻率也在不斷上升。然而,產(chǎn)品標準化程度不足,冷鏈運輸標準不統(tǒng)一等問題制約了行業(yè)發(fā)展。業(yè)內(nèi)人士更多

2018-07-13 15:32:16

海天回應醬油被點名:非品質(zhì)問題 更不是食品安全

10月15日,澎湃新聞(www thepaper cn)注意到,佛山海天調(diào)味食品股份有限公司(下稱,海天公司)在上海證券交易所網(wǎng)站發(fā)布澄清公告,就其生產(chǎn)更多

2018-10-16 09:29:30
河南第三季度食品安全抽檢 合格率達97.8%

河南第三季度食品安全抽檢 合格率達97.8%

記者從河南省食品藥品監(jiān)督管理局了解到,今年第三季度,我省共完成并公布了32大類41315批次食品樣品監(jiān)督抽檢結(jié)果,檢驗樣品總體合格率為97更多

2018-10-23 16:11:34

河南發(fā)生重大生產(chǎn)安全事故的企業(yè)將被約談,并納入

河南省交通運輸廳日前下發(fā)《河南省交通運輸安全生產(chǎn)通報約談制度》,制度明確,發(fā)生重大及以上生產(chǎn)安全事故的生產(chǎn)經(jīng)營單位將被約談,并納入更多

2019-05-09 07:55:43

升級版食品安全監(jiān)管體系明年建立 確保人民群眾

北京商報訊(記者 陶鳳 王寅浩)用最嚴謹?shù)臉藴?、最嚴格的監(jiān)管、最嚴厲的處罰,加強食品安全工作,確保人民群眾‘舌尖上的安全’更多

2019-05-21 08:38:36

未成年人的安全問題引起社會關注 需監(jiān)護人更多

未成年人權(quán)益屢受侵害兒童福利立法亟待提速完善監(jiān)護制度為兒童權(quán)利兜底● 目前未成年人監(jiān)護制度采取親屬監(jiān)護為主、組織監(jiān)護為輔的理念。由更多

2019-07-30 15:18:43

河南九種情形被納入安全生產(chǎn)領域失信對象 看看

映象網(wǎng)訊 (記者 陳偉然)10月15日,記者從省應急管理廳獲悉,《河南省安全生產(chǎn)領域失信聯(lián)合懲戒實施辦法(試行)》日前正式印發(fā),對本省行政更多

2019-10-16 08:20:55
南京市浦口區(qū)龍之谷綜合體項目工程工地,發(fā)生一起物體打擊生產(chǎn)安全事故,致1人死亡

南京市浦口區(qū)龍之谷綜合體項目工程工地,發(fā)生一起

江蘇省住房和城鄉(xiāng)建設廳近期發(fā)布的事故通報顯示,5月5日,南京市浦口區(qū)龍之谷綜合體項目工程工地,發(fā)生一起物體打擊生產(chǎn)安全事故,致1人死更多

2020-05-09 14:49:54

長沙市正式全面啟動國家食品安全城市創(chuàng)建工作

1月22日上午,長沙市召開創(chuàng)建國家食品安全城市動員大會,正式全面啟動國家食品安全城市創(chuàng)建工作。長沙作為湖南省的唯一試點城市,將利用兩更多

2020-06-24 09:57:55

《2019年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》發(fā)布 對2020

2020年8月11日,國家互聯(lián)網(wǎng)應急中心(CNCERT)編寫的《2019年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》正式發(fā)布。自2008年起,CNCERT持續(xù)編寫發(fā)布中國互聯(lián)網(wǎng)更多

2020-08-11 15:05:38