在收到100多条验证码短信后,她发现支付宝、余额宝和相关银行卡的资金被转移,京东账户也被开设,具有金条和白条功能,借用了1名万多
(肖钦鹏,梁晓)
转载自:艾凡儿
(ID:ifanr)
一个人睡在家里,债务来自天堂。
豆瓣网友“独自垂钓寒江雪”近日暴跌。
7月30日凌晨5点,她偶尔醒来,发现自己的手机莫名其妙地收到了100多条验证码短信。经过仔细检查,她发现支付宝、余额宝和相关银行卡的钱被转移了,京东账户也开有金条和白色条纹,借了1个万多。
他什么也没做,一无所获地醒来,负债累累。这是什么骗局?
在报警、寻找手机宕机、在支付宝报纸上寻找索赔时,“在冰冷的河雪中独自钓鱼”从热心网友提供的信息中得知:这可能是短信验证码造成的。
豆瓣网友“独钓寒江雪”一夜之间收到验证码短信
短信验证码?
随着移动互联网的高度发展,短信基本上只有一个功能:接收短信验证码。
土地微博微信、收快递包裹、银行转账汇款。。。对于几乎所有与安全相关的操作,SMS验证码承担着最关键的责任——证明这是您自己的操作。
你为什么依赖短信验证码来证明自己?
这必须从“多因素认证”开始。
在互联网时代,安全决策需要确保以下五个环节:
身份验证
授权
保密性
诚实正直
不可否认
其中,由于互联网的匿名性,身份认证是最难证明的部分。在密码学中,最经典的方法是“多因素认证”。
例如,当我们离开海关时,护照、指纹和面部识别这三个认证因素是必不可少的。
即使这与国家安全有关“核按钮”,它还采用了类似的加密方法。
例如,俄罗斯有三个“核按钮”行李箱,分别由总统、国防部长和参谋长负责。
发动核攻击时,必须同时按下至少两个核按钮。发射程序采用“双核按钮系统”,即每级有两套密码。只有将两套密码准确拼在一起,逐级传达指令,核导弹才能最终发射。
这么任性是不可能的
然而,在现实生活中,“核按钮”级别的验证方法显然不能适用于所有人。一方面成本太高,另一方面流程太繁琐。
因此,有一种以短信验证码为代表的“双因素认证”——几乎有一部智能手机,手机号码采用实名制,短信验证码的成本相对较低。
同时,它满足了安全性、方便性和低成本三个方面的要求,这也是短信验证码流行的原因。
然而,一旦短信验证码泄露,随之而来的安全风险也令人担忧。
编辑1分钟内收到的一系列验证码短信,这不是我自己操作的。幸运的是,它得到了及时处理
此外,“短信嗅探”是一种“窃取”短信验证码的技术。
“短信嗅探”怎么了?
短信验证码是如何发送到我们的手机的?主要通过以下三个步骤:
核心网侧的控制信令、语音呼叫或数据业务信息通过传输网络发送到网络基站
信号在基站侧经过基带和射频处理,然后通过射频馈线发送到天线进行传输
终端通过无线信道接收天线发射的无线电波,然后解调自己的信号
“短信嗅探”技术主要在第二步和第三步。
百度百科全书图
目前,大多数短消息都是通过2G网络的GSM发送的通信协议传输,而这个通信协议是不安全的。如今,只有嗅探设备(通常是经过改装的手机)可以监听。
来自h4ck0ne的数字
之后,骗子使用伪基站(通常是经过改装的手机或笔记本电脑)收集周围的手机卡信息。
这样,你可以同时获得手机号码和短信验证码。在这一点上,骗子可以查询网站,以撤销所有者的身份信息,甚至获得身份证号码和银行卡号码。
来自h4ck0ne的数字
有了这些材料,骗子可以进行资产转移、小额信贷等业务。通常犯罪时间是深夜。你可能仍在深度睡眠中,并不知道这一点。
睡眠关机能防止“短信嗅探”吗?
一些媒体建议,“短信嗅探”是指睡眠和关机。这种做法有一定的效果,但事实上,它只是治标不治本。
你睡觉后把它关掉了吗?没关系。攻击者还可以在发件人附近窃取短信。例如,如果他想盗取你的支付宝账户,你只需找出支付宝发送给你的设备的位置,就可以向你发送消息,蹲下来监视,你的验证码仍然可以很容易地获取。
睡眠停止也有其自身的副作用。一方面,家人或朋友可能会在晚上遇到紧急情况,但无法与你联系;另一方面,之前被打乱并关闭的“呼叫你死亡”和短信爆炸案,最终导致欺诈和更大损失,也时不时发生。这并不是解决所有问题的办法。
作为消费者,面对这种欺诈行为,目前我们没有太多的防范方法,所以我们只能尽力加强防范。以下方法可以发挥作用:
1.开放高清语音通话服务(伏打功能)
正是由于2G信道存在协议缺陷,短信才如此脆弱。因此,防止“短信嗅探”的一个方法是打开volte功能并“升级”短信。
高清语音通话服务开通后,短信将通过电话等3G/4G网络传输。虽然这种方法不能100%抵抗伪基站的降维攻击,但会增加“短信监听”的总体难度;然而,目前只有一些地区支持开放volte函数。
2.严格控制app阅读短信的权限
除了在手机上“嗅探信息”,在手机上获取这些短信实际上是一种隐患。想想看。只要任何有权限的应用都有漏洞,你的验证码短信就相当于在互联网上“裸奔”。
不要太麻烦。现在去把许可证拿回来。
3.设置特殊号码接收验证短信
一个更“孤立”的方法可能是准备一个特殊的号码和手机来接收各种验证码短信。
建议您禁用此手机上的WiFi和移动网络,此手机仅用于拨打电话和发送短信。通过这种方式,你可以屏蔽大多数应用漏洞、移动木马或短信自助云备份带来的危险。
但是,千万不要选择只支持2G网络的功能机。评论:2G信号最容易被劫持。
我们需要做什么准备来防止个人财产被盗?
对于“独钓寒江雪”事件,网络安全专家tk认为,GSM“短信嗅探”只是一种可能性。手机木马、运营商内幕、短信自动云备份等可能是短信验证码泄露的原因。
另一种观点认为,豆瓣网友可能也丢失了他的苹果ID账号和密码,icloud信息同步导致验证码“裸奔”。
手机号码、身份证号码、银行卡号、支付平台账户和其他敏感的个人信息保护是我们防止个人财产被盗所需要做的。多留意,多设置防盗线。
以AppleID为例。设置双重身份验证后,您的帐户只能通过您信任的设备访问,如iPhone、iPad或Mac。首次登录新设备时,双重身份验证也会相当谨慎,要求您提供AppleID密码和自动显示在受信任设备上的6位验证码。
微信、支付宝和京东等账户可以通过定期修改登录密码,或增加“检查点”(如手势解锁、语音锁、刷脸登录、指纹识别等)的登录和支付来降低被盗风险。支付平台上也会有相应的安全保障。
同时,你也可以经常关注“登录设备列表”,并在出现任何错误时保持警惕。
如果发生盗窃,记得收集证据,冻结并报告银行卡丢失,并在第一时间报警。在依靠警方追讨损失的同时,你还可以准备材料,向相关支付平台发起索赔申请,比如“独自垂钓冰冷的河雪”。
最后,借用一句老话,小心航行数千年。
它只代表作者的观点,而不是本杂志的立场
END
欢迎来到朋友圈。如果您想获得授权,请联系原始公司号码。如果你想找到小南,你可以在后台回复“小南”~
这篇文章的作者肖钦鹏和梁晓始于公众号新知识类的科技图书《爱芬尔》(ID:iFanr)与全球知识同步。欢迎识别下面的二维码以引起注意。
最新评论