快捷微信支付6元也要验证码的时候有短信验证码安全还是没有短信验证码安全

来源:蜘蛛抓取(WebSpider) 时间:2018-01-18 18:43 标签: 微信支付6元也要验证码

  • 正在进入台海网首页请稍等...【洳果您的浏览器不支持跳转,】

最近一篇名为《实录 | 亲历,互聯网是如何让我生无分文》的文章在网络广为传播。

作者表示他莫名其妙地收到一条“订阅增值业务”的短信,根据提示回复了“取消+验证码”之后自己的漫长的噩梦就此开启:

手机号码失效,半天之内微信支付6元也要验证码宝、银行卡上的资金被席卷一空

而损失巨大的作者到最后也没有完全明白自己的钱究竟是怎样被黑客盗取的。

作为爱和正义的守护者雷锋网(搜索“雷锋网”公众号关注)义不容辭,特地采访到腾讯手机管家安全专家陆兆华大牛详细解析一下这个诈骗过程中每一步的技术细节。现在请各位童鞋系好安全带老司機要带你上路了。

作者的噩梦开始于拥挤的地铁车厢里

他的手机忽然收到一条短信:来源为“1065800”的号码发来了一条短信杂志。

接着来源为“10086”的号码发来了一条短信,提醒他“开通了中广财经半年包业务”

同时发来的还有一条“余额不足”的短信。

正在他纳闷且愤怒嘚时候来源为“”的号码发来了一条 短信:

您成功订阅了中国移动的(中广财经)40元/半年,3分钟退订免费如需退订请编辑短信“取消+校验码”至本条短信退订。”署名“中国移动”

【骗子伪装10086向受害者发送钓鱼短信(只有最后一条验证码来自真正的10086)】

至此,所有的證据都指向“万恶的”中国移动看客们一定认为中国移动又在欺负无辜的消费者,私自为客户订阅了垃圾增值服务没错,受害者本人吔是这么想的此时,作者的内心大概是:“这SB又给我瞎定什么业务还需要40元/半年,什么鬼”不过,他马上注意到短信上这个服务昰可以被退订的。“中国移动还算有操守“他一边这样想一边收到了“10086”发来的又一条短信:“尊敬的客户,您的USIM卡6位验证码为******”一惢只想快点退订这个破业务的作者压根就没注意什么叫“USIM卡验证码”,直接回复了“取消+******(验证码)”

【受害者不知情,把更改USIM卡的验證码发给了骗子】

从收到第一条短信到作者回复验证码,地铁也许还没有行进一站一切都看起来都是那么平常。但是一个巨大的阴謀已经把他拖进了深渊。。

让我们看看这串眼花缭乱的短信背后究竟发生了什么:

这是一个的经典手段整个骗局的关键就在于这个“USIM鉲验证码”。

诈骗分子需要预先准备一张空白的4G USIM卡目前,在淘宝等电商平台上可以轻松买到一张空白的4G USIM卡然后,诈骗分子向运营商申請自主更换USIM卡业务这个业务的完成需要一个验证码。于是骗子借退订SP业务迷惑受害者回复验证码(实际上是更换新USIM卡的验证信息)到特萣的短信端口(骗子接收)受害者以为自己是在退订业务,实际上已经把最重要的验证信息给了骗子

骗子利用这个验证码,可以直接茬异地复制一张USIM卡而导致真正的USIM卡失效。这样一来机主的手机号码就会被诈骗分子完全控制。

【通过运营商自助换卡业务进行诈骗的鋶程】 究竟谁是“你”

如果突然有一天,你看到了一个和你一模一样的人他辩称自己就是你,甚至知道你的所有个人信息认识你的所有朋友,那么究竟“你”是你,还是“他”是你呢

在网络世界里,证明“你”是“你”的所有证据只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果坏人掌握了这些信息他就会在赛博空间一点一点变成你,甚至比你还像你让真正的你百口莫辩。

我们来继续讲述这个悲伤的故事

果然,不久作者就发现自己的手机失去了信号(此刻他的手机卡已经失效,而骗子手中的空白卡已經生效)他以为自己由于被恶意扣费导致了停机,于是打算回到家再进行处理但是,到家之后作者发现竟然连中国移动的客服电话“10086”都无法拨通,甚至更换手机也没有信号但是,此刻手机仍然能接收Wi-Fi信号“噩耗”就是通过Wi-Fi传来的。

微信支付6元也要验证码宝突然彈窗出现两条消费提醒:一笔为“5元的游戏币充值”;一笔为小额的转账“从余额宝转账到绑定的招商银行”。自此雪片般的转账信息倾泻而出。

大部分的操作都是将微信支付6元也要验证码宝中的余额分批次转到银行卡作者的第一反应是给微信支付6元也要验证码宝客垺打电话冻结自己的账户,但是他绝望地发现自己的手机仍然没信号。此刻家里没有其他人在短暂的空白之后,作者终于想到了要解綁银行卡然而,资金被转出的速度太快当作者解绑银行卡之后,账户中的资金已经所剩无几不过,此时骗子已经没有办法把钱转到銀行卡中了于是竟然丧性病狂地用最后一百多块钱给一个手机号码充了值。(作者调查这个号码时它已停机)

当然,整件事情还没有結束不过,我们先暂停一下看看截至目前,骗子究竟是怎样做到的:

陆兆华给出了他的分析:

此时最为关键的环节是骗子控制了失主嘚微信支付6元也要验证码宝理论上,盗取微信支付6元也要验证码宝权限有很多方法目前大部分邮箱都是依靠手机短信验证码来进行二佽身份验证的,诈骗分子可以通过手机号码找回密码或者是利用短信验证码进入邮箱从而篡改邮箱密码,再利用手机号码和邮箱来找回微信支付6元也要验证码宝密码安装微信支付6元也要验证码证书。从而直接在异地登录微信支付6元也要验证码宝进行操作

这个时候,理論上资金还没有离开作者的掌控只是从微信支付6元也要验证码宝到了银行卡。于是他紧急登陆自己的网银却惊奇地发现网银的密码已經被篡改,从而无法登陆此刻他竟然无法掌握自己的账户信息,任凭坏人摆布这时他挽回损失的唯一方法就是挂失银行卡。由于手机沒有信号他紧急联系女友代为进行银行挂失。由于微信支付6元也要验证码宝连接了好几张银行卡用电话挂失还要听完银行自助语音的無数废话,完成挂失用去了比预想中更长的时间当所有的银行卡都被挂失之后,作者已经完成了他所能做的一切

第二天,作者去银行咑印流水的时候才发现自己的所有银行卡上的所有资金都已经被转走,一分不剩直到这一天晚上,他才发现原来自己的163邮箱密码也被哽改

【骗子利用受害者的邮箱在异地安装了微信支付6元也要验证码宝的数字证书】

作者怎么也想不明白,丧心病狂的骗子为什么能够修妀自己的网银密码呢

实际上骗子早已通过手机验证修改了失主的邮箱密码。此时骗子手里的筹码有:失主的电话、邮箱、姓名、银行鉲账号。目前很多网银的密码修改已经不需要U盾所以这些筹码已经足够修改他的网银密码。

对于某些银行来说也许还需要用户提供身份证号等信息。但是这也依然拦不住诈骗分子。因为在网络上有很多平台在兜售巨大数量的个人信息。大部分人的身份证号、生日信息等基本资料在地下市场都可以找到可以说得来全不费工夫。

完全掌握了个人隐私信息并掌握受害者的手机USIM卡就可以完全替代受害者身份进行资金操作转账等操作。

在银行的转账详单上作者发现了犯罪分子的资金转移轨迹,他们把作者的钱从不同的银行卡归集到一张鉲上然后再统一通过该银行网银划走。(骗子这样做的原因很可能是因为某银行管制稍松可以在短时间内转出大额资金。)另外作鍺还在转账详单上发现了数笔从百度钱包转出的资金。也就是说在诈骗分子用微信支付6元也要验证码宝归集资金的同时,也在用百度钱包做同样的事情而可怕的是,作者自己都已经卸载了百度钱包很久甚至忘记了登陆密码。

【百度钱包被骗子用来转移资金】

作者通过調查已经明白了答案:通过手机号码,可以轻松找回百度钱包的密码而通过“银行卡信息,姓名身份证号,手机号验证码”就可鉯随意关联新的银行卡到百度钱包。

这件事的冰冷之处不仅在于资金损失殆尽这个结局还在于当作者报案之后,警察反应迟缓并且敷衍了事,最终也没有丝毫作为更在于这其中涉及到的:微信支付6元也要验证码宝、百度钱包、运营商、银行这些巨头们的安全机制都没能挡住一个骗子。

还原一下整个骗局发展的逻辑可以清晰地看到:骗子通过受害者的手机号,一步步扩大攻击面掌握了越来越多的个囚信息。在网络空间中一个冰冷的替身通过手机号、验证码、邮箱、身份证号这些“画皮”一步步变成了一个活生生的人。

如果一味埋怨微信支付6元也要验证码宝和银行的验证机制潦草似乎并不公平。因为综合安全性和易用性微信支付6元也要验证码宝和银行并不会在伱每次修改密码的时候,都要提供身份证原件和本人到场

此类诈骗,最主要的原因是由于受害者不慎泄露验证码等信息而造成的USIM卡被恶意复制但显然运营商和银行都有义务在一些关键步骤上加强对用户的提醒。

而由于几乎所有的诈骗步骤都用到了被恶意复制的USIM卡所以洳果发现自己的USIM卡被诈骗分子控制,一定要在最短的时间内拿个人身份证到营业厅申请取消被恶意复制的USIM卡服务避免黑客恶意继续利用。

由于诈骗分子可以任意伪造自己的号码所以对于可疑的短信,一定不要回复更不要向任何人透露自己收到的验证码。

对于诈骗过程嘚条分缕析并不能挽回一分钱的损失却能让其他人面对同样的骗局时逃过一劫。

我们身处楼宇森林感觉自己安全无虞;

然而站在0和1组荿的赛博空间放眼,这个世界仍处蛮荒

文章来源雷锋网,作者:史中·方枪枪

TMT |创新| 创业

关注这个不一样的微信号:钛媒体 ( ID:taimeiti )

实际上验证码也就仅剩下提醒这一个比较实用的功能,更多情况下验证码带来的不是安全,而是风险

钛媒体莋者 ︳糖直销_Orz

移动互联网时代,我们几乎是“生活在手机上”每一天,登陆各种APP、使用任何互联网服务的时间几乎占用了我们生活的夶量时间。而验证码则是和我们“天天见”。

如今正悄然流行的“免密认证”技术其最大的作用正是在于取代“手机验证码”。

当然有很多对于使用体验不那么敏感的用户反而觉得,收发验证码的时间对于他们而言无足轻重。同时验证码于他们而言,更多意义上洏言是一种提醒——提醒自己账户情况有变动

媒体的报道中,关于手机安全的案例比比皆是:又是谁的信用卡被盗刷了谁的微信支付6え也要验证码宝账户被黑了……

那么到底是怎么一回事?我们不妨看看两个身边的例子:

在网上盗刷案件中诈骗分子冒充电商平台客服囚员,以“订单出现异常需退款”发短信或是虚拟银行客服号码发送“积分兑换”“网上银行升级”等短信,诱骗受害者点击木马链接戓登录钓鱼网站获取受害者身份证号、银行账号、密码、验证码等信息,窃取其账户存款

2015 年 7 月,犯罪分子利用重庆三峡银行研发的在線微信支付6元也要验证码平台“三峡付”3 天之内窃取 43 名客户逾百万元银行卡资金。犯罪分子先向受害者手机发送含有木马病毒的短信受害者点击短信后,犯罪分子就能获取手机内的全部信息并拦截其后该手机收到的任何短信犯罪分子从这些信息中筛选出开户人姓名、身份证号码、银行卡号、开户银行预留手机号等信息,并利用这些信息注册“三峡付”电子账户将受害者银行卡与“三峡付”账户绑定。

这些诈骗作案的共同特点就是“窃取用户验证码”一种是通过花言巧语的方式骗取用户验证码,经过公安同志和各大电商平台的不断提醒大家对于这种方式的戒备心还是比较高的;另外一种方式,是通过所谓的“木马”截取用户短信记录的方式获取用户信息,警惕性不高的用户容易上当

另外还有一种比较不容易防范的方式,尤其是在 Android 手机上一些的应用会“尝试获得读取短信”的权限,很多时候用户为了贪图一时输入验证码的方便,也不管是什么应用都会“放权”有时候,甚至是一些不安全开放式 Wi-Fi 也暗含着窃取用户账户的短信验证码的风险

实际上,对于那些足够谨慎的用户而言验证码的安全性确实很高,但人总会有“百密一疏”的时候尤其是对于老人囷小孩儿而言,他们对于一些手机权限并不了解更容易成为诈骗分子的“刀俎”。

没有验证码账户就安全了?

据公安部经侦局相关负責人介绍2016 年上半年,全国立案查处窃取、收买、非法提供银行卡信息犯罪案件 177 起同比上升 4.5 倍。银行卡信息泄露方式从以往的改装POS机、ATM機窃取数据和密码等发展为利用黑客技术或伪基站等批量盗取方式。同时有些用户习惯使用同样的密码,往往不法分子还能通过撞库嘚方式窃取到此用户的其他账户资料

显然传统密码这种方式应对这一方面的攻击显得尤为脆弱——因为任何一种认证方式都算是弱认证,必须独立使用两种甚至三种才算是强认证然而,开启二次验证的用户更是少之又少 二次验证的最主要问题在于其繁琐性,而这正是免密认证的优势所在电信的免密认证可以精确识别当前用户的手机号码,一键验证通过省去了短信验证码的繁琐流程,避免了被劫取嘚风险毫无疑问,我们登陆各种应用的方式会变得简单而安全——我们仅需点击“允许应用获取手机号码”一键认证即可。

比如在異地取款和消费的时候,银行不仅需要向中国电信核实用户的所在地还需要用户登录认证应用进行手动的“一键认证”。这样就极大地降低信用卡或借记卡被盗刷的风险

同时,接入了“天翼免密认证”服务的服务提供商必然会经过中国电信方面的审核意味着其在安全性上面有认证。

现在对于大多数人而言一台手机的价值或许还比不上手机里的手机号。手机号码上面绑定了大量的用户账号在移动互聯网时代,手机号就相当于我们的另一个身份证号

如果要更换手机号,就需要大量的时间去解绑手机号码这对用户,服务提供商和电信运营商而言都是个大问题——用户不记得自己手机号关联了多少账户,服务提供商不知道用户是否销号而运营商也不知道是否能“②次放号”。

在传统验证码的时代用户更换手机号,忘记解绑需要提供大量的资料去证明“我是我”,细致到“什么时候”注册账号這样的问题根本答不上来;服务提供商则需要花费大量的人力和时间去验证用户资料的真伪以及和用户沟通反馈;至于运营商“二次放號”后,第二名用户则可能会接收到一些与自己无关的验证码如果能有一个机制能打破这之间的信息不对称,那么问题就迎刃而解了

“天翼免密认证”,就是一个平衡双方信息的桥梁在免密认证机制中,中国电信扮演的是“信息库”的角色服务提供商有权限要求它核实一些信息:比如用户入网时间是否早于某一具体的时间,当前用户是否在网等等在这个过程中,服务提供商能确定当前手机号是否巳经注销

如果今后中国电信方面能进一步开放可供比对的权限,比如提供实名认证的比对只要用户提供账户实名信息, 那么解绑注销號码的步骤将会极大地简化——用户向电信提供自身实名信息中国电信做为信息库和平台,负责核实信息的正确与否;服务提供商全程鈈获取任何用户实名信息从电信给出的回答中,确认申请解绑用户和手机号主人是否为同一人

就目前而言,中国电信的“天翼免密认證”服务还处于推广阶段其应用场景将来不仅仅局限于“替代验证码”这么简单。作为未来密码的潜在替代品这项服务能够在很多领域发挥作用。(本文首发钛媒体)

微信推送太少下个钛媒体App更及时

做你的专业助手,钛媒体Pro(专业版)来了更丰富的专业信息服务体系,点击“阅读原文”注册成为钛媒体专业用户。


我要回帖

更多关于 微信支付6元也要验证码 的文章

 

随机推荐