一条退订短信致男子倾家荡产 手机验证码并安全-闽南网
一条退订短信致男子倾家荡产 手机验证码并安全
来源:IT时报
&　　当手机中的应用越来越多、绑定的服务也越来越多时，谁会想到一条短信引发的连锁反应，能让一个人在一夜间倾家荡产？近日，北京许先生的遭遇《中国移动，请你告诉我，为什么一条短信就能骗走我所有的财产？》在网上引起轩然大波，中国移动、中国银行、中国工商银行、招商银行、支付宝、百度钱包、网易邮箱纷纷牵扯其中。&　　当记者通过许先生描述的被骗经过，试着重走幕后黑手攻击之路后才发现，这根链条风谲云诡、环环紧扣，国内地下数据交易市场的猖獗使用户信息严重泄露；银行批量发卡、办卡审核不严的同时，网银系统在线验证身份信息薄弱；第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时，一个精通各项业务环节的骗子粉墨登场，利用运营商网上自助换卡，把自己变成用户，开始一场肆无忌惮的掠夺。&　　复盘一：远程可自助换卡 备卡或从内部流出&　　4月8日，许先生在下班路上收到一条10086发来的短信，提示他开通了某杂志半年的手机报服务，在许先生回复退订无效后，又收到一条类似于官方号码发来的退订需输入“取消＋验证码”的短信和10086发来的USIM验证码短信。为了退订业务，许先生没多想就回复了6位验证码。之后，手机的SIM卡就一直处于无服务状态。&　　许先生哪里会想到，这是骗子精心设下的局，自己的号码订了增值业务是真的，10086第一次发来的退订信息和验证码也是真的，但都是骗子进入自己网厅后提出的请求。那条输入“取消＋验证码”的短信是假的，这时骗子正在远程申请SIM卡业务的“备卡激活”，短信验证码就是确认换卡的关键步骤。&　　在接下来的几个小时里，骗子用许先生的SIM卡接收短信验证码，相继攻破他的网易邮箱、支付宝及网银，并为用户绑定了百度钱包，盗取其资金。&　　在这场连环骗术中，除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外，中国移动网上自助换卡业务流程设计也成为众矢之的。&　　“在整个骗局中，骗子利用了正当的业务规则，外加受害人对相关业务不熟悉骗取验证码，行骗手段具有可复制性，但如果运营商对业务规则进行修改，加强认证，骗子无法获取验证码，则攻击就会失败。”360天眼实验室的工作人员告诉记者。&　　如何才能异地自助换卡？中国移动北京公司的客服人员告诉记者，办理人需在网站上申请一张备卡，登记邮寄地址后送卡到家，但地址仅限于北京，外省市不可享受此项服务。但据记者了解，此次事件中，骗子的IP地址在海南海口，而且网上申请备卡除需填写申请姓名、手机号、收货地址外，依然需要短信验证码，既然此前许先生并未收到过申请备卡的短信验证码，那骗子的备卡是从哪来的呢？&　　“骗子可能通过内部渠道拿到了备卡，也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露，在手机卡未严格执行实名制前，不用本人的身份证也可以领卡。&　　记者在淘宝页面中输入“USIM卡”，出现了浙江移动、上海移动等地的4G USIM卡，这些备卡均可用于短信自助换卡，店主告诉记者：“虽是短信换卡的备卡，异地网上自助换卡也可以试试，但不保证成功。”&　　复盘二：手机验证码可修改网银密码&　　“这是社会工程学诈骗的一种，也是欺骗性攻击，利用补卡换卡，骗子在与许先生做心理上的较量，此外，骗子对许先生做过调查，已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息，只缺最关键的一步，就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。&　　短信验证码有多重要？以登录支付宝为例，正常情况下，若有人在用户不常用设备上登录支付宝，用户会收到短信提醒。即使不知道登录密码，但已经给用户换卡成功的骗子，可以通过短信验证码、证件号码来重置密码。&　　在此次事件中，因为已经拥有许先生的SIM卡，收到异常登录短信提醒的是骗子自己，另从许先生的手机支付宝依然与骗子保持同步登录状态来看，骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码，这也就说明，许先生的支付宝号及密码可能早已泄露，被骗子掌握。&　　记者又尝试以找回登录密码的方式登录银行网银，虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理，但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合，并可以连续尝试输入10次。在这样的验证机制下，骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。&　　值得注意的是，对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的163邮箱，用163邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书，安装过程依然需要输入随机验证码及短信验证码，而被骗子关联的百度钱包，有2小时内转账的超级转账功能且转账不收手续费。&　　在百度钱包里添加银行卡，需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记，还可以通过短信验证码找回。短短几个小时里，对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱，到最后，许先生什么也没抢回来。&　　复盘三：余额1000元的支付宝账号密码可卖80元&　　“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息，还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向记者介绍，日常生活中，用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号，如果该酒店管理不严或系统存在漏洞，用户会在一瞬间泄露三个关键信息。此外，某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购，形成隐蔽而庞大的市场，这早已不是秘密。&　　菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称，实际均是用于信息买卖的QQ群，为了增加隐蔽性，群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。&　　在记者加进的一个QQ群中，信息被称为“料”，相较于售价几毛钱的身份证、手机信息，兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”，就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号，余额1000元以下的支付宝售价80元、元售价150元，额度越高，售价越高，大家均默契地先付款后拿“料”，拒绝做数据测试。当被记者追问为什么不自己操作时，一个卖主回答：“风险太高，一个IP操作多了会被查。”&　　在这个讲究“十年打工一场梦，人无横财不富裕，马无夜草不肥”的群里，快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全，大家都等着靠做偏门生意成富翁。&　　“换卡攻击没有什么技术难度，关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍，黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头，免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。&　　在《2015中国网站安全报告》中，据补天平台统计显示，补天平台中的泄露信息漏洞，共有4个漏洞可以造成1亿条以上的个人信息泄露，可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。&　　2015年共有1410个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站1282个，可能或已造成泄露的个人信息量高达55.3亿条。&　　行业对比方面，从平均每个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。&　　记者观察：不能把安全只建立在手机验证码上&　　“经济发达地区往往会成为通信网络诈骗的重灾区，但通讯诈骗不是单方面某一人的责任，现在市面上依然有未实名的手机卡，银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”&　　某市公安局反通信网络诈骗中心的工作人员告诉记者。2015年，该市通信网络诈骗案件2万余起，涉案金额近4亿元，同比上升达21%。为打击电信诈骗，该市成立了反通信网络诈骗中心，三大运营商及六大商业银行均参与其中，每单位派驻3人在公安局值班。&　　除了谁该为通讯诈骗负责外，建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗，总是会把矛头对准运营商。许先生的遭遇，中国移动确实存在管理及业务流程设计上的疏忽，但银行的实名制要比手机卡实名更具天然优势，也能控制得更好，在这种情况下，用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障，实际是在降低安全性。” 独立电信分析师付亮说。&　　如今，因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障，可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时，大家似乎忽略了，操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。&　　“各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证，确实是依赖于手机卡实名制，能大大降低非法注册，但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时，有黑客攻击系统，将错误指令改成正确指令，这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉记者。&　　但对于手机验证码成为与资金相关联应用的安全性问题，该高管颇为无奈地说：“目前，除了短信验证码，你认为还有什么其他可以大范围应用的验证方式吗？”&　　据了解，截至4月13日，支付宝已先行赔付了许先生在其平台上流失的一万多元资金，百度钱包承诺赔付但仍需提交材料走流程，被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示：“该用户的网上银行转账功能在此之前已由本人开通，后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。&　　中国移动的调查结果则显示，自助换卡业务办理流程正常，会积极配合相关部门，提供相关证据，进行后续查证。
　　2016Victoria's Secret终于在法国巴黎大皇宫拉开帷幕。满屏的美胸、美腿，天使的
48小时点击排行榜后使用快捷导航没有帐号？
嘉兴人保提醒您，&今：小雨(6～8℃)&&明：小雨转多云(-2～8℃)&&日
查看: 21510|回复: 6
网络诈骗又出新招，无卡转账时千万不能把手机验证码告诉陌生人
271主题帖子积分
等级：8, 积分 3211, 距离下一级还需 2789 积分
等级：8, 积分 3211, 距离下一级还需 2789 积分
　　现在银行转账方式多种多样，可以直接到银行转账，也可以通过网络随时转账，最简单的就是银行卡绑定手机，通过网络实行无卡转账，只要输入卡号、金额以及手机上收到的验证码，就可以操作成功。家住王店镇上的马女士就是因为轻信了“老熟人”，在还没有弄清对方身份的情况下，把手机上收到的转账验证码以短信的方式转发给对方，被骗走了6000元钱。　　1月6日下午5点52分，马女士的QQ闪烁，查看后原来是一个生意上的朋友，平时经常接触的，信息意思是这名生意朋友需要通过银行卡接收一笔钱，但她的银行卡没在身边，需要借用马女士的卡，把这笔钱暂时汇到马女士的名下。小事一桩，马女士满口答应，压根没想过自己就这样一步步落入圈套。　　当马女士把用户名和卡号发送过去后，生意朋友很快回信说正在转账3000元，并让马女士把手机上收到的6位验证码发给她。出于对朋友的信任，马女士在未看清短信具体内容的情况下，直接把短信转发过去。紧接着，又有一条验证码短信发送到马女士的手机上。糊涂的马女士还是没仔细看内容，以为之前的操作失败了，没有转账成功，就赶紧把第二次收到的验证码发了过去。　　之后，马女士查看了一下手机短信上显示的余额，怎么少了6000元，这下马女士警觉起来，仔细看了之前收到的两条短信内容，才发现上面写的是付款金额，每笔3000元，一共2笔，总共6000元。　　马女士懵了，难道朋友在骗她？于是赶紧拨通对方电话，质问朋友到底怎么回事？询问之下，马女士才明白，朋友的QQ被盗，而自己是被QQ里的那个陌生人骗了。　　在派出所里，马女士一脸懊恼，只要当时给朋友打个电话或者是看清楚短信内容，就不会被骗了。嘉兴日报
&&|&&&&|&&&&|
2室/88.25㎡
主题帖子积分
等级：7, 积分 2461, 距离下一级还需 539 积分
等级：7, 积分 2461, 距离下一级还需 539 积分
汤唯识这样被骗的吗:sweat
主题帖子积分
等级：8, 积分 4785, 距离下一级还需 1215 积分
等级：8, 积分 4785, 距离下一级还需 1215 积分
jx189 发表于
汤唯识这样被骗的吗
汤唯是被“骗”
主题帖子积分
等级：7, 积分 2917, 距离下一级还需 83 积分
等级：7, 积分 2917, 距离下一级还需 83 积分
谢谢分享！
主题帖子积分
等级：14, 积分 22615, 距离下一级还需 1385 积分
等级：14, 积分 22615, 距离下一级还需 1385 积分
主题帖子积分
等级：20, 积分 88421, 距离下一级还需 11579 积分
等级：20, 积分 88421, 距离下一级还需 11579 积分
主题帖子积分
等级：6, 积分 800, 距离下一级还需 700 积分
等级：6, 积分 800, 距离下一级还需 700 积分
嘉论手机达人勋章
手机认证勋章
嘉论手机认证会员
10周年纪念勋章
嘉论10周年纪念勋章
臻爱告白勋章
嘉论520臻爱告白勋章
嘉论微信勋章
嘉论版主勋章
嘉论网创建于2005年
嘉兴锋易网络科技有限公司 &Powered by&&X3.1
广告合作：2
网站事务：1&&法律顾问：浙江中禾律师事务所 钱家平 律师
工信部备案号：
增值电信业务经营许可证：浙B2-（含BBS专项许可）
Processed in 0.142327 second(s), 34 queries
电话：转905 工作日 8:30-17:00在线后使用快捷导航没有帐号？
只需一步，快速开始
请完成以下验证码
请完成以下验证码
查看: 6434|回复: 16
央视起底“电信诈骗术”之“验证码”骗局
最近，一篇受害人自述被骗经历的长文在网络上广为流传。作者称，由于回复了一条短信，他的支付宝、银行卡以及百度钱包里所有的资金一夜之间被“洗劫一空”。真相究竟如何？央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，我们不可不知、不得不防。一条短信&&一夜之间“倾家荡产”受害者长文微博截图“因为一条短信，一夜之间，我的支付宝、所有的银行卡信息都被攻破，所有银行卡的资金全部被转移，…那是一种一无所有的绝望。”这篇万余字的长文配发一系列截图证据，描述了当事人遭遇的全过程。文章在微博、微信平台上持续发酵，阅读转发超过780万，留言评论不断。经过多方联系，记者找到了当事人小许，一名参加工作不久的大学毕业生。“漂”在北京辛苦挣来的所有积蓄说没就没了，至今令他心有余悸。受害人 小许：一夜之间你所有钱财都一无所有。你能明白那种恐怖和崩溃的心理吗？都不是说难过，是恐惧和崩溃，我觉得我之前做的所有努力都是白费的。退订短信暗藏玄机
4月8日傍晚，挤在北京晚高峰的地铁里，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成了手机余额不足。受害人 小许：我这时候就纳闷了，因为我根本就没有订阅这个服务啊。紧接着就是非常诡异地又发了一条短信，显示是我只要回复取消加验证码，在3分钟之内退订免费。当小许正在琢磨“验证码”到底是什么，他又收到了一条来自中国移动客服电话“10086”的短信。受害人 小许：上面写着。您好，您的USIM卡验证码为六位数字，然后就没了，就句号。这时候我就想我要退订这个业务，他也没有跟我说验证是什么(用途)，我就按照常规的思维，就取消加验证码发给他了。原以为成功避免了一次手机用户经常碰到的“吸费业务”，但小许却惊讶地发现，自己的手机突然彻底瘫痪了。受害人 小许：重启了大概N次手机，然后它还是显示无服务。到家之后，有WIFI的时候再充值，去充了大概150块钱进去它还是没反应，这时候我就着急了。因为我手机是无服务状态，我也打不了10086的客服。
在线遭劫！支付宝一夜“归零”
这只是麻烦的开始，当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着竟然有人在另一个终端上操作他的支付宝账户。受害人 小许：这时候就不是诈骗，这种感觉是在抢钱。就我眼睁睁地看着他，把我的钱一笔一笔又一笔的转移，而且不是我个人操作的。由于手机无法呼出挂失，情急之下，小许只能通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。受害人 小许：因为你知道打客服(电话)是个非常缓慢的过程，它一步一步各种各样的验证，…当我挂失成功完成之后，发现我的支付宝没钱了。他不但攻破了我的支付宝，还在我网银里发生跨行转账。就发现我后来每一张银行卡里，余额都是零。百度钱包“被偷” 网银账户“沦陷”更令小许感到恐惧的是，冻结支付宝账户并没有使自己的银行卡摆脱被劫的“命运”。他第二天才发现，自己名下的招商银行、工商银行两张储蓄卡，在他完全不知情的情况下，被人绑定在另一个在线支付平台“百度钱包”上，加上小许原本在“百度钱包”绑定的另一张中国银行卡，三张卡里的钱全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。“嫁接”移动业务&&精准“劫持”手机
小许的遭遇不仅让众多网民震惊，也在通信、互联网和银行业内引发了热议。从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时，所有这些不可思议，都是从收到那条订阅短信开始的。记者从短信入手展开了调查。明明小许没有订阅，为何会收到订阅短信？根据中国移动北京分公司的内部查证：4月8日17点54分，有人通过海南海口的一个IP地址，以小许的手机号成功登录了北京移动官方网站，不仅发起了手机报订阅，还在18点13分成功办理了一项名为“自助换卡”的业务。自助换卡：“双重关口”皆被攻破“自助换卡”是中国移动推出的一项在线服务，通过这项业务用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。经过“自助换卡”，相当于小许的手机在那一刻更换了机主，落到了别人手里。中国移动北京分公司表示，目前仍不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。中国移动北京公司业务专家 孙鹏：第一道门是诈骗分子把门户网站的密码破解掉了，第二道门是他启动了换卡的流程，点击确认，我要发起换卡了，系统就会向他发一个二次确认的验证码，把这个验证码再填回系统之后，才会发起后期的换卡工作。
“致命”漏洞：关键信息缺乏关键提示攻击者要换卡，必须先知道验证码。当时小许收到的这条来自10086的验证码，正是攻击者在网上发起换卡后，系统自动发到小许手机上的。但在这条20多字的短信中，并未说明验证码的用途。受害人 小许：可以说，他是以极其随便的态度来发给我，就告诉我这是个验证码，普通人没有接触过这方面信息的时候，是不知道它是有什么用处的。骗局揭秘：利用“信息盲点”编造“剧本”“USIM卡验证码”到底是什么？攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：先是破解密码登录官网，为当事人订阅增值业务并实现扣费，这是在营造恐慌气氛；再通过发送一条诈骗短信，告诉当事人可以免费退订，但需要立即回复“验证码”；趁着当事人正急于退订却搞不清“验证码”在哪里，攻击者又在中国移动网上营业厅发起换卡业务，使系统自动向当事人发送10086短信的“验证码”，这种及时跟进的“雪中送炭”，更会让当事人对骗局的“剧本”深信不疑；最终，面对这个没有任何安全提示的“验证码”，当事人会很容易顺着之前“剧本”的逻辑，积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”，攻击者完成“自助换卡”后，会利用成功“劫持”的手机使用权接收各类短信验证码，进一步对受害者的财产账户发动攻击。受害人 小许：手机号不仅仅是你的通信工具。它是你在互联网上的唯一身份凭证，意味着一旦你失去你这个手机号的控制权，那你这个人就被抹掉了。因为我丢失了那个手机号。其实在那一晚上我是没有身份的在互联网上，我的身份被另外一个人取代了。
风险失控：“冷门”业务变“后门”小许的经历并非个例，不少有着同样遭遇的网友主动与小许联系，讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。记者在调查中发现：一些本为方便用户而开发的业务，却因用户普及程度较低，成了被攻击者“盯上”的充满风险的“后门”。记者体验了“自助换卡”的全部流程：注册登录移动网上营业厅，进入“自助换卡”页面并申请这项业务，只要将原手机卡收到的短信“验证码”回填到网页，原卡的号码信息会被写入装在另一部手机里的新卡，而原手机卡立即作废，几分钟即可完成操作，而且完全免费。记者注意到，与到营业厅当面办理不同，自助换卡全程都没有核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡，并将卡面上的编号输入网页，这张卡被业内称为“白卡”。中国移动北京公司业务专家 孙鹏：如果您是中国移动的客户，您现在可以到营业厅，免费领取一张，或者说是我们通过邮寄的方式给您寄过去。记者：免费领取的时候，需要核验身份信息吗？中国移动北京公司业务专家 孙鹏：你只要是中国移动的客户，我们就会给您一张白卡。记者：不需要做任何身份验证？中国移动北京公司业务专家 孙鹏：白卡本身是不需要做验证的。白给的“白卡”：“便捷”还是“隐患”？
记者了解到，这种“白卡”和领取人的手机号没有绑定关系，因而领取后可以写入任何手机号，不仅可以免费从官方途径获得，甚至在淘宝等网站上有人公开售卖。这就意味着，攻击者要“劫持”小许的手机卡，只需要以小许的手机号成功登录中国移动网上营业厅，并骗到那个没有任何提示说明的6位验证码，剩下的条件都可以轻易获取，不需要任何身份验证。信息安全专家 孟卓：曾经可能线下还要验一下身份证我们还要面对面沟通交谈，但是在网上呢，可能就会有这种安全隐患在里面，现在你也永远不知道是一个什么样的人，他在哪里在研究你的系统，在尝试着发现你系统里的一些问题。揭穿伪装：诈骗短信披上“官方外衣”
回溯小许的遭遇记者发现，在构成这场“连环”骗局的几条短信中10086是中国移动统一客服号码、是中国移动手机报号码，令当事人深信不疑。就连此次事件中唯一一条由攻击者编造的诈骗短信，也是利用“139邮箱”的一项“发短信”功能发出的。记者实际操作发现，如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人，接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节，不仅可以对诈骗短信进行伪装，骗取接收者的信任，还可以接收到当事人回复的关键验证码。因此，139邮箱的“发短信”功能被攻击者所用，成为骗局的重要一环。而这项中国移动已经推出8年的免费功能，很少有人真正了解它的操作细节，使用率也不高。信息安全专家&&张耀疆：所谓的冷门业务，它有时效性的。按道理可能在某一时期它就有某一时期的一个作用，但实际上这个(行业)发展非常快，随着时间的推延，其实有些东西甚至你自己都忘掉了。就是一般不太用，但是懂的人他就会打它主意，利用它。有时候时间长了，它就变成后门了。
验证码“撬开”全部账户？当事人的手机卡被“劫走”后，第三方支付平台、甚至银行的安全验证都被接连突破，这一切真的仅靠掌握短信验证码就可以实现吗？小许：他为什么就能凭我的手机就能够破解我的网银呢。工商银行客服：第一必须得知道您的网银登录密码，…如果他不知道登录密码的情况下，他还需要您卡的密码。小许：卡密码？工商银行客服：对，就是卡的取钱密码，就那六位数卡取钱密码。如果密码、卡号和手机他完全掌握他才能做这些交易。这意味着，尽管短信验证码是每一步攻击的关键，但攻击者还需要受害者的银行卡号等更多的信息。因而可以断定，小许的手机卡被“劫持”之前，他的“成套”个人信息已经被攻击者掌握了。尽管已经向警方报了案，而且支付宝和百度钱包也在案件侦破之前，对小许在该支付平台上损失的金额进行了先行赔付，但小许仍在通过各种途径寻求答案。他恐惧的是，不知自己还有什么关键信息已经被他人所掌握。信息安全专家&&张耀疆：个人信息在网上通过各种各样的方式去猜测碰撞，最终汇集到一起，形成一个地下的一个数据库。那么这个库里面会有大量的非常完整的个人信息的一个链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码，其实都在网络的黑市里面，而且是别人整理好的，不是零散的，这个就非常可怕。短信验证码“不能承受之重”近年来，在个人信息泄露交易愈发猖獗的大背景下，单一的静态信息如账号、密码已经不能保证各类身份验证，尤其是在线支付的安全。因此从银行开始，越来越多行业的安全策略采用了“双因素认证”的理念。简单的说，就是“用户自己知道的信息”这把“钥匙”已经不安全了，必须用随着时间、事件等因素随机产生的一次性密码再加上“另一把钥匙”，同时拥有“两把钥匙”的人才能开一把锁。而这把“新钥匙”从最初的U盾、令牌开始，越来越多的“集成”到了智能手机上，“短信验证码”已经成为如今在线支付“双因素认证”的“必选项”。之所以小许的所有账户被“全线攻破”，是因为除了个人信息这把“钥匙”早已泄露外， “双因素认证”的第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现：所有的在线支付都可以用手机号和静态密码登录，百度钱包直接可以用短信验证码登录；“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成；而对于第三方支付最重要的“支付密码”，支付宝竟然简化到仅凭短信验证码就可以更改。小许：如果我的手机号已经被盗走了，因为我可以确定这一点，他还需要别的才能把我的钱转走吗？招商银行客服：转账的话是需要您的取款密码，跟验证码的，但是如果说他是网上支付的话，就是只需要验证码就可以了。信息安全专家&&张耀疆：验证码这个东西，它可以做可各种各样的动作，比如说找回你的账号密码，那么这样就导致什么呢？其实你个人的账号密码和验证码就变为一体了，它变成一个因素了。那么原来设计当中的双因素的功效就大大的降低。就把所有的鸡蛋都放在这么一个篮子里面，导致了种种的问题。
如何防范“验证码攻击”从小许的遭遇中我们应该得到什么警示？面对此类针对短信验证码的“精准诈骗”和“组合攻击”，又该如何保护自身安全？信息安全专家为大家“支招”。信息安全专家 孟卓：现在互联网发展到这个地步，很多这种计算机服务器，它的运算能力已经很高了，包括带宽现在也很宽了，4位数验证码，我们可能会在行业里会做一个测试进行猜解，不到一万次就猜出来了，基本上几分钟就搞定了。专家提示，从电脑到手机都面临着木马病毒、“钓鱼”网站等黑客技术的安全威胁，如果只靠一个简单的静态密码，无法保证安全。因而，首先一定要保证静态密码足够复杂，并妥善保管防止泄露。“四招”防范“验证码攻击”
一、静态密码设置一定要复杂其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对&运营商&、&银行&等身份的手机短信和来电进行认真甄别，冷静应对。二、遭遇“干扰信息”仔细甄别莫慌张每个人手机上，可能都会出现过各种的干扰信息，那么如果在我们风险意识并不是很强的情况下，很容易被这种干扰信息所误导，就会产生后续的一系列的损失。三、手机离奇“瘫痪” 紧急“挂失”当先另外，如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于&信息孤岛&时，冒名顶替机主身份窃取账户。四、短信验证码 不能告诉任何人！！！最最重要的是：短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。支付宝安全发言人表示，基本上现在市面上任何的验证码，它都不会有再次上行的过程。也就是说它只会单向地告诉你，它的验证码是多少，不会再次要求你，说你把你的验证码发送给它。所以说，任何问你要验证码的都是骗子。从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。
最好的办法，置之不理，马上删除
好不悲伤。
最好的办法，置之不理，马上删除
都能这样就好了。
好不悲伤。
防不胜防。
有关部门呢？啥啥都叫个人去防，防的过来吗
开心论坛手机版
太恐怖了！
有关部门呢？啥啥都叫个人去防，防的过来吗
我也疑惑：有关部门为什么就不管呢？
太恐怖了！
罗斯福的“四大自由”有一条是“免于恐惧的自由”。
最好不用支付宝
联系电话： & 电子邮箱：bbs@sgnet.cc & 管理QQ： &
Powered by