|
|
日常生活中,我们常常需要用到短信验证码,以进行修改密码、快捷支付、绑定手机等敏感操作。正因为短信验证码的广泛运用,坏人也盯上了这种“一次性密码”,并千方百计去盗取、截获。, O- E& ^+ l: e3 b+ V( a6 z
4 y# [) W4 P) e" H3 O: a4 a3 ~
你可能会感到疑惑:自己手机里的短信,坏人怎么可能拿到?5 \1 d6 h2 I, y9 a* ~- m( f& p) a
& i. v ]; y2 z* I7 j% c然而世道险恶,坏人狡诈,你手机里的短信验证码说不定已经被泄露了!
1 L8 K1 [, c+ L- M
/ s6 B# p1 Q" i0 `' q& [不信?接下来就为大家揭开短信验证码被窃取的真相。7 k( \0 k' A( a$ O) _3 Y2 |% ?/ b% h
- y$ W8 ]4 z: v5 N3 U# b( `6 L
狸猫换太子:补卡攻击
! Y# b0 D1 Y. c" ~0 u8 s周女士的手机号码突然无缘无故被停机,随后发现网银里的存款全被转走。
) i- p5 D0 F' A$ _$ d1 }" q, [) L% r$ o) r7 d$ Y
原来是坏人通过伪造身份证,冒用了周女士的身份,在某三线城市的营业厅对其手机号办理了停机并补卡。成功“克隆”周女士的手机卡后,坏人便可获取其所有短信验证码,继而可重置众多重要的登录或支付密码。于是,坏人以手机银行转账的形式,短短几分钟内转走了周女士银行账户内的所有存款。
( C* B4 n7 C9 i7 w& L7 J2 z# `
9 |$ K7 v$ [# Y% A; T
8 V V: t+ h' K! W1 G3 z8 @& u7 s+ x1 z
解读:0 v4 ^+ {4 F& c# E
“补卡攻击”就是坏人利用“社工”库结合运营商、银行的管理漏洞去窃取用户的银行存款,给用户造成经济损失。1 i6 S" T+ g2 H5 V1 ]. I# h
1 o0 z3 F: Q" x k K9 W
常见手法为利用二三线城市的运营商管理松散问题来办理补卡。短信验证码事实上是基于手机号(SIM卡)而非手机设备。& g7 } X- }/ L& T% n) @
p) d' R! {1 J3 P8 n7 q! |4 c坏人补卡后,受害者的手机卡就成了一张“废卡”,完全没有信号,更收不到任何短信。而坏人自然就能狸猫换太子,接收受害者的短信验证码,重置各种帐号,继而将手机银行资金转出。6 S+ B; h5 H! k% F: J5 B Z
; a2 c! M' B1 v
^2 e8 ?1 U0 E7 M+ J0 O s1 ^6 K
好奇害死猫:短信木马( u! o! j( w" G8 z. Y
李先生收到一条短信:“这是聚会的照片,有空看看……”其后是一个网址链接。李先生不疑有他,点击了该链接。其后,李先生发现自己银行卡内的存款不翼而飞。* _( `) j; T" \+ _3 t6 r! a
4 \! D; G. q' @; m" m1 v原来那是诈骗分子发的诈骗短信,短信链接实际是一个木马程序安装包,点击后木马就会激活,使手机短信接收功能被拦截,所收到的短信验证码也会直接发至坏人的手机上。接着,诈骗分子在第三方支付平台上,通过快捷支付把李先生银行卡里的钱盗走。- W/ F9 ~( h% d: \5 R! m1 L8 o+ x
% Z) H5 s$ i+ s: E
) z9 A; z b d! R/ h7 E/ ~7 P. p
解读:
( ]$ M* }, M* i5 |2 j短信木马诈骗已形成非常完整的产业链:从制马到售马、租马,到实施钓鱼、诈骗、转移钱财。这种含有链接的不明短信,若是不慎点开链接(或者回复短信),手机就可能感染木马病毒,诈骗分子便可远程调看信息、拦截短信验证码,从而盗取用户钱财。
# [! F! |+ M% o, f! z# [* J) Z; }4 j
披着羊皮的狼:伪基站2 x" Q9 U7 j2 R% Q, }2 {6 \
刘女士收到10086发来的一则兑换礼品的短信。看到是运营商发来的短信,刘女士便按要求登录网址,输入了自己的身份证号、手机号、银行账号,以及收到的短信验证码等信息。事后,刘女士发现银行账户被盗刷了上万元。3 E# b. @0 g- v; x% R# x
- D/ ?* k/ I4 }* @. |原来是诈骗分子通过“伪基站”伪装成10086,在短信中内置钓鱼网址,获取了刘女士的个人信息和验证码,并通过电商和支付平台完成了银行卡盗刷。8 ^ @; E& z5 s/ N' ^1 U4 X! C
4 b4 F- l" f# |) g f8 `4 w! E! g$ i' e4 Y
5 ^5 v$ _9 O' o8 o解读:
0 v( w5 R; e$ t* @0 }伪基站设备是嫌疑人组装生产的一种仪器,能够摄取一定范围内的手机信息,强行向用户手机发送诈骗、广告推销等短信。
' t; `$ H! c. ]2 V7 v4 W+ i$ k) u. W) t# b
伪基站能够随意更改发送的号码,还可以使用10086或95588等运营商号码,使手机用户误以为是真的移动公司或银行发来的短信,从而轻信其中的钓鱼网页,继而上当受骗。; }/ Z) `$ ?) C( _$ c% @
! b& a1 ]- |2 ^5 n
" S! v* O' J4 @4 g; e步枪变坦克
6 K, {0 z; Z9 D$ z4 ?4 n* I/ @4 ?+ c/ T+ o+ `* |' ]# W* ?! h
安全验证环节就好比一个硝烟弥漫的战场,坏人愈加狡诈,作恶手段层出不穷,我们的防御武器当然也要从步枪换成坦克。+ s, E/ `: {# u" w
2 u3 b! ?* z+ x- W1 u: a
短信验证码虽然在历史的舞台上打造过赫赫战功,但新一代验证方式【QQ安全中心-一键验证】能为用户带来更便捷、更安全的验证体验。3 \$ Z% i- n) f* U
; `$ N/ W9 O" K4 H+ H* b* q通过QQ安全中心的一键验证,当用户进行某些敏感操作(例如修改密码)时,系统会给用户的QQ安全中心手机版下发一条验证消息,由用户来验证通过。同时,用户能详细看到操作的时间、号码和操作内容。
$ M, {" L" j% S/ r2 a& ^% W
1 v7 [' a! B5 W. [
4 I% C8 }8 j0 o. k9 l6 E* R; b1 C: p9 {* u5 s' J$ r
功能如其名,一键验证操作便捷,只需动动手指点击一下,即可轻松完成验证,不用编辑短信,也无需输入验证码,还完全免去了短信费用。
j9 r6 W6 m. B% x2 p" r' x2 q4 x/ }2 H, I- E& l
若发现非本人操作,可以选择一键拒绝,不用担心被钓鱼。而且验证消息直接通过后台下发,再也不用担心被坏人拦截。 |
|
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
