|
|
日常生活中,我们常常需要用到短信验证码,以进行修改密码、快捷支付、绑定手机等敏感操作。正因为短信验证码的广泛运用,坏人也盯上了这种“一次性密码”,并千方百计去盗取、截获。# @. r5 j1 \* Q2 a. C& L
' ]; B9 K P1 R) S& ]4 Q
你可能会感到疑惑:自己手机里的短信,坏人怎么可能拿到?
7 q0 a& x+ v0 @
8 A2 M# J8 D! r5 u6 _. y2 G7 J; _然而世道险恶,坏人狡诈,你手机里的短信验证码说不定已经被泄露了!" y4 R1 Q3 w4 V" @* s
- q1 I+ Q; D4 e. u2 K* x不信?接下来就为大家揭开短信验证码被窃取的真相。1 o) h5 J1 Z2 _% n
) W, R5 y1 E3 O% P( Q
狸猫换太子:补卡攻击3 T) L i& E" t
周女士的手机号码突然无缘无故被停机,随后发现网银里的存款全被转走。3 J- z4 t1 O4 K8 i% e2 n% |
4 ~8 A: @) h# M2 o
原来是坏人通过伪造身份证,冒用了周女士的身份,在某三线城市的营业厅对其手机号办理了停机并补卡。成功“克隆”周女士的手机卡后,坏人便可获取其所有短信验证码,继而可重置众多重要的登录或支付密码。于是,坏人以手机银行转账的形式,短短几分钟内转走了周女士银行账户内的所有存款。1 i" ~. P5 X9 B0 [. _2 ]: I& h* j
2 A) o1 q- v: D& Q5 P% v" K5 R; j( S2 H1 Q1 u9 M
* e0 z' ?# w: n8 H
解读:* ?; F5 i" N; m# b% d
“补卡攻击”就是坏人利用“社工”库结合运营商、银行的管理漏洞去窃取用户的银行存款,给用户造成经济损失。
) U y+ @; B' ^; [, b n$ |$ e; _5 J( d" }3 U/ q/ U) C
常见手法为利用二三线城市的运营商管理松散问题来办理补卡。短信验证码事实上是基于手机号(SIM卡)而非手机设备。
* |$ q" U7 U# q6 _2 V
: W9 ~$ E, {* K" ?. U, b" M( |坏人补卡后,受害者的手机卡就成了一张“废卡”,完全没有信号,更收不到任何短信。而坏人自然就能狸猫换太子,接收受害者的短信验证码,重置各种帐号,继而将手机银行资金转出。+ q. N& ?: w; |3 i
; e% r; `+ l5 ] x9 a; z) d' W
5 J, |. m0 F5 j. f/ `1 s5 X
好奇害死猫:短信木马
; |% q% D H$ M! A ?( B% U李先生收到一条短信:“这是聚会的照片,有空看看……”其后是一个网址链接。李先生不疑有他,点击了该链接。其后,李先生发现自己银行卡内的存款不翼而飞。% J! P5 |( b4 M* h- S k+ k
3 A4 d; x+ H) o, t$ R8 b1 F
原来那是诈骗分子发的诈骗短信,短信链接实际是一个木马程序安装包,点击后木马就会激活,使手机短信接收功能被拦截,所收到的短信验证码也会直接发至坏人的手机上。接着,诈骗分子在第三方支付平台上,通过快捷支付把李先生银行卡里的钱盗走。7 V/ E2 y) ?7 U9 s/ Y6 L
$ J; b, v$ R) ^$ Y) j# {6 u' \0 K' E+ h6 u7 G( [4 {
5 b+ W5 }- X3 h8 D/ N* z* z1 g! a2 c解读:
3 Q8 Q5 O. F7 o9 Y6 u7 H短信木马诈骗已形成非常完整的产业链:从制马到售马、租马,到实施钓鱼、诈骗、转移钱财。这种含有链接的不明短信,若是不慎点开链接(或者回复短信),手机就可能感染木马病毒,诈骗分子便可远程调看信息、拦截短信验证码,从而盗取用户钱财。
& u ?. m& O7 V3 L) e! B# A7 }( C3 d! [; w7 C. B& W, k
披着羊皮的狼:伪基站
& q. M8 E0 E, R刘女士收到10086发来的一则兑换礼品的短信。看到是运营商发来的短信,刘女士便按要求登录网址,输入了自己的身份证号、手机号、银行账号,以及收到的短信验证码等信息。事后,刘女士发现银行账户被盗刷了上万元。
" d& e: `2 d( t7 ]- Q2 o4 ?) W$ K, C+ p& J5 _& l
原来是诈骗分子通过“伪基站”伪装成10086,在短信中内置钓鱼网址,获取了刘女士的个人信息和验证码,并通过电商和支付平台完成了银行卡盗刷。 U* Z7 N V0 v4 q$ Q( k* z1 T3 l; ?; F
: m4 Y) P, U/ e& D/ r, @3 a
" H3 x7 V7 c3 u8 m
# V3 z8 J" u4 v" Q! H/ e5 O解读:
6 M: b$ R( _: ^: z) ]伪基站设备是嫌疑人组装生产的一种仪器,能够摄取一定范围内的手机信息,强行向用户手机发送诈骗、广告推销等短信。5 p# n" c- P5 e4 C2 ~1 p
3 M! ~/ x6 g" W8 E: L, O( k
伪基站能够随意更改发送的号码,还可以使用10086或95588等运营商号码,使手机用户误以为是真的移动公司或银行发来的短信,从而轻信其中的钓鱼网页,继而上当受骗。
' C5 ^& P1 n6 Z( d, r( ]
# k4 `2 p( I I k9 {/ l I; k+ }
- P# m% v4 V1 S步枪变坦克
. P7 {0 X% c7 w( C+ o! v. T) L" Q, g) B# g- N
安全验证环节就好比一个硝烟弥漫的战场,坏人愈加狡诈,作恶手段层出不穷,我们的防御武器当然也要从步枪换成坦克。/ t+ T% R/ W* r
7 P/ `) j& w' `* V; i; _: h
短信验证码虽然在历史的舞台上打造过赫赫战功,但新一代验证方式【QQ安全中心-一键验证】能为用户带来更便捷、更安全的验证体验。
/ n+ W- |8 ~$ E
# v0 {1 A. v; U4 i C通过QQ安全中心的一键验证,当用户进行某些敏感操作(例如修改密码)时,系统会给用户的QQ安全中心手机版下发一条验证消息,由用户来验证通过。同时,用户能详细看到操作的时间、号码和操作内容。
# Y4 g2 ? |& c+ e5 [* ^3 d, }! a* g- Y8 y$ w& H- A
. q, v0 G! z- X7 X2 L) o
, k! z% w; P# C7 z6 N1 o) S' c功能如其名,一键验证操作便捷,只需动动手指点击一下,即可轻松完成验证,不用编辑短信,也无需输入验证码,还完全免去了短信费用。7 w: M8 I. a) H1 R
& \% d% U: }6 v# r( [5 U若发现非本人操作,可以选择一键拒绝,不用担心被钓鱼。而且验证消息直接通过后台下发,再也不用担心被坏人拦截。 |
|
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
