|
日常生活中,我们常常需要用到短信验证码,以进行修改密码、快捷支付、绑定手机等敏感操作。正因为短信验证码的广泛运用,坏人也盯上了这种“一次性密码”,并千方百计去盗取、截获。
7 C# s# ^6 E: N- k
* Z6 j+ K, I- z- `0 ~5 k你可能会感到疑惑:自己手机里的短信,坏人怎么可能拿到?" i' }6 n, y7 S( y+ c
/ r j( {" \. s5 Q然而世道险恶,坏人狡诈,你手机里的短信验证码说不定已经被泄露了!, S s& A2 J8 m2 i: ^1 Z: f
1 h' J3 x# B; j' O: k
不信?接下来就为大家揭开短信验证码被窃取的真相。
. x a. R; e9 e# B& ~& B( c4 S# q
狸猫换太子:补卡攻击4 f' K0 c6 k+ h) V% C
周女士的手机号码突然无缘无故被停机,随后发现网银里的存款全被转走。
; x2 O1 v7 m; [* ~8 l2 P k
. u! R8 \' ` T1 T/ @8 M原来是坏人通过伪造身份证,冒用了周女士的身份,在某三线城市的营业厅对其手机号办理了停机并补卡。成功“克隆”周女士的手机卡后,坏人便可获取其所有短信验证码,继而可重置众多重要的登录或支付密码。于是,坏人以手机银行转账的形式,短短几分钟内转走了周女士银行账户内的所有存款。
6 E/ t3 [7 w$ H1 a( L* S4 I* |& D- p+ Q1 v# S' v3 I
: l# h' m# R6 ~. Z) K$ _: ~0 Z7 A3 n* J" z2 E) A- X8 Y/ `
解读:
$ I3 u# s W1 u( @1 n“补卡攻击”就是坏人利用“社工”库结合运营商、银行的管理漏洞去窃取用户的银行存款,给用户造成经济损失。
9 K; L- I9 A$ O6 f2 u N9 d1 x8 T" k% @" T3 Q! A3 e+ [; o
常见手法为利用二三线城市的运营商管理松散问题来办理补卡。短信验证码事实上是基于手机号(SIM卡)而非手机设备。
! c: j( J$ U% t6 {8 \9 c! I5 R4 i/ f. H& [ C5 }: _" |& l, h
坏人补卡后,受害者的手机卡就成了一张“废卡”,完全没有信号,更收不到任何短信。而坏人自然就能狸猫换太子,接收受害者的短信验证码,重置各种帐号,继而将手机银行资金转出。% o( |# U4 p; F/ M- V0 a
" i2 i9 [5 f# l# r7 M& H* K. U( @( G7 z+ K
好奇害死猫:短信木马' Y* ?1 l6 O( y/ o* f8 N1 \
李先生收到一条短信:“这是聚会的照片,有空看看……”其后是一个网址链接。李先生不疑有他,点击了该链接。其后,李先生发现自己银行卡内的存款不翼而飞。8 j/ k. M1 U7 d* M4 Q' }6 T! J
3 e2 t" V( k- \: r原来那是诈骗分子发的诈骗短信,短信链接实际是一个木马程序安装包,点击后木马就会激活,使手机短信接收功能被拦截,所收到的短信验证码也会直接发至坏人的手机上。接着,诈骗分子在第三方支付平台上,通过快捷支付把李先生银行卡里的钱盗走。
2 n; \4 |/ Q- r$ f" s- p' z9 p& X1 M. K! Z$ l4 `
* ]2 B; M- H9 W+ \3 \$ t+ p. E
~& f H# q$ f. I3 `3 H: O解读: k5 g5 e, o4 j, |% Z/ S
短信木马诈骗已形成非常完整的产业链:从制马到售马、租马,到实施钓鱼、诈骗、转移钱财。这种含有链接的不明短信,若是不慎点开链接(或者回复短信),手机就可能感染木马病毒,诈骗分子便可远程调看信息、拦截短信验证码,从而盗取用户钱财。
" N4 ]/ [7 R8 {" I! B E: Z G0 `" P7 D! `/ O4 U) m
披着羊皮的狼:伪基站' r+ q% H6 Z. F% _
刘女士收到10086发来的一则兑换礼品的短信。看到是运营商发来的短信,刘女士便按要求登录网址,输入了自己的身份证号、手机号、银行账号,以及收到的短信验证码等信息。事后,刘女士发现银行账户被盗刷了上万元。: l u% R Q- T5 f- E$ a
' J6 [- Q3 a2 _6 c2 i5 ~原来是诈骗分子通过“伪基站”伪装成10086,在短信中内置钓鱼网址,获取了刘女士的个人信息和验证码,并通过电商和支付平台完成了银行卡盗刷。7 u' @, b1 d8 y% M o; o: [3 Y
, c W0 l# b$ _& [! _
2 i j/ O8 y+ j, h
: `1 Q) w5 A% Q5 f解读:1 S7 X& m8 u/ {( d G+ { Y) n
伪基站设备是嫌疑人组装生产的一种仪器,能够摄取一定范围内的手机信息,强行向用户手机发送诈骗、广告推销等短信。2 N& i& i6 ^ W( T7 v+ A+ u9 O
t% m6 k4 B) Q/ K# _伪基站能够随意更改发送的号码,还可以使用10086或95588等运营商号码,使手机用户误以为是真的移动公司或银行发来的短信,从而轻信其中的钓鱼网页,继而上当受骗。& K, ? x+ J4 {' C) S
: V& }+ E' ?) c
+ m+ k9 U j; x3 }) {+ ]0 }+ r
步枪变坦克
3 _/ \! ?- F' K7 l/ H3 {; c; f
' ]$ Z t* s& p2 t2 y! p安全验证环节就好比一个硝烟弥漫的战场,坏人愈加狡诈,作恶手段层出不穷,我们的防御武器当然也要从步枪换成坦克。
8 ~' v4 |* R- F" ~7 x' i
- \, m [0 W n: P1 I3 Q1 p2 V短信验证码虽然在历史的舞台上打造过赫赫战功,但新一代验证方式【QQ安全中心-一键验证】能为用户带来更便捷、更安全的验证体验。1 \2 s9 K( |0 i4 J/ F1 f9 u/ P
, K( ?/ ^ I8 y7 i/ N- {
通过QQ安全中心的一键验证,当用户进行某些敏感操作(例如修改密码)时,系统会给用户的QQ安全中心手机版下发一条验证消息,由用户来验证通过。同时,用户能详细看到操作的时间、号码和操作内容。: O7 t# `3 t/ x" k) Q
: w3 I- q# N( a
5 o, E8 B& A+ @6 O j2 g* }
& |/ A0 f( g# A5 O! ~功能如其名,一键验证操作便捷,只需动动手指点击一下,即可轻松完成验证,不用编辑短信,也无需输入验证码,还完全免去了短信费用。9 ]% I- G$ c3 U3 [
+ M( [3 l' a3 y- o/ y2 @* c
若发现非本人操作,可以选择一键拒绝,不用担心被钓鱼。而且验证消息直接通过后台下发,再也不用担心被坏人拦截。 |
|