美文网首页
央视曝光:短信验证码又被劫持,短信嗅探如何防范?

央视曝光:短信验证码又被劫持,短信嗅探如何防范?

作者: 北京一砂信息技术有限公司 | 来源:发表于2020-07-07 17:13 被阅读0次

    最近央视《焦点访谈》播出了一期节目,名字叫做《狡猾的“嗅探”》,曝光了一宗发生在海南省三亚市的离奇案件。

    受害人宋女士,在没有对手机进行任何操作的情况下,银行卡内的5万元在几分钟之内被转走。

    细思极恐!但这种犯罪手法,并不能算是新型手法,早在2018年就已经在国内多地发现,并已经被公安机关打击过。整个作案过程,简单来说分为三阶段:

    阶段一:短信嗅探

    通过简易组装的设备,干扰附近的手机信号,使其信号降级为2G,在此模式下,可以通过短信嗅探将手机短信劫持,但是要求手机不能移动。

    这种被命名为“短信嗅探”的技术,最关键的一个环节,就是我们在各类APP里,经常用到的“短信验证码”。

    “短信验证码”,一直被行业内公认作为最便捷的鉴权或认证方式。而这种方式是建立在一个理念之上,那就是只要手机号在你手里,我就认定你是机主。因为大部分人都设置了手机的锁屏密码,就算是手机丢失或被盗,一般人也会马上挂失。所以,手机不在机主手里的情况比较少见。

    正是基于这一理念的漏洞,才让犯罪分子有机可乘。因为在他们看来:手机号在你手里,无所谓,但验证码在我手里。

    上面犯罪嫌疑人最后一句话,真是令人哭笑不得。

    阶段二:信息盗取

    要想获利,一般需要手机号,姓名,身份证,银行卡号等四要素信息。获取这些信息又有几种方式,理想状况是通过已有社工库寻找附近手机号的已泄露的信息,也就是说,附近抓到的手机号,以前已经在历次数据泄露事件中被泄露过了,可能包含姓名,手机号,邮箱,密码等,再通过邮箱和密码获取更多的信息,这个过程也可以叫做社工。当然,一般情况下,不会这么理想,只能通过短信验证码,不断地尝试获取其他信息,如忘记密码/重置密码,忘记卡号等等。

    上面讲了这么多社工,其实都是指“社会工程”这个词本来是美国顶尖白帽提出来的,指的是通过欺骗手段套取被害人主动提供敏感信息。发展到今天,通常意义上的电信诈骗和各类欺诈都可以归为此类。

    阶段三:套现获利

    这年头,没人直接转账了,转了账就有目标账户,不管转几次,在银行系统内都可以追踪,而且总要取现,根据取现ATM地址顺藤摸瓜就会找到黑产的地址,然后人赃并获。现在通过虚拟商品变现的模式是主流,各种羊毛平台上买家卖家自由交易,各种黄牛负责收集和分发,这些虚拟物品来无影去无踪,可能最后充到千里之外的N个手机号或者视频会员上,难以追查。

    先重置一下支付密码,购买各类虚拟商品套现,如手机充值、游戏点卡、各类视频会员,统一渠道半夜购买这类商品,肯定会被风控,因此黑产会从多渠道下单。

    有人说,我卡里没钱啊,怎么购物,你借记卡没钱,信用卡总可以吧,支付密码都改了,想买什么买什么。

    信用卡高频小额交易会触发银行风控,不着急,还有花呗呢,花呗用完了还有借呗呢,借呗也用完了,还有微粒贷。

    持牌机构的借完了,还可以去借各种小贷,通过姓名身份证,用黑产工具可以获取到身份证照片,这些小贷通常贷前风控很弱,用PS的照片或者直接把身份证照片抠出来就能过人脸,还别说有的平台不用人脸。

    如何防范?

    先来说说金融机构们如何防范。有的银行借记卡做了一些安全功能,比如【夜间锁】、【异地锁】,在夜间或者异地是没法动账的。

    另外,整个安全体系需要动态立体的防护,任何一个安全工具都有可能被攻破的情况,因此,在一个完整的交易链路中,不允许一个客户只经过单一要素安全工具就能动账,比如从登录到查询到转账,全部只要几个手机验证码就搞定了。当然,可以根据手机客户端的特征来判断,一个常规登录的低风险设备和用户,并不需要用高安全级别的工具,只有当用户账户特征发生变化的时候,才需要启用高安全级别的工具,并且都要求双因素认证。

    动态安全策略体系示例

    作为一项必不可少的操作,现有登录方式的门槛并不算低,甚至存在一些难以调和的矛盾:愈发健忘的我们需要记住所有账号和密码,愈发追求效率的我们需要等待并输入短信验证码方能完成登录,愈发重视安全和隐私的我们需要面对明文验证、短信劫持和信息泄露的风险。

    是否有一种登录方式在保证安全的同时,还能提升我们的使用效率?「爱加信」正是为此而生的产品。

    「爱加信」可信短信验证码

    「爱加信」中的“爱”源于IFAA——支付宝采用的目前手机部署最多,安全级别最高的生物认证技术。有爱的APP,在每次指纹认证之后,都能得到第一次短信认证的电话号码。有“爱”的APP,服务才有了对终端和用户完全信任。 「爱加信」通过将iifaa生物认证方式与短信认证码组合使用,将电话号码和指纹认证结果关联在一起,有效防止因验证码被盗产生的风险,告别明文验证,避免泄密的风险。

    在互联网产品越来越注重用户体验的今天注册和登录是用户与产品接触的第一步,一个更省时、直观的登录体验可以显著降低产品的使用门槛,提升用户转化率。与传统登录方式相比,一键登录在操作便利性上有着天然优势。在电信运营商推出之后,就获得了京东、携程等互联网应用的青睐。然而在广泛部署之后,运营方发现在安全性上,一键登录的表现都不尽如人意。无法防止机器人刷单,造成运营方的资费损失。

    那么想要接入一键登录功能的产品该如何保证账户的的安全呢?这就不得不提到中国电信与蚂蚁金服携手,将一键登录与IFAA(支付宝的指纹支付)相结合的「爱加一」产品。

    「爱加一」可信一键登录

    一键登录因为比短信认证安全,用户体验更好,并且在获客拉新方面的显著提升作用,在电信运营商推出之后,就获得了京东、携程等互联网应用的青睐。然而在广泛部署之后,运营方发现在安全性上,一键登录的表现都不尽如人意。无法防止机器人刷单,造成运营方的资费损失。为了提升产品安全性,中国电信与蚂蚁金服携手,将一键登录与IFAA(支付宝的指纹支付)相结合,提升用户体验和功能安全性,接入方式完全不变。

    获客转化:用一次手机操作代传统的短信验证码的多次交互过程,利用极致的用户体验提升用户获客率。支付宝的IFAA的指纹人脸认证技术升华了用户体验,让用户“爽”到极点;

    可信安全:一键登录避免了传统短信的验证码泄露安全问题,同时支付宝的IFAA指纹人脸认证技术保证了设备可信与实人操作,保护运营方无资损;

    极简接入:十几行代码轻松搞定Android与iOS的平台接入,IFAA让开发人员远离移动端生物认证技术的碎片化问题,省时省力。

    一键登录以本机号码作为账号体系核心,使用三大运营商的网关认证技术,由运营商网关直接验证SIM卡信息。同时支付宝的IFAA指纹人脸认证技术保证了设备可信与实人操作,认证全程加密,可杜绝短信劫持及信息泄露等风险,为用户的安全保驾护航。

    与传统登录/验证方式相比,「爱加信」「爱加一」可提供更安全、快捷的登录体验,降低用户的注册和使用门槛,提升用户转化几率,保障用户的安全,提高验证的效率。相信在不久的将来,「爱加信」「爱加一」将会成为越来越多应用的标配。

    相关文章

      网友评论

          本文标题:央视曝光:短信验证码又被劫持,短信嗅探如何防范?

          本文链接:https://www.haomeiwen.com/subject/bgczqktx.html