(ID: ifanr)
人睡在家,债从天而降。
豆瓣网友“钓鱼寒江雪”最近崩溃了。
7月30日凌晨5点,她偶尔醒来,发现手机莫名收到了100多条验证码短信。仔细检查后,她发现支付宝、余额宝和相关银行卡的钱已经全部转出,京东账户也开金条、白条,借了1万多元。
什么都不做,一觉醒来一无所有,还背上了一大堆债务。这是什么骗局?
在报警、寻找手机关机、向支付宝索赔的过程中,“豆貂韩江雪”从热心网友提供的信息中得知,这可能是短信验证码的问题。
豆瓣网友“钓鱼寒江雪”连夜收到验证码短信
短信验证码惹的祸?
在移动互联网高度发达的当下,短信基本上只剩下一个功能:接收短信验证码。
登录微博、微信、收快递、银行转账、汇款……几乎所有与安全相关的操作,短信验证码都承担了最关键的责任——证明是自己操作。
为什么要靠短信验证码来证明自己?
这必须从“多因素身份验证”开始。
在互联网时代,一个安全的决策需要保证以下五个环节:
其中,由于互联网的匿名性,身份认证是最难证明的部分。在密码学中,最经典的方法是“多因素认证”。
比如我们出境过海关的时候,护照、指纹、人脸识别这三个认证要素是必不可少的。
甚至与国家安全相关的“核按钮”也使用了类似的加密方式。
比如,俄罗斯有三个“核扣”手提箱,分别负责总统、国防部长和参谋长。
发动核攻击时,必须同时按下至少2个核按钮。发射程序采用“双核按钮系统”,即每一级有两组密码,只有当两组密码拼写正确并逐级传达命令时,核导弹才能终于推出了。
不可能这么任性
但是,在现实生活中,“核按钮”级别的验证方式显然并不适用于所有人。一是成本太高,二是工艺太繁琐。
于是,以短信验证码为代表的“双因素认证”应运而生——几乎每个人都有一部智能手机,手机号码采用实名制,短信验证码成本相对较低。
同时满足安全、便捷、低成本三个方面的要求,这也是短信验证码大受欢迎的原因。
然而,一旦短信验证码泄露,随之而来的安全隐患也令人担忧。
编辑1分钟内收到的一系列验证码短信,不是本人操作,幸好及时处理
更何况,“短信嗅探”就是这样一种“窃取”短信验证码的技术。
什么是“短信嗅探”?
短信验证码是如何发送到我们手机的?主要通过以下三个步骤:
核心网侧的控制信令、语音呼叫或数据业务信息通过传输网发送到基站
信号在基站侧经过基带和射频处理,然后通过射频馈线送到天线进行传输
终端通过无线信道接收天线发射的无线电波,然后解调自己的信号
“短信嗅探”技术主要是操纵二、的第三步。
图来自百度百科
目前,大多数短信都是通过2G网络的GSM通信协议传输的,这种协议不安全,只需要一个嗅探设备(通常是改装过的手机)就可以收听。
图来自
后来,骗子利用假基站(通常是改装过的手机或笔记本电脑)收集周围的 SIM 卡信息。
这样就同时获得了手机号和短信验证码。此时,骗子已经可以通过网站查询来推断号码所有者的身份信息,甚至可以得到身份证号和银行卡号。
图来自
有了这些信息,诈骗者就可以进行资产转移、小额贷款等。通常犯罪发生在深夜,你可能还在不知不觉中睡着了。
休眠关机可以防止“短信嗅探”吗?
一些媒体给出的“短信嗅探”的建议是睡觉时关机。这种做法有一定的效果,但实际上只是治标不治本。
你睡了吗?没关系,攻击者也可以靠近短信发送者窃取短信。比如他想盗取你的支付宝账号,只要找出支付宝给你发短信的设备所在的位置,蹲在附近监听,你的验证码依然可以轻松获取。
而且休眠关机也有它自己的副作用。一方面,家人或朋友可能会在晚上遇到紧急情况而无法联系到您;另一方面,也曾出现过因“叫你死”、短信轰炸导致手机关机的情况,最终导致诈骗,损失更大。这不是一个万能的解决方案。
作为消费者,面对这种欺诈行为,我们目前防范的方法并不多,只能尽最大努力加强防范。以下方法都可以工作:
1. 开启高清语音通话服务(VoLTE功能)
正是因为使用了协议缺陷的2G通道,SMS才如此脆弱。因此,防止“短信嗅探”的一种方法是开启VoLTE功能,对短信进行“升级”。
开通高清语音通话服务后,短信将像打电话一样通过3G/4G网络传输。这种方式虽然不能100%抵抗伪基站的降维攻击,但可以增加“短信嗅探”的整体难度;不过暂时只有部分地区支持VoLTE功能。
2. 严格控制App读取短信权限
除了GSM“短信嗅探”,那些乖乖躺在手机里,获得短信阅读权限的应用,其实是信息安全的隐患。想想看,只要任何一个获得许可的应用出现漏洞百度网盘登录要验证码,你的验证码短信就相当于在网上“裸奔”。
不要拿太多,现在就拿回来。
3. 设置特殊号码接收验证短信
比较“孤立”的做法,大概是准备一个专门的号码和手机来接收各种验证码短信。
建议您在此手机上禁用WiFi和移动网络百度网盘登录要验证码,仅用于拨打电话和发送短信,可以阻止大部分由App漏洞、手机木马或短信自助云备份造成的危险.
但是,不要选择只支持 2G 网络的功能手机。回顾:2G 信号最容易被劫持。
我们还需要准备什么来防止个人财产被盗?
对于“钓鱼寒江雪”事件,网络安全专家tk认为,GSM“短信嗅探”只是一种可能。手机木马、运营商内鬼、短信自动云备份等都可能是验证码。短信曝光的原因。
还有一种说法是,这位豆瓣网友可能丢失了Apple ID的账号和密码,信息同步导致验证码“闪退”。
不管是什么原因,为了防止个人财产被盗,平时需要保护手机号、身份证号、银行卡号、支付平台账号等敏感隐私信息。多留点心,多设置几条防抱死线。
以 Apple ID 为例,设置两步验证后,您的帐户只能从您信任的设备(例如 iPad 或 Mac)上访问。首次登录新设备时,双重身份验证也很谨慎,要求您提供 Apple ID 密码和自动显示在受信任设备上的 6 位数验证码。
对于微信、支付宝、京东等账号,可以通过定期修改登录密码,或者增加登录和支付“关卡”(如手势解锁、语音锁、人脸登录、指纹识别等)来降低被盗风险, 等等。); 平台上也会有相应的安全保障。
同时,您还可以定期关注“登录设备列表”,遇到不合适的情况及时警惕。
并且万一发生不幸被盗事件,记得尽快取证,冻结挂失银行卡并报警。在依靠警方挽回损失的同时,您还可以准备材料向相关支付平台发起理赔申请,就像“独钓寒江雪”一样。
最后,借用一句古话,小心驾驭万年之船。
暂无评论内容