短信“半夜盗刷”该如何防范(3)

2018-08-20 10:41来源：新华社浏览：次手机版

　　那么，骗子如何获取用户的这些信息呢？例如如何获知附近用户的手机号？据腾讯安全技术专家介绍，手段千奇百怪，比如骗子劫持到中国移动139邮箱发送来的短信“中国移动 139邮箱狂欢来一波！100%有奖！点击查看邮件详情xx”后，复制其中的链接到浏览器，点击“进入掌上营业厅”，就可以直接看到手机号了。知道了手机号以后，再通过登录其他一些网站，利用社工手段就可以很轻松地知道这个人的银行卡账号、身份证号。
　　在获取了用户信息后，骗子就可以利用这些信息实施犯罪。其一，登录各种网站修改密码，如许多电商、旅游网站允许使用“手机号+验证码”的登录方式，而骗子又可以实时监控到验证码，所以很容易就可以登录。据测试，许多主流网站都可以顺利登录，可以查看商品订单、行程信息、支付信息等，而且还可以直接更改登录密码。其二，可以盗刷资金，许多App的安全策略较低，不少APP只要输入“姓名+银行卡账号+身份证号码+手机号码+动态验证码”，就默认是本人操作，骗子进入以后马上就会盗刷或者购买点卡类虚拟物品。其三，利用网站身份申请贷款等，有些嫌疑人刷完了银行卡中的钱，还会通过这些信息在一些小的贷款网站、平台申请小额贷款，让受害人不但积蓄全无，还会背负债务。通过非法获取和贩卖用户的隐私信息，黑产还可实施精准的电信网络诈骗、敲诈勒索、恶意推广营销等不法活动。
　　在此过程中，一些App会在必要时候启动风险措施，如支付宝在嫌疑人试图提现时启动了风控措施，从而中断了嫌疑人进一步实施犯罪的动作。据介绍，当天嫌疑人利用伪基站和嗅探设备于1时42分通过“姓名+短信验证码”的方式登录了支付宝账号；1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改，并且绑定了银行卡；1时50分到2时12分别通过输入支付密码的方式进行网上购物932元，并提现7578元。3时21分，嫌疑人想通过提现到银行卡上的钱进行购物，支付宝风控措施启动，要求人脸校验，没有通过校验后嫌疑人便放弃。此时，在支付宝上的消费也就是932元。
　　安全专家表示，支付宝的安全等级算是高的，但从嫌疑人的交待中，还发现了许多网站的风控措施不严格，很容易被利用。比如每天最高限额定得过高（某银行每天限额达到5000元），比如更换设备登录、频繁登录没有人脸或密码校验等手段，再比如可以在网站上进行小额贷款等操作。
　　建议
　　App及网站需提高短信验证码安全系数
　　而针对网络平台，全国信息安全标准化技术委员会也下发了一份《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》，建议个各App、网站服务提供商对业务系统中短信验证码的使用方式进行摸底。例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况，并评估相关安全风险，优化用户身份验证措施。全国信息安全标准化技术委员会建议的方式包括：短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择验证方式等。
　　如短信上行验证具体是：提供由用户主动发送短信用以验证身份的功能，如要求用户在规定时间内(如 60 秒)，使用已绑定的手机号码向移动应用、网站服务提供商指定的短信服务号码发送指定内容短信，移动应用、网站服务根据短信内容对用户身份进行验证。常用设备绑定为：提供将用户账号与常用设备绑定的功能，原则上支付、转账等敏感操作只能通过该绑定设备执行。设备绑定、更换等操作应采用短信上行验证、语音通话传输验证码等方式，并采用诸如要求用户回答预设问题、提供注册时填写的相关用户信息或核对该用户账号近期操作记录等方法进一步确认用户身份。

（本网站所发布文章只作为信息传播使用，不代表本网观点）

上一篇：“芯”病还须科学精神医
下一篇：治理房地产乱象打击炒房及黑中介 9省16市出台文件

相关阅读：

资讯排行榜

图片新闻

热点推荐