关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块用户节2019活动众测会员商城积分商城
本帖最后由 杨乃玉 于 2018-8-17 07:26 编辑
8月14日,深圳龙岗警方宣布打掉一个新型盗刷银行卡犯罪团伙,抓获10名嫌疑人,查缴伪基站等电子设备6套,带破同类案件50余宗,涉案金额逾百万元。据专家分析,嫌疑人通过“GSM劫持+短信嗅探”技术截获受害人短信验证码,从而完成盗刷等操作。截至目前,这是全国该类案件中打掉涉案人数最多、金额最大的一起。

360社区

360社区

“基于短信验证码实现身份验证的安全风险显著增加。”全国信息安全标准化技术委员会在《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》中指出。

网友遇怪事


梦中收短信 网银被盗刷


7月30日凌晨5点,从梦中醒来的网友“独钓寒江雪”发现了一件怪事:“手机一直在震,一看,接收了100多条验证码,支付宝、京东、银行什么都有。吓得一下子清醒,去看支付宝,余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走1万多元。”


人在睡梦中,手机在身边。是谁远程偷看了短信验证码,还利用短信验证码完成了转账购物借贷等操作?据了解,这是不法分子通过“GSM劫持+短信嗅探”技术,实时获取用户手机短信内容,窃取用户信息,盗刷用户账户。


“不法分子先使用伪基站获取用户手机号,再通过网上泄露的,根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些启动注册或交易,并利用和用户位置相近的特点窃取用户短信验证码。”北京大学信息科学技术学院副教授陈江说。


有业内人士形容,嗅探硬件“小的跟手机差不多,大得像行李箱,最低成本只用花一顿必胜客的钱”。守护者计划安全专家周正介绍,目前绝大多数移动互联网服务都采用以手机号和短信验证为基础的识别策略,但国内GSM的语音和短信业务鉴权和加密性偏弱。犯罪分子使用定制化、成本低、易携带的嗅探系统,获取受害人的手机号和短信验证码,进而实施犯罪。


此前已有多地出现“GSM劫持+短信嗅探”盗刷案件。2017年底至2018年8月,腾讯守护者计划安全团队协助北京、福建、广东等地警方打击此类犯罪团伙5个,抓获犯罪嫌疑人25人。


短信漏洞多


身份可伪装 内容易泄露


注册新账号,需要短信验证码;忘记密码又想登录网站,需要短信验证码;在网上转账提现,需要短信验证码……当前,使用短信验证码验证用户身份的技术,被广泛应用于各类移动应用和网站服务。


陈江说:“短信验证码虽然方便高效、容易普及使用,但存在‘是否用户本人使用本人手机完成验证操作’这样的漏洞,给不法分子伪装受害者提供了机会。”


“短信验证码是账号安全的核心,承担着实名认证的任务,是保证资金安全的一把密匙,但目前的关注程度还不高。”中国政法大学传播法研究中心副主任朱巍说。

通过短信验证码登录账号后,不法分子可以获取用户的快递地址、消费记录、通讯录等隐私信息,还可以通过“撞库”“社工”等方式,“集齐”用户的姓名、身份证、银行卡号,实施资金盗刷、电信诈骗、敲诈勒索等活动。

除了被“偷窥”,泄露短信验证码的途径还有很多。有的用户点击了非法链接,手机被安装监听木马;有的不法分子伪装银行客服,直接索取验证码内容;还有运营商内鬼主动泄露,里外勾结。此外,短信云同步、自动填写验证码等功能的初衷虽是方便用户,却也可能被不法分子利用。


安全待升级


改发送方式 加生物识别


“改变短信设置,使用VoLTE技术(基于4G的语音传输技术),改用4G网络传输短信。”“关闭手机蜂窝功能,改用无线网络”“晚上睡觉时关闭手机或调整到飞行模式”……为了避免短信验证码被“偷窥”,不少媒体和热心用户给出了解决方案。


但是,这些方案并不能一劳永逸。比如,就算改用4G传输短信,不法分子也可能在4G网络薄弱的地区“监听”,或用特殊手段把短信“逼”上不够安全的2G通道。


全国信息安全标准化技术委员会建议,网络平台可以要求用户主动发送短信用以验证身份,使用语音通话传输验证码,将用户常用设备和账号绑定,采用指纹识别、人脸识别等生物特征识别技术,同时随机选择多种方式进行验证。


“用户传输敏感隐私信息时,应选择安全性相对高的通信软件,发现手机信号模式异常时应及时更换网络环境。网络平台应增加多维度动态验证机制,对账号异常行为进行强校验,采用生物特征识别技术。运营商应提高4G网络覆盖率和稳定性,推动VoLTE等高清数据传输方式的普及。”周正建议。


“第三方支付机构要注意资金安全,发现异常及时停止服务,避免用户损失。同时,第三方支付也要和银行开展配合,形成立体化风控体系。”朱巍说。【来源:E安全】

更多资讯详见:360社区早报(2018-8-17)

新品推荐|360扫地机器人X90领劵立减800元

共 8 个关于短信验证码漏洞多风险大 怎么解决?的回复 最后回复于 2018-8-22 05:42

评论

直达楼层

郯城知县 VIP认证 LV10.上校 发表于 2018-8-17 09:43 | 显示全部楼层 | 私信
人穷,清清白白走正路,啥也不怕
来自360手机N6(360社区3.4.8版)
360fans_76049773 点赞 
2018-8-17 18:16回复
杨乃玉 赞一个! 
2018-8-17 09:47回复
xbtglibai360 LV13.中将 发表于 2018-8-17 10:49 | 显示全部楼层 | 私信
这是逼着要把所有用户都培养成防骗专家的节奏啊
360fans_76049773 哈哈哈 
2018-8-17 18:16回复
杨乃玉 这种情况确实挺吓人的! 
2018-8-17 11:17回复
kzg VIP认证 版主 发表于 2018-8-17 10:56 | 显示全部楼层 | 私信
晚上有些工作要求不让关机,是个问题
杨乃玉 是的 
2018-8-17 11:17回复
muzb LV8.少校 发表于 2018-8-17 11:26 | 显示全部楼层 | 私信
谢谢分享
360fans_76049773 支持 
2018-8-17 18:16回复
360fans_75898719 LV7.上尉 发表于 2018-8-17 13:38 | 显示全部楼层 | 私信
亡羊补牢
杨乃玉 欢迎朋友 
2018-8-17 16:25回复
tan7177 LV14.上将 发表于 2018-8-17 16:00 | 显示全部楼层 | 私信
赶快采用指纹识别、人脸识别等生物特征识别来替代漏洞百出的短信验证身份!!!
来自360手机 N4S骁龙版(360社区3.4.8版)
杨乃玉 赞一个 
2018-8-17 16:25回复
360fans_76049773 LV7.上尉 发表于 2018-8-17 18:15 | 显示全部楼层 | 私信
谢谢分享!
tjw566 LV12.少将 发表于 2018-8-22 05:42 | 显示全部楼层 | 私信
GSM劫持+短信嗅探骗子们又升级了
杨乃玉 是啊,防不胜防! 
2018-8-22 06:32回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

杨乃玉 超级版主

粉丝:198 关注:2 积分:206378

精华:659 金币:225898 经验:139914

最后登录时间:2019-10-23

版主 安全卫士10周年纪念 360粉丝达人勋章 360会员商城青铜会员

私信 加好友

最新活动

用户代言人活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表