-
央视起底“电信诈骗术”之“验证码”骗局
关键字: 央视起底电信诈骗术验证码诈骗支付宝资金被转出验证码“撬开”全部账户?
当事人的手机卡被“劫走”后,第三方支付平台、甚至银行的安全验证都被接连突破,这一切真的仅靠掌握短信验证码就可以实现吗?
小许:他为什么就能凭我的手机就能够破解我的网银呢。
工商银行客服:第一必须得知道您的网银登录密码,…如果他不知道登录密码的情况下,他还需要您卡的密码。
小许:卡密码?
工商银行客服:对,就是卡的取钱密码,就那六位数卡取钱密码。如果密码、卡号和手机他完全掌握他才能做这些交易。
这意味着,尽管短信验证码是每一步攻击的关键,但攻击者还需要受害者的银行卡号等更多的信息。因而可以断定,小许的手机卡被“劫持”之前,他的“成套”个人信息已经被攻击者掌握了。
尽管已经向警方报了案,而且支付宝和百度钱包也在案件侦破之前,对小许在该支付平台上损失的金额进行了先行赔付,但小许仍在通过各种途径寻求答案。他恐惧的是,不知自己还有什么关键信息已经被他人所掌握。
信息安全专家 张耀疆:个人信息在网上通过各种各样的方式去猜测碰撞,最终汇集到一起,形成一个地下的一个数据库。那么这个库里面会有大量的非常完整的个人信息的一个链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码,其实都在网络的黑市里面,而且是别人整理好的,不是零散的,这个就非常可怕。
短信验证码“不能承受之重”
近年来,在个人信息泄露交易愈发猖獗的大背景下,单一的静态信息如账号、密码已经不能保证各类身份验证,尤其是在线支付的安全。因此从银行开始,越来越多行业的安全策略采用了“双因素认证”的理念。简单的说,就是“用户自己知道的信息”这把“钥匙”已经不安全了,必须用随着时间、事件等因素随机产生的一次性密码再加上“另一把钥匙”,同时拥有“两把钥匙”的人才能开一把锁。而这把“新钥匙”从最初的U盾、令牌开始,越来越多的“集成”到了智能手机上,“短信验证码”已经成为如今在线支付“双因素认证”的“必选项”。
之所以小许的所有账户被“全线攻破”,是因为除了个人信息这把“钥匙”早已泄露外, “双因素认证”的第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。
记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现:所有的在线支付都可以用手机号和静态密码登录,百度钱包直接可以用短信验证码登录;“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成;而对于第三方支付最重要的“支付密码”,支付宝竟然简化到仅凭短信验证码就可以更改。
小许:如果我的手机号已经被盗走了,因为我可以确定这一点,他还需要别的才能把我的钱转走吗?
招商银行客服:转账的话是需要您的取款密码,跟验证码的,但是如果说他是网上支付的话,就是只需要验证码就可以了。
信息安全专家 张耀疆:验证码这个东西,它可以做可各种各样的动作,比如说找回你的账号密码,那么这样就导致什么呢?其实你个人的账号密码和验证码就变为一体了,它变成一个因素了。那么原来设计当中的双因素的功效就大大的降低。就把所有的鸡蛋都放在这么一个篮子里面,导致了种种的问题。
- 责任编辑:刘楚楚
-
最新闻 Hot
-
欧核中心理事会主席:我有信心中国科学家能做到
-
“俄计划建新管道,经哈萨克斯坦向中国输送天然气”
-
他又来:美国连胡塞都搞不定,怎么让盟友放心搞定中国
-
历史性一幕!iPhone在华市场份额跌出前五
-
加沙民众上街庆祝,结果以色列说…
-
44岁男子穿裙子戴假发只为逃出乌克兰,被抓现行
-
一驻韩美军在俄被捕,“涉盗窃和殴打女性”
-
普京下令“核武演习”,美方回应
-
3个月后米莱终于回应:岛在他们手上,不把这当挑衅
-
“欧盟工具箱里没有美国式TikTok禁令,他们有自己的方式”
-
地面进攻在即?以军疏散拉法平民,哈马斯警告“后果”
-
中法欧领导人三方会晤结束
-
“我明确一点,不建议对华保持距离,我们需要中国人”
-
“五一”近3亿人次出游,较2019年同期增长28.2%
-
欧盟又挑争端?点名上汽、比亚迪、吉利,或抬高关税
-
问界回应山西M7车祸四大疑问:事发车速超过AEB工作范围
-