来源:蜘蛛抓取(WebSpider)
时间:2018-06-18 15:58
标签:
支付宝收到短信验证码
一条短信致倾家荡产?手机验证码安全吗_网易科技
一条短信致倾家荡产?手机验证码安全吗
用微信扫码二维码
分享至好友和朋友圈
(原标题:“一个‘退订’短信倾家荡产事件”复盘)
■IT时报 吴雨欣当手机中的应用越来越多、绑定的服务也越来越多时,谁会想到一条短信引发的连锁反应,能让一个人在一夜间倾家荡产?近日,北京许先生的遭遇《,请你告诉我,为什么一条短信就能骗走我所有的财产?》在网上引起轩然大波,中国移动、中国银行、中国工商银行、招商银行、、钱包纷纷牵扯其中。当《IT时报》记者通过许先生描述的被骗经过,试着重走幕后黑手攻击之路后才发现,这根链条风谲云诡、环环紧扣,国内地下数据交易市场的猖獗使用户信息严重泄露;银行批量发卡、办卡审核不严的同时,网银系统在线验证身份信息薄弱;第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时,一个精通各项业务环节的骗子粉墨登场,利用运营商网上自助换卡,把自己变成用户,开始一场肆无忌惮的掠夺。复盘一:远程可自助换卡 备卡或从内部流出4月8日,许先生在下班路上收到一条10086发来的短信,提示他开通了某杂志半年的手机报服务,在许先生回复退订无效后,又收到一条类似于官方号码发来的退订需输入“取消+验证码”的短信和10086发来的USIM验证码短信。为了退订业务,许先生没多想就回复了6位验证码。之后,手机的SIM卡就一直处于无服务状态。许先生哪里会想到,这是骗子精心设下的局,自己的号码订了增值业务是真的,10086第一次发来的退订信息和验证码也是真的,但都是骗子进入自己网厅后提出的请求。那条输入“取消+验证码”的短信是假的,这时骗子正在远程申请SIM卡业务的“备卡激活”,短信验证码就是确认换卡的关键步骤。在接下来的几个小时里,骗子用许先生的SIM卡接收短信验证码,相继攻破他的邮箱、支付宝及网银,并为用户绑定了百度钱包,盗取其资金。在这场连环骗术中,除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外,中国移动网上自助换卡业务流程设计也成为众矢之的。“在整个骗局中,骗子利用了正当的业务规则,外加受害人对相关业务不熟悉骗取验证码,行骗手段具有可复制性,但如果运营商对业务规则进行修改,加强认证,骗子无法获取验证码,则攻击就会失败。”天眼实验室的工作人员告诉《IT时报》记者。如何才能异地自助换卡?中国移动北京公司的客服人员告诉《IT时报》记者,办理人需在网站上申请一张备卡,登记邮寄地址后送卡到家,但地址仅限于北京,外省市不可享受此项服务。但据记者了解,此次事件中,骗子的IP地址在海南海口,而且网上申请备卡除需填写申请姓名、手机号、收货地址外,依然需要短信验证码,既然此前许先生并未收到过申请备卡的短信验证码,那骗子的备卡是从哪来的呢?“骗子可能通过内部渠道拿到了备卡,也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露,在手机卡未严格执行实名制前,不用本人的身份证也可以领卡。记者在页面中输入“USIM卡”,出现了浙江移动、上海移动等地的4G USIM卡,这些备卡均可用于短信自助换卡,店主告诉《IT时报》记者:“虽是短信换卡的备卡,异地网上自助换卡也可以试试,但不保证成功。”复盘二:手机验证码可修改网银密码“这是社会工程学诈骗的一种,也是欺骗性攻击,利用补卡换卡,骗子在与许先生做心理上的较量,此外,骗子对许先生做过调查,已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息,只缺最关键的一步,就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。短信验证码有多重要?以登录支付宝为例,正常情况下,若有人在用户不常用设备上登录支付宝,用户会收到短信提醒。即使不知道登录密码,但已经给用户换卡成功的骗子,可以通过短信验证码、证件号码来重置密码。在此次事件中,因为已经拥有许先生的SIM卡,收到异常登录短信提醒的是骗子自己,另从许先生的手机支付宝依然与骗子保持同步登录状态来看,骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码,这也就说明,许先生的支付宝号及密码可能早已泄露,被骗子掌握。记者又尝试以找回登录密码的方式登录银行网银,虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理,但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合,并可以连续尝试输入10次。在这样的验证机制下,骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。值得注意的是,对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的邮箱,用邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书,安装过程依然需要输入随机验证码及短信验证码,而被骗子关联的百度钱包,有2小时内转账的超级转账功能且转账不收手续费。在百度钱包里添加银行卡,需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记,还可以通过短信验证码找回。短短几个小时里,对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱,到最后,许先生什么也没抢回来。复盘三:余额1000元的支付宝账号密码可卖80元“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息,还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向《IT时报》记者介绍,日常生活中,用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号,如果该酒店管理不严或系统存在漏洞,用户会在一瞬间泄露三个关键信息。此外,某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购,形成隐蔽而庞大的市场,这早已不是秘密。菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称,实际均是用于信息买卖的QQ群,为了增加隐蔽性,群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。在记者加进的一个QQ群中,信息被称为“料”,相较于售价几毛钱的身份证、手机信息,兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”,就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号,余额1000元以下的支付宝售价80元、元售价150元,额度越高,售价越高,大家均默契地先付款后拿“料”,拒绝做数据测试。当被记者追问为什么不自己操作时,一个卖主回答:“风险太高,一个IP操作多了会被查。”在这个讲究“十年打工一场梦,人无横财不富裕,马无夜草不肥”的群里,快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全,大家都等着靠做偏门生意成富翁。“换卡攻击没有什么技术难度,关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍,黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头,免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。在《2015中国网站安全报告》中,据补天平台统计显示,补天平台中的泄露信息漏洞,共有4个漏洞可以造成1亿条以上的个人信息泄露,可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。2015年共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能或已造成泄露的个人信息量高达55.3亿条。行业对比方面,从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个泄露信息漏洞可能导致961万条个人信息泄露,但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。记者观察不能把安全只建立在手机验证码上“经济发达地区往往会成为通信网络诈骗的重灾区,但通讯诈骗不是单方面某一人的责任,现在市面上依然有未实名的手机卡,银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”某市公安局反通信网络诈骗中心的工作人员告诉《IT时报》记者。2015年,该市通信网络诈骗案件2万余起,涉案金额近4亿元,同比上升达21%。为打击电信诈骗,该市成立了反通信网络诈骗中心,三大运营商及六大商业银行均参与其中,每单位派驻3人在公安局值班。除了谁该为通讯诈骗负责外,建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗,总是会把矛头对准运营商。许先生的遭遇,中国移动确实存在管理及业务流程设计上的疏忽,但银行的实名制要比手机卡实名更具天然优势,也能控制得更好,在这种情况下,用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障,实际是在降低安全性。” 独立电信分析师付亮说。如今,因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障,可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时,大家似乎忽略了,操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。“各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证,确实是依赖于手机卡实名制,能大大降低非法注册,但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时,有黑客攻击系统,将错误指令改成正确指令,这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉《IT时报》记者。
但对于手机验证码成为与资金相关联应用的安全性问题,该高管颇为无奈地说:“目前,除了短信验证码,你认为还有什么其他可以大范围应用的验证方式吗?”据了解,截至4月13日,支付宝已先行赔付了许先生在其平台上流失的一万多元资金,百度钱包承诺赔付但仍需提交材料走流程,被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示:“该用户的网上银行转账功能在此之前已由本人开通,后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。中国移动的调查结果则显示,自助换卡业务办理流程正常,会积极配合相关部门,提供相关证据,进行后续查证。
本文来源:IT时报
责任编辑:王凤枝_NT2541
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:
:
:
热门影院:
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈回复: 37 | 浏览: 365419
| 字体: tT
阅读权限200&精华14&注册时间&帖子16498&积分137485&
经验值137485 &爱心活力豆27 &宝宝生日&地区:碑林区街道:柏树林街道
| 字体大小: tT
今天中午,我老公让我转笔钱,我懒得弄银行卡的U盾,就用支付宝做了一笔转帐到银行卡,
之后不久,我收到我老公电话,问我是不是做了一个转帐,2800的有个验证码,我说我没做,不用管,
然后我就上支付宝查了一下交易记录,没有这笔2800的记录存在,
不管是成功不成功,都没有记录,所以基本证实,我的支付宝是没问题的,至少没有让人盗号登陆上去!
感谢美妈分享
总评分:&经验值 + 60&
金币 + 80&
阅读权限200&精华14&注册时间&帖子16498&积分137485&
经验值137485 &爱心活力豆27 &宝宝生日&地区:碑林区街道:柏树林街道
本帖最后由 cuddles7 于
15:23 编辑
查的支付宝交易记录
但是平白的收到骗子的短信,总是有些心里忐忑的,于是想起来之前有一次,用手机付款的时候,收到一条信息,当时看信息上面的网址,是阿里PAY,我就点了,当时点进去就直接在手机上面转到支付宝APP端了,不过没看到什么红包,研究半天也没弄明白就作罢了
今天收到短信,就联想起了这个事,我就在电脑上输入了这个链接,打开一看也真的是支付宝的网站链接,从此看来,估计我的手机应该也没有大问题,不是手机中了木马病毒盗号之类的
阅读权限200&精华14&注册时间&帖子16498&积分137485&
经验值137485 &爱心活力豆27 &宝宝生日&地区:碑林区街道:柏树林街道
后来老公在Q上和我说,接到一个电话,问他是不是张女士,我老公说不是,就挂断了在百度上搜95188,很多人说是骗子的,也有很多人说是支付宝的,于是我点开了支付宝的联系页面,当时没有找到有95188,后来我又联系了在线客服。
在线电子客服说是95188是官方号码
但是现在外面软件这么多,是吧,都能假装成110给你打电话,还有啥是办不到呢!于是找了在线人工客服,详解一下!
&客服好强大&
阅读权限200&精华14&注册时间&帖子16498&积分137485&
经验值137485 &爱心活力豆27 &宝宝生日&地区:碑林区街道:柏树林街道
本帖最后由 cuddles7 于
15:44 编辑
结果就是从头到尾都是骗子的伎俩!先是发个短信,让你以为是支付宝交易了,如果你没有这笔交易,看到了自然会慌张,接着就会人工打电话来说这个事,估计上大体就是说你帐号危险,做个转移或是保护之类的吧,要不就是验证,肯定是这样的!
因为我家网购全是我在用,只是当时申请帐号用的我老公的号,交易也是用他的卡,于是有时候验证码都是发在他手机上,我和他说,不管是什么交易,要验证码除非是我和你要,另外因为我都是在Q上面和他要验证码,我就补充了一句,我说你以后收到验证码,就算我在Q上面要,你看下金额,超过五百块的,就要打电话给我确认一下!因为平时买的都是小东西,我觉得五百块是我能接受的不用太肉疼的金额了~提醒大家,也要小心防骗!不要将任何相关信息透露给任何人,比如帐号密码,特别是验证码,最近出事的很多!不要随意点击其它链接,要确认链接可靠安全!不要随意扫描二维码,现在微信太发达,这种东西真的没有安全保护。。。不要随便在不安全的地方下载软件到手机上!不要在不稳定或是纯开放的场所免费的WIFI上面使用自己的隐私帐号及密码,很可能被盗!
补充一下:现在淘宝付完款,都会有这样的提示,而且是计时,必须要看,必须要点的,可见这个验证码的骗术有多厉害了!
阅读权限200&精华59&注册时间&帖子20402&积分259945&
经验值259945 &爱心活力豆74 &宝宝生日&地区:高新区街道:
后来老公在Q上和我说,接到一个电话,问他是不是张女士,我老公说不是,就挂断了在百度上搜95188,很多人说 ...客服好强大
阅读权限110&精华4&注册时间&帖子3984&积分60379&
经验值59228 &爱心活力豆0 &宝宝生日&地区:莲湖区街道:莲湖区
谢谢提醒来自[]
阅读权限110&精华5&注册时间&帖子17439&积分118053&
经验值118053 &爱心活力豆20 &宝宝生日&地区:未央区街道:未央区
骗子无处不在啊!来自[]
阅读权限80&精华0&注册时间&帖子1497&积分21279&
经验值21216 &爱心活力豆5 &宝宝生日&地区:新城区街道:韩森寨街道
骗子无处不在&&临近年关我们得时刻警惕
简单生活 简单快乐
阅读权限100&精华0&注册时间&帖子1945&积分14812&
经验值14681 &爱心活力豆0 &宝宝生日&地区:雁塔区街道:小寨路街道
骗子真是技术越来越高,大家一定要警惕再警惕,千万别上当了。
#健康是福#
阅读权限120&精华1&注册时间&帖子1865&积分52485&
经验值52383 &爱心活力豆20 &宝宝生日&地区:街道:
感谢提醒来自[]
阅读权限20&精华0&注册时间&帖子32&积分441&
经验值437 &爱心活力豆0 &宝宝生日&地区:雁塔区街道:丈八沟街道
只要跟钱有关的,都当成骗子对待吧
阅读权限0&精华3&注册时间&帖子1757&积分15833&
经验值15684 &爱心活力豆0 &宝宝生日&地区:碑林区街道:
提示: 作者被禁止或删除 内容自动屏蔽
阅读权限200&精华31&注册时间&帖子15441&积分180438&
经验值180438 &爱心活力豆39 &宝宝生日&地区:雁塔区街道:
那个领取5元支付宝红包的我收到过,单没有点开过
宝宝健康快乐每一天!
阅读权限80&精华0&注册时间&帖子4223&积分23215&
经验值22888 &爱心活力豆0 &宝宝生日&地区:碑林区 街道:碑林区
你这一说我还想起来有次发的验证码因为不是我弄的我理都没理。来自[]
阅读权限100&精华0&注册时间&帖子4&积分7252&
经验值7252 &爱心活力豆2 &宝宝生日&地区:未央区街道:草滩街道
对我经常购物的我来说确实要小心很多哦来自[]
阅读权限110&精华0&注册时间&帖子4986&积分90944&
经验值90551 &爱心活力豆0 &宝宝生日&地区:高新区街道:
防不胜防。。。
韩国儿童摄影领跑者,苹果树主页: 特惠套餐: 电话:029-
阅读权限80&精华3&注册时间&帖子1516&积分24196&
经验值24025 &爱心活力豆8 &宝宝生日&地区:莲湖区街道:青年路街道
现在骗子真的是无处不在
阅读权限80&精华0&注册时间&帖子2177&积分18588&
经验值18588 &爱心活力豆0 &宝宝生日&地区:街道:
年关了骗子真是泛滥,每天几乎都能接到诈骗电话。手机上不了解的链接不能点呢。特别是那些送红包什么的,千万不能点呢。
阅读权限0&精华0&注册时间&帖子65&积分977&
经验值972 &爱心活力豆0 &宝宝生日&地区:未央区街道:大明宫街道
提示: 作者被禁止或删除 内容自动屏蔽
阅读权限110&精华0&注册时间&帖子5949&积分136902&
经验值136902 &爱心活力豆15 &宝宝生日&地区:碑林区街道:长安路街道
太恐怖了来自[]
#健康是福#愿好人一生平安,健康,快乐,幸福
大家一起来防骗!今天收到95188的短信验证码! ...
凡爸爸陪妈妈一同到院,即可获得日本森本胎教课程体验1节,凡妈妈网用户来院凭短信即可领取精美小礼品......
指尖上的城市生活
给生活加点料
宝宝成长时光相册
&&增值电信业务经营许可证:粤网安备案号:7公安机关备案号:Copyright
All Right Reserved版权所有&&&&号码黑名单
手机黑名单:收集3000个万推销、诈骗等电话,帮你识别陌生来电。欢迎大家举报。
95188的号码信息
95188的用户举报
号码黑名单为大家提供了举报平台,欢迎大家举报违法、诈骗、骚扰等手机、电话或QQ号码。如果您的号码被错误举报,也可向我们申诉。
手机号码吉凶查询惊了!亲测三步轻易登陆好友支付宝,官方回应来了……_新浪财经_新浪网
今早(10日),关于“熟人可重置支付宝密码”的消息引爆网络。有网友爆料称“支付宝存在一个新漏洞,陌生人有机会登录你的支付宝,熟人有100%的机会登录你的支付宝。”网络支付已渗透进大多数人的生活当中,网络支付账号的安全让所有人极为重视。这个漏洞是真的吗?南都君今早10时许进行了测试。在征得朋友(测试时不在同一网络环境中)同意的情况下,南都君尝试用朋友手机登陆支付宝APP,第一步选择“忘记密码”。支付宝自动给朋友发去了验证信息,如网友所述漏洞,第二步选择“无法接收短信”。然后出现了以下三种找回密码的方式,并无法通过选择最近购买的物品及好友来重置密码。重置密码失败。而此时朋友则收到了支付宝发去的验证码提示。今早不少朋友的测试结果都相同。所以网友所爆的漏洞是谣言?并不是。今早11时许,南都记者的支付宝账号,被同在办公室的同事用网友所爆方法成功登陆……在输入手机号并选择“忘记密码”后,找回方式出现“回答与您有关的问题”。选择后会出现两道选择题,第一题,选择买过的东西。南都君登陆自己手机号找回密码示意图,同事尝试步骤与此相同。第二题,选择一个可能认识的人。南都君登陆自己手机号找回密码示意图,同事尝试步骤与此相同。两个问题都答对,就可以成功重置登录密码了。南都君登陆自己手机号找回密码示意图,同事尝试步骤与此相同。南都记者表示,同事刚好知道她最近买了手机壳、选择“认识的人”则刚好是另一位同事,因此顺利答对两个问题,成功到达重置密码一步。微博上一些大V也表示亲测成功,南都君一位在互联网企业工作的朋友也同样表示,她的同事昨夜今晨亲测,确实成功到了可修改密码那一步。两人经常在公司用同一WiFi,但她并没有在朋友的手机上登陆过自己的支付宝账号。亲测成功用手机号登陆朋友支付宝账号。快科技、新浪科技等媒体也成功使用网友所爆漏洞登陆。微博上不少网友也纷纷表示确实可以……熟悉网络支付的朋友对南都君表示,登陆他人支付宝后,虽然部分支付(比如网购付款、商店大额扫码等)需要输入密码或验证指纹,但小额免密、面对面小额付款等仍可能成功出账。蚂蚁金服回应:已改进,提高了风控系统安全等级今日(10日)上午,针对上述情况,蚂蚁金服方面对南都记者回应称,目前已经进行改进。提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。回应全文——这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。为了更好提升用户的安全感,在接到网友反映后,我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。有互联网从业人员表示这属于P0级漏洞并给出了一些补救方式——而有朋友进一步向南都君爆料称,除了支付宝找回密码漏洞外,好友通过你的手机找回淘宝APP密码更易如反掌……如果亲朋好友或陌生人拿到了你的手机(同一设备),打开淘宝APP,选择“找回密码”,不需要短信或问题验证,即可随时重置密码……最后南都君来小结一下发生了什么……1、他人通过“购物记录、认识的人”找回密码的漏洞确实曾存在;2、支付宝表示已对安全防控进行升级,目前仅可在自己常用设备使用“购物记录、认识的人”找回密码,其他设备修改密码登陆后会收到短信提示;3、其他人可以在你的手机上任意修改你的淘宝APP密码……我们要注意和做什么……1、保管好自己的手机;可以看到,很多互联网公司的安全防控都与操作设备相关,如果你的手机借给别人或弃用、丢失,请随时注意账户安全;2、开启短信验证并随时留意;在前面的操作中,南都君多次提示收到短信,想说明的是他人进行的这些操作,对用户来说并不是全盲的,只要收到异常短信(收到验证码、提示在其他地点登陆),赶紧修改密码并提升账户安全;3、账户安全险自行考虑,如果发现异常登录、异常交易,第一时间打开支付宝急救包——找回密码的多种体验可以理解,但网络诈骗、盗刷频现的今日,让网络支付环境更私密、更安全才能赢得更多用户。希望经过今早这次“全民黑客”事件,各大网络支付、交易平台都能进一步审视自家一系列的安全防控措施,让用户放心。(来源:南方都市报)(编辑:见习编辑,毕凤至)用自己的手机登录支付宝就安全?看看最新实测吧 - A5创业网
扫一扫,联系编辑获得审核机会
符合以下要求,获得报道机会
1. 新公司求报道
2. 好项目求报道
3. 服务商求报道
4. 投资融资爆料
客服热线:400-995-7855
当前位置:&&&
用自己的手机登录支付宝就安全?看看最新实测吧
& 14:34&&来源:华商网&
用自己的手机登录支付宝就安全?实验:验证短信会被拦截
华商报4月23日见报的《买上万手机号 改支付宝密码 盗23.8万元》,引起大家对第三方网络支付平台安全性的关注。不法分子之所以能通过网络进行盗窃,除了购买了大量手机用户号码和电信网上服务平台登录密码,关键是采用了拦截支付宝短信验证码的方法。
所有第三方支付平台和不少移动端网络应用,在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码,甚至可以立即重置重要的登录或支付密码。那么,短信验证码究竟能否当此大任?23日,西安电子科技大学的三位硕士研究生和华商报记者一起做了一个实验。
&&实验验证
恶意程序盗取短信验证码,难吗?
实验时间:日16:00~17:00
实验地点:华商报社二楼
实验人员:西安电子科技大学计算机学院硕士研究生李鑫、王涛、张鹏,华商报记者
实验顾问:西安电子科技大学计算机学院博士、教育部信息安全团队骨干成员杨超、李兴华
为了做这次实验,三位硕士研究生使用了一个特殊的安卓手机软件,这是一个恶意程序,起名&钓鱼攻击&。
实验模拟的情境是,李鑫使用的一部安卓手机已中招,恶意程序一直在后台运行。该软件预先设置的黑客手机号码,是一起做实验的华商报记者的一部手机。
实验开始,李鑫打开手机&支付宝&进行登录。而实际上,他打开的只是一个钓鱼界面。但中毒手机的机主很难注意到,所以输入的账号、登录密码都是真的。
就在李鑫登录&支付宝&的瞬间,华商报记者的手机收到了一条短信,内容就是李鑫所用的支付宝账号和登录密码。如果充当黑客角色的华商报记者,此时立即打开自己手机上真正的支付宝应用,输入短信中的用户名和密码,完全可以登录并使用李鑫的支付宝账户。
如果黑客使用支付宝过程中,需要短信验证码怎么办?这个验证码,支付宝可不会直接发给黑客。
别急,按照程序设计,中毒手机在使用支付宝的过程中,只要收到含有&支付宝&三个字的短信,就会自动把短信内容转发给黑客手机。
为验证这一点,王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫。几乎同时,华商报记者的手机就收到了同一条短信。如果这就是黑客需要的验证码,后果可想而知。重置密码、改绑手机,凡是黑客在操作中需要填短信验证码的环节,中毒手机都会自动在需要的时候通过短信转发过来。所以,几分钟甚至几十秒这样的时间限制,并不是问题。
就这么一个小小的程序,不但破解了支付宝账户名和登录密码,而且在操作中凡是需要短信验证码的时候,都会自动发给黑客。让华商报记者看得目瞪口呆。
李鑫说,为研究如何加强安卓系统防木马和钓鱼软件的功能,他们设计了一个新的安卓操作系统。为验证该系统防护性能,才专门制作了这样的&钓鱼攻击&软件。其实这样的钓鱼软件并不罕见,甚至在淘宝上花一二百元就能买到。这类恶意软件通常会和热门软件捆绑,或者伪装成游戏挂件等,用户很难辨别真假。一旦安装并运行了这样的软件,不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客,有些软件还会让用户无法收到支付宝发来的短信。
&&实验总结
仅靠短信验证 无法确保支付安全
西安电子科技大学计算机学院博士、副教授杨超介绍,传统的银行账户实行实名强验证,也就是本人拿着身份证去当面验证,必要时输入验证密码。网络支付方式为突出便利性,降低了验证门槛,一般采取密码验证和短信验证相结合的方式,被称为&双因子验证&。但现在出现了两个问题:一是手机短信验证用过头了,被当做主要验证方式,用它可以去重置登录密码或支付密码,也就是说用短信验证去否决密码验证,这样的设计是不合适的。二是手机短信验证有天然缺陷,在传播过程中可以被截获,实验也说明了这样的问题。所以,短信验证码是不能单独担当主要验证权限大任的。
扫一扫关注A5创业网公众号
责任编辑:安然
5月2日,工信部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,大力推进IPv6部署,加快网络基础设施和应用基础设施升级步伐,促进下一代互联网与经济社会各领域的融合创新。
日中国人民银行收到了来自英国的"世界第一"(WORLDFIRST)公司关于申请支付业务许可的来函。这意味着第一家外商支付机构已经迈出了中国移动支付市场的第一步。目前在中国约有200余家第三方支付平台,但是支付宝和微信支付鼎鼎大名,几乎垄断了第三方移动支付市场,毕竟平时就连大妈买个菜都
支付宝刚刚发布公告,称正在进行余额宝体验升级,从明天起,会有部分用户能在余额宝里看到升级入口,升级后就可享受随时买、随时用的余额宝服务。
3日晚间,余额宝宣布升级——5月4日零时起,新接入博时、中欧基金公司旗下的“博时现金收益货币A”、“中欧滚钱宝货币A”两只货币基金产品。伴随新基金的接入,3.7亿余额宝用户购买升级版余额宝既不限时、也不限额了。
今日,支付宝对外宣布推出“码商成长计划”,为近一亿“码商”提供“保障”和“成长”两方面计划,其中包含了三年一万亿的贷款额度支持。码商成长计划主要包括多收多贷、多收多赊、多赊多得,以及小微商家课堂、品牌升级等板块。
冯提莫表示希望执法部门联系她,将礼物依法退回。她还表示:“当然这些钱,我是要交税分成的,可能拿不到那么多,退回去可能也没有那么多。”
A5创业网(公众号:iadmin5)6月13日报道,近日江苏镇江京口区人民法院公开审理了一起案件,被告人王某沉迷网络直播,竟然盗取公司930万元,以打赏的方式讨得女主播欢心。据悉,王某已婚,家庭条件一般,自从接触了网络直播平台后,就很喜欢看直播。因为自己每月的工资也就3000多元,打赏时发现女主播因
A5创业网(公众号:iadmin5)6月11日消息,近日,浙江温州美团骑手卢湖成在送餐途中,帮救护车引路的暖心行为在人民日报、央视、澎湃等媒体传播开来,网友提醒用户“千万别给差评”。目前,美团外卖已经给予卢湖成5000元的奖励,授予模范骑手称号,以嘉奖其在抢救生命过程中做出的及时性、无偿性的帮助,并
A5创业网(公众号:iadmin5)6月11日讯,亚马逊贝佐斯被批究竟是怎么回事,在前不久被媒体披露亚马孙集团创始人CEO贝佐斯以超盖茨426亿美元的1355亿美元身价稳坐全球首富宝座,如今却被相关媒体报道贝佐斯的巨额财富是靠众多的低薪劳工成为了世界首富。
6月7日消息,福布斯发布全球企业2000强榜单,中国工商银行、中国建设银行分别排在第一、第二的位置,苹果排名第8位,阿里巴巴排名81,腾讯排名105。其中科技公司上榜的还有三星电子排在14位,微软排在第20位
大佬们的高考俞敏洪diss马云:同样考三年我考上北大又到一年一度的高考,如今的互联网大佬们当年的成绩如何呢?李彦宏、刘强东都是各市的高考状元,周鸿祎没有参加高考直接被保送。
A5创业网(公众号:iadmin5)6月4日报道,距离高考还有三天时间,马云近日自曝称高考数学只得了1分。这并不是段子,马云称,1982年参加高考,还在高一,当时报考英语专业数学不算成绩,于是进去就开始打勾,立刻把答案填满了。
A5创业网(公众号:iadmin5)6月4日报道,自从微信出了微信运动,不少人纷纷开启此功能,不仅可以查看每天的行走步数,还能参与朋友圈里的排行。一天下来,排行第一的可以占领朋友圈封面。近日得知,南宁市民何女士为了不想排名太靠后或者占领朋友圈封面,每天走路上万步。尽管已经感到累了,仍然会多走几千步。
A5创业网(公众号:iadmin5)6月2日讯,据福布斯实时富豪榜提供的数据显示,亚马孙集团CEO贝佐斯目前的身家为1355亿美元,稳坐全球首富宝座,超越排名第二的盖茨426亿美元,同期盖茨的身家为929亿美元。
A5创业网(公众号:iadmin5)6月2日讯,第19届巴菲特慈善午餐拍卖于北京时间6月2日上午10点30分钟eBay上最终以330.01万美元被一个神秘买家成交。本次股神慈善午餐拍卖价格依然是2.5万美元,在经过6个拍卖者的136轮叫价后,最终最终成交价定格在了3300100美元。
创业好项目
网络文学二十年: 意气江湖载酒行
扫描二维码关注A5创业网了解最新创业资讯服务
&徐州八方网络科技有限公司&版权所有&
举报投诉邮箱:
扫一扫关注最新创业资讯
