对于短信验证码，你所不了解的那些事，快来看看吧对于短信验证码，你所不了解的那些事，快来看看吧志标科技百家号我们平时注册或密码找回时都会提示需要短信验证码，那么对于验证码的这下事你了解吗？下面跟着小编来了解了解吧~目前随着用户几乎每天都会收到来自银行、网站等各个领域的短信验证码，看似一串不起眼的数字，不经意间决定着我们生活中的方方面面，不要将验证码告诉他人，尤其临近双十一节假日骗子的骗术更是推陈出新。经常会冒充家人朋友，骗取当事人的短信验证码，因此对于这种索取验证码的电话一定要提高警惕。如今，我们在享受“无卡支付”带来的便捷时，短信验证码已成为了确保支付安全的必需品。然而诈骗分子往往乘虚而入，通过各种方式骗取你的短信验证码，盗取账户资金，让人防不胜防。下面，邦之信为你揭露盗取验证码的常见骗局，小伙伴们看仔细了！1假冒官方号码发钓鱼网址利用伪基站群发“假冒银行或电信运营商官方号码＋钓鱼网址”的骗局最常见。他们大多以积分换取现金、网银失效为借口，让你点击链接进入操作窗口，然后填写身份证号、卡号等个人信息，最后要求填写一个验证码，持卡人极易上当。 如果有人向你索取短信验证码，千万别给，这可能是要盗取你的微信号，进而盗取你与手机绑定银行卡的钱或者向你的微信好友行骗。近期，不少地方出现了冒充好友索取短信验证码以盗取其微信号进而发布求助信息骗钱的“宰熟”手段，小编朋友尝试在自己的手机上用朋友手机的验证码就可以轻松登陆对方微信整个过程不到一分钟，盗号后，除了可以直接使用被盗账号发布各类求助信息索要钱财外，还可以盗取通讯录中好友们的微信号，这样相当于拥有了数百个微信号，而每个微信号上又有上百个好友，可盗取的微信号呈几何数字增长，大大提高了诈骗得手的概率。在验证码众多的当下，什么样的验证码更好呢？小编今天要说的是市面上比较常见的短信验证码和语音验证码的对比。那么，短信验证码与语音验证码究竟哪个更好？ 实际上，一般大众最为常用的是短信验证码，语音验证码则多作为一种补充。一般大众最为常用的是短信验证码，任信了速度快，到达率高，可以秒到可以迅速满足用户的需求。体验好，而语音验证码多作为一种短信验证码的一种补充，当用户由于各种原因收不到短信验证码，语音验证码则是非常必要的，用户可以通过接听电话的方式获取验证码。那么木马是怎么进入用户手机的呢？最重要的一个方式就是钓鱼短信。现在我们已经适应了通过短信接收来自官网、单位通知等，也是由于这种对短信的信任催生了钓鱼短信的发展。很多不法分子就在短信中附加诱导链接，只要用户点击，就会有一些下载提示，一旦点击下载手机信息将会丢失，完全暴露在不发分子严重。另一种情况下就是用户在一些公共场所登录帐号的时候，感染木马的几率也会非常大。对于即将出国的宝宝来说，应该会有一件事困扰很久了吧，电话可以不打，但是银行短信接不到，有时需要的短信验证码接不到，太不方便。小面小编教大家一个方法哦，如果是是中国联通用户，下载中国联通网上营业厅APP,开通国际漫游业务即可。移动和电信的用户估计也差不多，自己尝试吧。有用户反映，自己手机无法接收短信验证码，为什么会这样呢？首先看看是不是手机网络信号差、网络服务器繁忙观察手机信号是否满格。应对措施：走出室外/ 关机重启/ 取出手机SIM卡后换至其他手机再进行尝试。还尅一看看手机安全软件拦截（针对已安装安全软件的智能手机用户），手机用户曾将该号码加入黑名单，或是在某个软件中设置过对该号码的拦截。：应对措施找到并打开屏蔽短信软件，查看屏蔽短信，并将该号码，如支付宝号码95188设置为白名单。那么你知道手机丢了，该怎么办吗？这六件事立刻做！①致电运营商挂失手机号；②致电银行冻结手机网银；③致电95188解绑支付宝；④登录http://110.qq.com/冻结微信账号；⑤补办手机卡；⑥身份证、银行卡一起丢，挂失银行卡，申请补办身份证。小编提醒宝宝们，正常的交易情况下，只需要输入一次验证码；如果有两次验证码的请求，一定要提高警惕；因为骗子发过来的虚假验证码有可能混入其中！望宝宝们多加注意，以防被骗哦~本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。志标科技百家号最近更新：简介:志标科技，专注科技领域4年。作者最新文章相关文章一问易答：手机短信验证码真的安全吗？
相对而言，短信验证二次身份的方式安全程度是比较高的，不同的是，由于智能机普及，手机系统的漏洞也在增长，各类木马的存在，才导致短信验证身份的安全性出现问题。
日 网易手机 作者韩一冰北风吹！夜凄凉！问题不解心慌慌，一问易答来帮忙，不用谢我我姓王。手机的蓬勃发展，衍生出来众多行业，也让原本功能单一的手机号做出极大的改变。如今似乎每个人的手机号都绑定了或多或少的各种账号，手机绑定的东西越来越多，涉及到的重要的东西也越来越多，例如像银行卡绑定手机号，支付宝等等能与资金挂上钩的。如今手机绑定最主要的表现方式就是通过短信验证码来证明自己的身份，验证的方式极其简单便捷，当人们在享受这份简单便捷的验证方式时，不由也为短信验证码来验证身份信息的方式产生了不信任感。那么手机短信验证码真的安全吗？如果说安全的话，没有什么是真正的安全的，短信验证码也不是最安全的验证身份的方法。通过短信验证身份之所以能够在几年内疯长，无外乎是通过短信进行二次验证时，是成本最低，最简单便捷的验证方式，另一点是因为手机普及的原因也是最容易被广大用户广泛接受，而短信验证的安全程度也比较高。相对而言，短信验证二次身份的方式安全程度是比较高的，不同的是，由于智能机普及，手机系统的漏洞也在增长，各类木马的存在，才导致短信验证身份的安全性出现问题。但是目前来说还是一个比较安全的验证方式。手机短信验证在遭遇什么样的威胁呢？做出什么样的应对呢？由于目前是智能手机的时代，而手机短信验证方式受到最大的威胁就是来自于智能平台上的短信木马。这类短信木马通过发送短连接短信，让用户在不知情的情况下下载安装木马，当木马安装在手机之内就会将用户的涉及财产的应用账号密码重置，并拦截短信验证码，实现重置用户的账号。这是用户方面在短信验证安全受到的威胁，只而像这类的木马由于编写简单，也早已形成一个非常完整的产业链，制作木马 → 出售木马 → 租用木马 → 进行钓鱼诈骗 → 成功后进行洗号 → 转移财产。这是一个位于地下的庞大产业链，又因其又衍生一系列的行业在这里就先不多说了。当然智能平台也都出了相应的政策来降低这种盗窃案的案发率，例如像Android系统4.4版本之后已经收紧了短信的权限，但是大部分还是依靠用用户来提升警戒心来进行防范其二则是通过补卡，克隆卡，得到一个与用户相同的手机号，如同真假孙悟空一般，接收用户的验证码，重置用户的各种账号然后盗窃财产。通过这样方式进行盗窃的案例各大媒体报道的数不胜数，小编就不一一详说了。这是运营商在短信验证安全受到的威胁，由于二三线城市的运营商对于补卡人员的身份验证不严产生的不良后果。前由于三大运营商都收到了公安部的通知，营业厅对于用户补卡时，盘查的已经非常严格了。想要浑水摸鱼进行补卡盗窃的几率也已经得到有效的减少，但还没有灭绝。其三则是通过无线电监听，简单来说就是通过伪基站对用户手机进行监听，但是受范围的限制。这样的方式通过监听空中短信，也包括GSM监听，获得短信内容然后进行盗窃活动，虽然有一定的距离限制，但是可以与短信木马相辅相成，又能单独作案，不过这种方式的成本略高。其实这也是因为运营商而导致短信验证的安全受到威胁，不过由于目前大部分用户使用的是3G、4G等安全级别更高的信号通道，所以不法分子会通过伪基站对手机信号进行降维攻击，就是把手机信号将至2G然后进行攻击，这样的方法没有太好的解决方案，只能等GSM推出历史舞台。不过还有一种方式就是手机丢失后，这样也会对短信验证的安全造成极大的威胁，不过好在手机丢掉后用户是知情的，能够及时沟通运营商进行补卡挂失，所以在这方面造成用户被盗窃的比例太低。由于短信的验证方式方便快捷，不需要像网银盾类似的东西就可以进行认证，所以才会导致通过手机绑定业务的爆发式增长，而目前由于短信验证码的安全性还是比较高，并且也没有找到可以比短信验证方式更加安全，更加便捷的方式，只好先这样用着。鉴于大家已经对《一问易答》下方的漫画深恶痛绝了（其实小编也是），所以小编决定暂时取消漫画展示。另外，很多小伙伴在询问如何查看往期的《一问易答》，小编会在下方放出网易手机公众平台的二维码，关注后，大家在公众平台下方的选项卡中选择一问易答即可查看。好啦，今天的回答就到这里，正所谓回答有长短，问题不要停，每天跟帖问一问，轻松又开心，提问要注意些什么呢？还是老生常谈的话题，亲们要仔细看清楚哦！问题要有意义，内容不限，最好与科技相关，比如：“移动4G通话回落为何不是3G、新视野是如何飞到冥王星的、导弹发射原理神马的”但凡小编了解的，会尽量帮大家解答，而灌水内容如“小编是SB，小编又调皮了”等都是不被推崇的，当然，如果你真的发了，小编我也只能忍下。为了维护栏目优质的交流环境，希望大家能够遵守秩序，少灌水，多提问，让有需要的朋友学到知识的同时，也能够提高自己对手机的理解。一问易答已经开始正式实行上榜红名制度了，凡被采纳上榜的小伙伴都将获得为期7天的【手机学霸】红名称号，本周红名称号已发放，小伙伴们自行查收吧，不要感谢我，请叫我红领巾！
最后声明：每位上榜的小伙伴都将获得跟帖点亮红名7天的特权，想要拥有炫酷的称号和特权吗？赶快参与到互动中来吧！今天问答不给力，明天榜上就没你！点击下一页查看更多手机验证码相关新闻&&一问易答:12306为何不靠短信验证防黄牛
本文来源：网易手机
作者：韩一冰
责任编辑：韩一冰_NT3945
本文系网易原创稿件，版权属网易所有，未经授权不得转载，已经协议授权的媒体下载使用时须注明"稿件来源：网易或者网易手机"，违者将依法追究责任。
关键词阅读：
不做嘴炮 只管约到
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
用微信扫描二维码分享至好友和朋友圈经验1451 米
在线时间10 小时
版本7.11.23
积分 1486, 距离下一级还需 514 积分
积分 1486, 距离下一级还需 514 积分
机型小米Note2
签到次数87
MIUI版本7.11.23
小米Note 2
以前的时候还可以的，突然就不行了，设置里的通知栏管理短信已经设置了悬浮通知了，但是没用
分享到微信朋友圈
打开微信，点击底部的“发现”，使用 “扫一扫” 即可将网页分享到我的朋友圈。
经验2291 米
在线时间128 小时
版本7.5.25
积分 2816, 距离下一级还需 2184 积分
积分 2816, 距离下一级还需 2184 积分
机型小米手机3/4 WCDMA版
签到次数77
MIUI版本7.5.25
短信加了应用锁后不会显示悬浮通知
经验1451 米
在线时间10 小时
版本7.11.23
积分 1486, 距离下一级还需 514 积分
积分 1486, 距离下一级还需 514 积分
机型小米Note2
签到次数87
MIUI版本7.11.23
yaner壹贰 发表于
短信加了应用锁后不会显示悬浮通知
晕&&还真的是& &我短信的确加锁了
经验1451 米
在线时间10 小时
版本7.11.23
积分 1486, 距离下一级还需 514 积分
积分 1486, 距离下一级还需 514 积分
机型小米Note2
签到次数87
MIUI版本7.11.23
yaner壹贰 发表于
短信加了应用锁后不会显示悬浮通知
经验6339 米
在线时间103 小时
版本8.3.22
机型小米手机6
签到次数56
MIUI版本8.3.22
yaner壹贰 发表于
短信加了应用锁后不会显示悬浮通知
懂得就是多
经验2291 米
在线时间128 小时
版本7.5.25
积分 2816, 距离下一级还需 2184 积分
积分 2816, 距离下一级还需 2184 积分
机型小米手机3/4 WCDMA版
签到次数77
MIUI版本7.5.25
“澎湃S1 ”芯片纪念勋章
参与活动回帖可得
参与红米Note 4X活动
2017年小金鸡勋章
回复2016年度评选活动贴
MIUI七周年
MIUI 9纪念勋章
小米7周年勋章
2017米粉节晒单赢专属勋章
APP 1000万
MIUI论坛APP注册用户突破1000万纪念勋章
已关注微信
关注新浪微博
已关注新浪微博
Copyright (C) 2017 MIUI
京ICP备号 | 京公网安备34号 | 京ICP证110507号一条短信一个验证码 一夜之间“倾家荡产”
我的图书馆
一条短信一个验证码 一夜之间“倾家荡产”
最近，一篇受害人自述被骗经历的长文在网络上广为流传。作者称，由于回复了一条短信，他的支付宝、银行卡以及百度钱包里所有的资金一夜之间被“洗劫一空”。真相究竟如何？央视记者在调查中发现，一种全新的骗术已经出现并正在蔓延，我们不可不知、不得不防。 部分设备无法播放视频请点击这里观看一条短信 一夜之间“倾家荡产”受害者长文微博截图“因为一条短信，一夜之间，我的支付宝、所有的银行卡信息都被攻破，所有银行卡的资金全部被转移，…那是一种一无所有的绝望。”这篇万余字的长文配发一系列截图证据，描述了当事人遭遇的全过程。文章在微博、微信平台上持续发酵，阅读转发超过780万，留言评论不断。经过多方联系，记者找到了当事人小许，一名参加工作不久的大学毕业生。“漂”在北京辛苦挣来的所有积蓄说没就没了，至今令他心有余悸。受害人 小许：一夜之间你所有钱财都一无所有。你能明白那种恐怖和崩溃的心理吗？都不是说难过，是恐惧和崩溃，我觉得我之前做的所有努力都是白费的。退订短信暗藏玄机4月8日傍晚，挤在北京晚高峰的地铁里，小许连续收到了几条来自中国移动官方号码的短信。短信称，他已成功订阅了一项“手机报半年包”服务，并且实时扣费造成了手机余额不足。受害人 小许：我这时候就纳闷了，因为我根本就没有订阅这个服务啊。紧接着就是非常诡异地又发了一条短信，显示是我只要回复取消加验证码，在3分钟之内退订免费。当小许正在琢磨“验证码”到底是什么，他又收到了一条来自中国移动客服电话“10086”的短信。受害人 小许：上面写着。您好，您的USIM卡验证码为六位数字，然后就没了，就句号。这时候我就想我要退订这个业务，他也没有跟我说验证是什么(用途)，我就按照常规的思维，就取消加验证码发给他了。原以为成功避免了一次手机用户经常碰到的“吸费业务”，但小许却惊讶地发现，自己的手机突然彻底瘫痪了。受害人 小许：重启了大概N次手机，然后它还是显示无服务。到家之后，有WIFI的时候再充值，去充了大概150块钱进去它还是没反应，这时候我就着急了。因为我手机是无服务状态，我也打不了10086的客服。在线遭劫！支付宝一夜“归零”这只是麻烦的开始，当天晚上8点左右，小许的手机在无线网络下，接连收到了支付宝的转账提示，这意味着竟然有人在另一个终端上操作他的支付宝账户。受害人 小许：这时候就不是诈骗，这种感觉是在抢钱。就我眼睁睁地看着他，把我的钱一笔一笔又一笔的转移，而且不是我个人操作的。由于手机无法呼出挂失，情急之下，小许只能通过操作客户端解除了支付宝与三张银行卡的绑定，并且委托亲友拨打支付宝客服电话冻结账号。受害人 小许：因为你知道打客服(电话)是个非常缓慢的过程，它一步一步各种各样的验证，…当我挂失成功完成之后，发现我的支付宝没钱了。他不但攻破了我的支付宝，还在我网银里发生跨行转账。就发现我后来每一张银行卡里，余额都是零。百度钱包“被偷” 网银账户“沦陷”更令小许感到恐惧的是，冻结支付宝账户并没有使自己的银行卡摆脱被劫的“命运”。他第二天才发现，自己名下的招商银行、工商银行两张储蓄卡，在他完全不知情的情况下，被人绑定在另一个在线支付平台“百度钱包”上，加上小许原本在“百度钱包”绑定的另一张中国银行卡，三张卡里的钱全部转入了两个陌生账号。这意味着，就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。“嫁接”移动业务 精准“劫持”手机小许的遭遇不仅让众多网民震惊，也在通信、互联网和银行业内引发了热议。从收到可疑短信，直到眼见自己的所有账户被彻底“洗劫一空”，整个过程只有3个多小时，所有这些不可思议，都是从收到那条订阅短信开始的。记者从短信入手展开了调查。明明小许没有订阅，为何会收到订阅短信？根据中国移动北京分公司的内部查证：4月8日17点54分，有人通过海南海口的一个IP地址，以小许的手机号成功登录了北京移动官方网站，不仅发起了手机报订阅，还在18点13分成功办理了一项名为“自助换卡”的业务。自助换卡：“双重关口”皆被攻破“自助换卡”是中国移动推出的一项在线服务，通过这项业务用户不必跑营业厅，直接通过在官方网站操作就可以更换4G手机卡。新卡立即生效，旧卡同时作废。经过“自助换卡”，相当于小许的手机在那一刻更换了机主，落到了别人手里。中国移动北京分公司表示，目前仍不能准确解释小许的账号是如何被他人成功登录的，但如果密码设置过于简单，或与其他安全级别较低的网站密码相同，就可能会在反复尝试下被攻破。中国移动北京公司业务专家 孙鹏：第一道门是诈骗分子把门户网站的密码破解掉了，第二道门是他启动了换卡的流程，点击确认，我要发起换卡了，系统就会向他发一个二次确认的验证码，把这个验证码再填回系统之后，才会发起后期的换卡工作。“致命”漏洞：关键信息缺乏关键提示攻击者要换卡，必须先知道验证码。当时小许收到的这条来自10086的验证码，正是攻击者在网上发起换卡后，系统自动发到小许手机上的。但在这条20多字的短信中，并未说明验证码的用途。受害人 小许：可以说，他是以极其随便的态度来发给我，就告诉我这是个验证码，普通人没有接触过这方面信息的时候，是不知道它是有什么用处的。骗局揭秘：利用“信息盲点”编造“剧本”“USIM卡验证码”到底是什么？攻击者正是在这个绝大多数用户不清楚的“信息盲点”上做文章，“嫁接”起了两项中国移动的官方业务，编造了整个骗局的“剧本”：先是破解密码登录官网，为当事人订阅增值业务并实现扣费，这是在营造恐慌气氛；再通过发送一条诈骗短信，告诉当事人可以免费退订，但需要立即回复“验证码”；趁着当事人正急于退订却搞不清“验证码”在哪里，攻击者又在中国移动网上营业厅发起换卡业务，使系统自动向当事人发送10086短信的“验证码”，这种及时跟进的“雪中送炭”，更会让当事人对骗局的“剧本”深信不疑；最终，面对这个没有任何安全提示的“验证码”，当事人会很容易顺着之前“剧本”的逻辑，积极主动地把它回复到到攻击者手中。利用当事人回复的“验证码”，攻击者完成“自助换卡”后，会利用成功“劫持”的手机使用权接收各类短信验证码，进一步对受害者的财产账户发动攻击。受害人 小许：手机号不仅仅是你的通信工具。它是你在互联网上的唯一身份凭证，意味着一旦你失去你这个手机号的控制权，那你这个人就被抹掉了。因为我丢失了那个手机号。其实在那一晚上我是没有身份的在互联网上，我的身份被另外一个人取代了。风险失控：“冷门”业务变“后门”小许的经历并非个例，不少有着同样遭遇的网友主动与小许联系，讲述自己被攻击的经过。信息安全专家把此类电信诈骗称作“补卡攻击”。记者在调查中发现：一些本为方便用户而开发的业务，却因用户普及程度较低，成了被攻击者“盯上”的充满风险的“后门”。记者体验了“自助换卡”的全部流程：注册登录移动网上营业厅，进入“自助换卡”页面并申请这项业务，只要将原手机卡收到的短信“验证码”回填到网页，原卡的号码信息会被写入装在另一部手机里的新卡，而原手机卡立即作废，几分钟即可完成操作，而且完全免费。记者注意到，与到营业厅当面办理不同，自助换卡全程都没有核验操作者的身份信息，仅需要准备一张未被写入号码信息的新卡，并将卡面上的编号输入网页，这张卡被业内称为“白卡”。中国移动北京公司业务专家 孙鹏：如果您是中国移动的客户，您现在可以到营业厅，免费领取一张，或者说是我们通过邮寄的方式给您寄过去。记者：免费领取的时候，需要核验身份信息吗？中国移动北京公司业务专家 孙鹏：你只要是中国移动的客户，我们就会给您一张白卡。记者：不需要做任何身份验证？中国移动北京公司业务专家 孙鹏：白卡本身是不需要做验证的。白给的“白卡”：“便捷”还是“隐患”？记者了解到，这种“白卡”和领取人的手机号没有绑定关系，因而领取后可以写入任何手机号，不仅可以免费从官方途径获得，甚至在淘宝等网站上有人公开售卖。这就意味着，攻击者要“劫持”小许的手机卡，只需要以小许的手机号成功登录中国移动网上营业厅，并骗到那个没有任何提示说明的6位验证码，剩下的条件都可以轻易获取，不需要任何身份验证。信息安全专家 孟卓：曾经可能线下还要验一下身份证我们还要面对面沟通交谈，但是在网上呢，可能就会有这种安全隐患在里面，现在你也永远不知道是一个什么样的人，他在哪里在研究你的系统，在尝试着发现你系统里的一些问题。揭穿伪装：诈骗短信披上“官方外衣”回溯小许的遭遇记者发现，在构成这场“连环”骗局的几条短信中10086是中国移动统一客服号码、是中国移动手机报号码，令当事人深信不疑。就连此次事件中唯一一条由攻击者编造的诈骗短信，也是利用“139邮箱”的一项“发短信”功能发出的。记者实际操作发现，如果接收短信的手机没有将发短信的邮箱所对应的手机号存储为联系人，接收到的信息均显示以“10658”开头。而中国移动旗下的“服务提供商业务号码”发送的“行业短信”大都以“10658”开头。攻击者看中的正是这个功能细节，不仅可以对诈骗短信进行伪装，骗取接收者的信任，还可以接收到当事人回复的关键验证码。因此，139邮箱的“发短信”功能被攻击者所用，成为骗局的重要一环。而这项中国移动已经推出8年的免费功能，很少有人真正了解它的操作细节，使用率也不高。信息安全专家 张耀疆：所谓的冷门业务，它有时效性的。按道理可能在某一时期它就有某一时期的一个作用，但实际上这个(行业)发展非常快，随着时间的推延，其实有些东西甚至你自己都忘掉了。就是一般不太用，但是懂的人他就会打它主意，利用它。有时候时间长了，它就变成后门了。验证码“撬开”全部账户？当事人的手机卡被“劫走”后，第三方支付平台、甚至银行的安全验证都被接连突破，这一切真的仅靠掌握短信验证码就可以实现吗？小许：他为什么就能凭我的手机就能够破解我的网银呢。工商银行客服：第一必须得知道您的网银登录密码，…如果他不知道登录密码的情况下，他还需要您卡的密码。小许：卡密码？工商银行客服：对，就是卡的取钱密码，就那六位数卡取钱密码。如果密码、卡号和手机他完全掌握他才能做这些交易。这意味着，尽管短信验证码是每一步攻击的关键，但攻击者还需要受害者的银行卡号等更多的信息。因而可以断定，小许的手机卡被“劫持”之前，他的“成套”个人信息已经被攻击者掌握了。尽管已经向警方报了案，而且支付宝和百度钱包也在案件侦破之前，对小许在该支付平台上损失的金额进行了先行赔付，但小许仍在通过各种途径寻求答案。他恐惧的是，不知自己还有什么关键信息已经被他人所掌握。信息安全专家 张耀疆：个人信息在网上通过各种各样的方式去猜测碰撞，最终汇集到一起，形成一个地下的一个数据库。那么这个库里面会有大量的非常完整的个人信息的一个链条。比如你的姓名、家庭住址、手机号、银行卡号、银行的密码，其实都在网络的黑市里面，而且是别人整理好的，不是零散的，这个就非常可怕。短信验证码“不能承受之重”近年来，在个人信息泄露交易愈发猖獗的大背景下，单一的静态信息如账号、密码已经不能保证各类身份验证，尤其是在线支付的安全。因此从银行开始，越来越多行业的安全策略采用了“双因素认证”的理念。简单的说，就是“用户自己知道的信息”这把“钥匙”已经不安全了，必须用随着时间、事件等因素随机产生的一次性密码再加上“另一把钥匙”，同时拥有“两把钥匙”的人才能开一把锁。而这把“新钥匙”从最初的U盾、令牌开始，越来越多的“集成”到了智能手机上，“短信验证码”已经成为如今在线支付“双因素认证”的“必选项”。之所以小许的所有账户被“全线攻破”，是因为除了个人信息这把“钥匙”早已泄露外， “双因素认证”的第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现：所有的在线支付都可以用手机号和静态密码登录，百度钱包直接可以用短信验证码登录；“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成；而对于第三方支付最重要的“支付密码”，支付宝竟然简化到仅凭短信验证码就可以更改。小许：如果我的手机号已经被盗走了，因为我可以确定这一点，他还需要别的才能把我的钱转走吗？招商银行客服：转账的话是需要您的取款密码，跟验证码的，但是如果说他是网上支付的话，就是只需要验证码就可以了。信息安全专家 张耀疆：验证码这个东西，它可以做可各种各样的动作，比如说找回你的账号密码，那么这样就导致什么呢？其实你个人的账号密码和验证码就变为一体了，它变成一个因素了。那么原来设计当中的双因素的功效就大大的降低。就把所有的鸡蛋都放在这么一个篮子里面，导致了种种的问题。如何防范“验证码攻击”从小许的遭遇中我们应该得到什么警示？面对此类针对短信验证码的“精准诈骗”和“组合攻击”，又该如何保护自身安全？信息安全专家为大家“支招”。信息安全专家 孟卓：现在互联网发展到这个地步，很多这种计算机服务器，它的运算能力已经很高了，包括带宽现在也很宽了，4位数验证码，我们可能会在行业里会做一个测试进行猜解，不到一万次就猜出来了，基本上几分钟就搞定了。专家提示，从电脑到手机都面临着木马病毒、“钓鱼”网站等黑客技术的安全威胁，如果只靠一个简单的静态密码，无法保证安全。因而，首先一定要保证静态密码足够复杂，并妥善保管防止泄露。“四招”防范“验证码攻击”一、静态密码设置一定要复杂其次，攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对'运营商'、'银行'等身份的手机短信和来电进行认真甄别，冷静应对。二、遭遇“干扰信息”仔细甄别莫慌张每个人手机上，可能都会出现过各种的干扰信息，那么如果在我们风险意识并不是很强的情况下，很容易被这种干扰信息所误导，就会产生后续的一系列的损失。三、手机离奇“瘫痪” 紧急“挂失”当先另外，如果手机通讯出现瘫痪，一定要马上查清故障原因。如非手机本身或信号故障，要立刻挂失手机卡，并及时冻结第三方支付和银行账户，避免攻击者趁用户处于'信息孤岛'时，冒名顶替机主身份窃取账户。四、短信验证码 不能告诉任何人！！！最最重要的是：短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。支付宝安全发言人表示，基本上现在市面上任何的验证码，它都不会有再次上行的过程。也就是说它只会单向地告诉你，它的验证码是多少，不会再次要求你，说你把你的验证码发送给它。所以说，任何问你要验证码的都是骗子。从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统，构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟：所谓“好的用户体验”，就像一架天平，一头是“便捷”，而另一头是任何时候都不能忽略的“安全”，这架天平的平衡一旦打破，所有的一切都会“归零”。
TA的最新馆藏[转]&[转]&[转]&
喜欢该文的人也喜欢