来源:蜘蛛抓取(WebSpider)
时间:2018-07-16 07:00
标签:
免费获取手机验证码
现在很多页面是需要获取验证码的,但是相信很多页面是没有做这样的优化的,比如下面这个场景:
现在访问一个注册页面,页面有一个填写手机号,获取验证码的按钮,点击获取验证码按钮之后,按钮变成灰色,然后是60倒计时效果。在60S内我无法再次点击获取验证码按钮。因为按钮是灰色的,不可点击状态。
但是,如果在倒计时任然进行时我刷新一下页面,一般的页面就会全部刷新,包括倒计时效果也没有了,按钮恢复到这最初可点击状态,这其实是不符合逻辑的。按正常逻辑是,页面任然倒计时,如果我刷新页面,倒计时任然存在,并且按钮不可点击。
再有一种场景:如果在倒计时任然进行时,我关闭了页面,然后在60S内重新打开页面,按到里说60s时间还没有过完,我重新打开页面,倒计时效果应该任然存在,并且与实际流逝时间对应,也就是说,我点击按钮,倒计时进行到50s的时候,我关闭页面,然后过去40s之后我重新打开页面,倒计时效果应该进行至10s。
但是,现有很多页面是没有实现这样的逻辑的。也就是说页面刷新,倒计时就没有了,按钮又恢复了,自然是不合理不符合逻辑的,针对这样的问题我的解决方案如下。
1.点击获取验证码按钮,改变按钮为不可点击状态,进行倒计时计时器,并且实时记录倒计时秒数,以及当前时间time1。
2.页面刷新的时候监听倒计时按钮,获取倒计时秒数,以及页面关闭的时的时间time1,和当前时间time2。
3.如果当前时间与关闭页面的时间的差 &小于关闭页面的倒计时秒数,倒计时任然再进行,修改按钮为倒计时样式。
核心代码如下:
getcode.js
//防止页面刷新倒计时失效
* @param {Object} obj
获取验证码按钮
function monitor(obj) {
var LocalDelay = getLocalDelay();
var timeLine = parseInt((new Date().getTime() - LocalDelay.time) / 1000);
if (timeLine & LocalDelay.delay) {
console.log("过期");
_delay = LocalDelay.delay - timeL
obj.text(_delay).addClass("btn-disabled");
var timer = setInterval(function() {
if (_delay & 1) {
obj.text(_delay);
setLocalDelay(_delay);
clearInterval(timer);
obj.text("获取验证码").removeClass("btn-disabled");
//倒计时效果
* @param {Object} obj 获取验证码按钮
* @param {Function} callback
获取验证码接口函数
function countDown(obj, callback) {
if (obj.text() == "获取验证码") {
var _delay = 60;
var delay = _
obj.text(_delay).addClass("btn-disabled");
var timer = setInterval(function() {
if (delay & 1) {
obj.text(delay);
setLocalDelay(delay);
clearInterval(timer);
obj.text("获取验证码").removeClass("btn-disabled");
callback();
return false;
//设置setLocalDelay
function setLocalDelay(delay) {
//location.href作为页面的唯一标识,可能一个项目中会有很多页面需要获取验证码。
localStorage.setItem("delay_" + location.href, delay);
localStorage.setItem("time_" + location.href, new Date().getTime());
//getLocalDelay()
function getLocalDelay() {
var LocalDelay = {};
LocalDelay.delay = localStorage.getItem("delay_" + location.href);
LocalDelay.time = localStorage.getItem("time_" + location.href);
return LocalD
页面调用 login.html
&script type="text/javascript" src="js/jquery-2.1.0.js"&&/script&
&script type="text/javascript" src="js/getcode.js"&&/script&
$(function() {
var btn = document.getElementById("btn-getcode");
//调用监听
monitor($(btn));
//点击click
btn.onclick = function() {
//倒计时效果
getCode回调函数
获取验证码api
countDown($(this), getCode);
function getCode() {
$.get("http://192.168.50.242:8080/demo/js/json.json", {}, function(res) {
if (res.code == 000) {
console.log("验证码将发送到你手机");
alert(res.message);
其实原理很简单,就是将倒计时的实时记录在localStorage中,页面刷新的时候判断localStorage的数据。
阅读(...) 评论()怎样实现短信验证优化
原创
 11:06:44
598
这次给大家带来怎样实现短信验证优化,实现短信验证优化的注意事项有哪些,下面就是实战案例,一起来看一下。平时我们在项目中进行注册等的时候,会经常用到短信验证的功能,但是现在现在很多短信验证都是存在下面几个问题,例如短信验证时间为60s的时候,1. 当点击完按钮时,倒计时还没到60s过完时,刷新浏览器,验证码按钮又可以重新点击2.当点击按钮倒计时开始,例如在50s的时候我关闭了浏览器,过了5s后,我在打开,此时时间倒计时的时间应该是45s左右,但是当重新打开浏览器的时候,按钮又可以重新点击了为了解决上面的两个问题,就需要把时间都写到localstorage里面去,当打开页面的时候,就去localstorage里面去取,我这里就贴上我的解决方法,因为前几天有个vue的项目用到该方法,所以我这里就写个vue的方法出来吧组件里面的html代码:&p class=&mtui-cell__ft& @click=&getCode&&
&button class=&mtui-vcode-btn mtui-text-center& v-if=&flag&&获取短信&/button&
&button class=&mtui-vcode-btn mtui-text-center& v-if=&!flag&&剩余{{second}}s&/button&
&/p&重点来啦在data里面定义几个需要用到的变量: second: 60,
flag: true,
timer: null // 该变量是用来记录定时器的,防止点击的时候触发多个setInterval获取短信验证的方法:getCode() {
let that =
if (that.flag) {
that.flag =
let interval = window.setInterval(function() {
that.setStorage(that.second);
if (that.second-- &= 0) {
that.second = 60;
that.flag =
window.clearInterval(interval);
}写入和读取localstorage: setStorage(parm) {
localStorage.setItem(&dalay&, parm);
localStorage.setItem(&_time&, new Date().getTime());
getStorage() {
let localDelay = {};
localDelay.delay = localStorage.getItem(&dalay&);
localDelay.sec = localStorage.getItem(&_time&);
return localD
}防止页面刷新是验证码失效:judgeCode() {
let that =
let localDelay = that.getStorage();
let secTime = parseInt(
(new Date().getTime() - localDelay.sec) / 1000
console.log(localDelay);
if (secTime & localDelay.delay) {
that.flag =
console.log(&已过期&);
that.flag =
let _delay = localDelay.delay - secT
that.second = _
that.timer = setInterval(function() {
if (_delay & 1) {
that.setStorage(_delay);
that.second = _
that.flag =
// 此处赋值时为了让浏览器打开的时候,直接就显示剩余的时间
that.flag =
window.clearInterval(that.timer);
}相信看了本文案例你已经掌握了方法,更多精彩请关注php中文网其它相关文章!推荐阅读:以上就是怎样实现短信验证优化的详细内容,更多请关注php中文网其它相关文章!
江湖传言:PHP是世界上最好的编程语言。真的是这样吗?这个梗究竟是从哪来的?学会本课程,你就会明白了。
PHP中文网出品的PHP入门系统教学视频,完全从初学者的角度出发,绝不玩虚的,一切以实用、有用...
点击数(111854)
ThinkPHP是国内最流行的中文PHP开发框架,也是您Web项目的最佳选择。《php.cn独孤九贱(5)-ThinkPHP5视频教程》课程以ThinkPHP5最新版本为例,从最基本的框架常识开始,将...
点击数(109871)
《php.cn原创html5视频教程》课程特色:php中文网原创幽默段子系列课程,以恶搞,段子为主题风格的php视频教程!轻松的教学风格,简短的教学模式,让同学们在不知不觉中,学会了HTML知识。
点击数(84329)
本套教程,以一个真实的学校教学管理系统为案例,手把手教会您如何在一张白纸上,从零开始,一步一步的用ThinkPHP5框架快速开发出一个商业项目。
点击数(83471)
所有计算机语言的学习都要从基础开始,《PHP入门视频教程之一周学会PHP》不仅是PHP的基础部分更主要的是PHP语言的核心技术,是学习PHP必须掌握的内容,任何PHP项目的实现都离不开这部分的内容,通...
点击数(80799)
php中世界最好的语言
全栈工程师
文章总浏览数
相关视频章节青青子衿, 悠悠我心, 但为君故, 沉吟至今
两步验证和短信验证码安全对比
不知从何时开始,手机号成了注册各种账号的必要信息,短信验证码也成了各种敏感操作的验证方式。大家都知道只要不把验证码告诉别人,自己的账号安全就能得到保障。毕竟手机在自己手里,贼总不能来抢我的手机吧?但事实并非如此,短信验证码的安全隐患比想象中大的多,所以抛弃短信验证码势在必行。 短信验证码权限极大 目前,短信验证码已被广泛应用于社交媒体、网站、论坛、游戏、银行金融和医疗等平台上。短信验证码可以帮助用户进行修改密码、修改绑定邮箱等敏感操作。短信验证码也能让用户不输账号密码直接登陆。所以短信验证码的权限很大,一旦被不法分子利用后果不堪设想。 SIM卡劫持可以通过多种方式实现(比如SIM卡克隆),是一种可以完全控制一个手机号的技能。可怕的是这种技能的学习门槛和实现难度都不高。比较低级的SIM卡劫持方法甚至可以在网上随便搜到教程。 越高级的方法需要的&原料&越少。2017年黑帽大会上曾演示了只需一个手机号码就在一分钟之内劫持SIM卡的方法。 一旦SIM卡被劫持,你的手机就会立刻没网。这时不法分子可以随心所欲使用你的手机号。比如窃取你的隐私,诈骗亲戚朋友,或者通过手机短信验证码来盗取你的社交媒体账号和资金财产。 从本人搜集的国内外十几个案例来看。从不法分子获得SIM卡控制权,到从银行偷钱平均也就15分钟左右。也就是说,一旦被劫持,等你打通银行客服,钱很可能已经被偷了。 更安全的验证方式:基于APP的两步验证 短信验证码一直是使用最广泛的两步验证方法。但正如上文所述,短信验证码的安全隐患很多。 所以银行业很早就开始使用动态口令卡(比如网银U盾)&&一种类似于U盘的专门显示动态验证码的设备。但想使用动态口令卡必须将其随谁携带,便利性不佳。所以现在不少平台都启用了依赖于手机APP的两步验证,相当于把动态口令卡集成在了手机中。 使用手机两步验证APP时,用户需要首先安装并设置好APP,包括对需要验证的账户的绑定。 绑定完成后再登陆这些账号时,两步验证APP就会推送动态验证码。用户必须在登陆界面输入该验证码才能完成登陆。当然,两步验证APP不仅可以用来登陆,也可用来验证其它敏感操作。& 大部分两步验证APP基于TOTP机制,不需要任何网络连接(包括Wi-Fi),也不需要短信和SIM卡,验证码完全在手机本地生成。所以APP两步验证几乎免疫了SIM卡劫持。& 为什么说几乎呢?那是因为在首次安装两步验证APP时,用户需要通过短信进行一些初始设置的验证。但只要确保这时SIM卡不被劫持就安全了。 另外必须要说的是两步验证APP只是绕开了短信验证码,并没有解决SIM卡劫持的根本问题。也就是说你的SIM卡还可以被劫持。只不过不法分子不能在通过你的SIM卡威胁你的网络和财产安全了。 两步验证APP的现状 两步验证APP主要分两类:&独占类&和&开放类&。独占类指只支持自家账户登录的两步验证,比如新浪微盾。开放类则是一个纯粹的两步验证APP,支持绑定第三方应用。这样一个APP就能变成很多账户的验证器,比如Authy 2-Factor Authentication。 国外的优质开放类两步验证APP很多,都在这两年流行了起来。主要是因为它们支持很多常用账号,包括主流社交媒体、游戏、银行、教育和医疗等平台。 国内的两步验证APP基本都是独占类。这样一来每个账户都需要单独装一个APP,所以用的人很少。 结语 基于TOTP机制的两步验证APP有着比短信验证码高得多的安全性和相媲美的便利性,是一种能保障用户财产安全的工具,非常值得推广。 希望国内会有信誉可靠的大公司推出开放类的两步验证APP,允许用户绑定各种第三方账户,抛弃短信验证码。这样才能把SIM卡劫持的危害降到最低。 稿源:新浪科技
除非注明,文章均为原创,转载请以链接形式标明本文地址
本文地址:
贵站也启用手机短信两步验证了吗?评论还必须输入手机号码。哈哈。
我记得之前是工信部还是哪里有关于实名制的要求啊。手机验证码不是最简单的办法吗?(虽然这不是最好的。)
目前因为APP克隆存在,直接复制两步验证APP的data文件,到任何一台新设备上,都可以无缝克隆一个两步验证APP。只要安卓有类似任意路径文件访问,上传等漏洞存在(实际是这种漏洞并不少见,出现过多次)那可以做到只要对方访问了某个网站,运行了某个APP,就可以克隆基于TOTP机制的两步验证APP。
现在基本上所有的两步验证都有一个手机号短信验证码的备用选项,不管你是不是启用了手机软件的两步验证,反正还是可以通过手机验证登录账户。所以说,一点卵用都没有
.m999点org
智能手机都不想用,哪还要用app。。。。
哈哈哈哈哈。
u盾到底安全不?
就这样封闭的环境
申博官网下载:
赞助商广告
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.短信验证码如何实现
[问题点数:40分]
本版专家分:0
CSDN今日推荐
本版专家分:309819
2016年8月优秀小版主2014年11月论坛优秀版主
2018年4月 扩充话题大版内专家分月排行榜第一2017年7月 扩充话题大版内专家分月排行榜第一2017年6月 扩充话题大版内专家分月排行榜第一2017年5月 扩充话题大版内专家分月排行榜第一2017年3月 扩充话题大版内专家分月排行榜第一2017年1月 扩充话题大版内专家分月排行榜第一2016年12月 扩充话题大版内专家分月排行榜第一2016年11月 扩充话题大版内专家分月排行榜第一2016年10月 扩充话题大版内专家分月排行榜第一2014年2月 扩充话题大版内专家分月排行榜第一2014年1月 扩充话题大版内专家分月排行榜第一
2018年6月 扩充话题大版内专家分月排行榜第二2018年2月 扩充话题大版内专家分月排行榜第二2017年9月 扩充话题大版内专家分月排行榜第二2017年2月 扩充话题大版内专家分月排行榜第二
2018年5月 扩充话题大版内专家分月排行榜第三2018年1月 扩充话题大版内专家分月排行榜第三2017年12月 扩充话题大版内专家分月排行榜第三2017年11月 扩充话题大版内专家分月排行榜第三2017年10月 扩充话题大版内专家分月排行榜第三2017年8月 扩充话题大版内专家分月排行榜第三2016年9月 扩充话题大版内专家分月排行榜第三2016年8月 扩充话题大版内专家分月排行榜第三
本版专家分:116764
2016年4月 扩充话题大版内专家分月排行榜第一2016年1月 扩充话题大版内专家分月排行榜第一
2016年2月 扩充话题大版内专家分月排行榜第二
2016年3月 扩充话题大版内专家分月排行榜第三2015年12月 扩充话题大版内专家分月排行榜第三2015年11月 扩充话题大版内专家分月排行榜第三2013年11月 扩充话题大版内专家分月排行榜第三2013年10月 扩充话题大版内专家分月排行榜第三
本版专家分:235890
2018年6月 扩充话题大版内专家分月排行榜第一2018年5月 扩充话题大版内专家分月排行榜第一2018年1月 扩充话题大版内专家分月排行榜第一2017年12月 扩充话题大版内专家分月排行榜第一2017年11月 扩充话题大版内专家分月排行榜第一2017年10月 扩充话题大版内专家分月排行榜第一2017年9月 扩充话题大版内专家分月排行榜第一2017年8月 扩充话题大版内专家分月排行榜第一2016年6月 扩充话题大版内专家分月排行榜第一2015年10月 扩充话题大版内专家分月排行榜第一2015年4月 扩充话题大版内专家分月排行榜第一2015年3月 扩充话题大版内专家分月排行榜第一
2018年7月 扩充话题大版内专家分月排行榜第二2017年6月 扩充话题大版内专家分月排行榜第二2016年5月 扩充话题大版内专家分月排行榜第二2015年5月 扩充话题大版内专家分月排行榜第二2014年11月 扩充话题大版内专家分月排行榜第二2013年10月 扩充话题大版内专家分月排行榜第二2013年8月 扩充话题大版内专家分月排行榜第二
2018年2月 扩充话题大版内专家分月排行榜第三2017年7月 扩充话题大版内专家分月排行榜第三2015年8月 扩充话题大版内专家分月排行榜第三
本版专家分:99998
2015年2月 扩充话题大版内专家分月排行榜第一
2018年5月 扩充话题大版内专家分月排行榜第二2015年1月 扩充话题大版内专家分月排行榜第二
2018年6月 扩充话题大版内专家分月排行榜第三2018年3月 扩充话题大版内专家分月排行榜第三2014年12月 扩充话题大版内专家分月排行榜第三
本版专家分:99998
2015年2月 扩充话题大版内专家分月排行榜第一
2018年5月 扩充话题大版内专家分月排行榜第二2015年1月 扩充话题大版内专家分月排行榜第二
2018年6月 扩充话题大版内专家分月排行榜第三2018年3月 扩充话题大版内专家分月排行榜第三2014年12月 扩充话题大版内专家分月排行榜第三
本版专家分:0
本版专家分:99998
2015年2月 扩充话题大版内专家分月排行榜第一
2018年5月 扩充话题大版内专家分月排行榜第二2015年1月 扩充话题大版内专家分月排行榜第二
2018年6月 扩充话题大版内专家分月排行榜第三2018年3月 扩充话题大版内专家分月排行榜第三2014年12月 扩充话题大版内专家分月排行榜第三
本版专家分:20726
匿名用户不能发表回复!
其他相关推荐如何防范短信嗅探犯罪?专家:最简单一招睡前关机|嗅探|验证码|短信_新浪新闻
如何防范短信嗅探犯罪?专家:最简单一招睡前关机
如何防范短信嗅探犯罪?专家:最简单一招睡前关机
原标题:短信“半夜盗刷”该如何防范
嫌疑人将伪基站等设备藏在外卖箱中供图/腾讯守护者计划
“一觉醒来,手机里多了上百条验证码,而账户被刷光还背上了贷款”——近期犯罪分子利用“GSM劫持 短信嗅探”的方式盗刷网友账户的事件成为网络热点。那么,该如何防范这种短信嗅探犯罪呢?安全专家指出,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。
在主流App中,许多账户登录及资金操作都可以通过手机号码加短信验证码的方式实现,对于用户来说,这种操作为自己带来方便,无需记忆复杂的密码;但对于别有用心的犯罪分子来说,他们可以利用简单的设备获取用户的验证码,从而操控用户账户,提现、消费,甚至贷款。一位深圳网友日前就经历了这样的骗局,一觉醒来,手机上发现了上百条验证码,银行卡、支付宝、京东等账户中的资金不翼而飞,甚至还背上了网络贷款。
专家表示,这是犯罪分子利用“GSM劫持 短信嗅探”的方式,把银行卡或其他账户里的钱盗刷或者转移了。为此,消费者需要注意防范,尤其是在2G网络情况下,警惕遇到犯罪分子实施的强制“降频”等方式攻击,要及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况。
一觉醒来收百条验证码存款全无
本月初,家住深圳的网友“独钓寒江雪”发文称,自己当天起床发现手机接受了100多条验证码,包括支付宝、京东、银行卡等,查询发现,“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。”
她的手机截图显示,她从凌晨1点多起,陆续收到来自中国银行、京东、京东支付、环迅支付、房天下等多个号码发来的“验证码”短信,仅在3点11分就收到了4条短信,一共100余条。
如京东金融自2点34分起,陆续发送了“(借款成功)您成功申请金条借款10000.00元,将于30分钟内到尾号0152的银行卡”“恭喜您开通白条,额度为5000元”等多条短信,京东支付的短信显示:“验证码:362661,您现在正在进行支付,短信验证码请注意保密……”环迅支付显示:“验证码219860,你正在使用快捷支付,校验码很重要,不要告诉任何人哦!”的短信显示:“您的短信验证码为351525,请本人及时输入,切勿向他人透露。”
另外,她还查询到自己的多个账户中的钱已被交易,对方用自己的支付宝绑定的工商银行卡购买了1000元的Q币,还预定了南京一家高档酒店的套房,用京东卡充值了2000元的中国石化加油卡等。
犯罪分子利用短信嗅探专挑熟睡时段作案
那么为何会出现“睡一觉把存款睡没”的情况?腾讯安全的技术人员表示,“这些人都是被犯罪分子用‘GSM劫持 短信嗅探’的方式,把银行卡或其他账户里的钱盗刷或者转移了。”
据技术人员介绍,短信嗅探通常由号码收集设备(伪基站)和短信嗅探设备组成。其犯罪具体分为以下四步:第一步,犯罪团伙基于2G移动网络下的GSM通信协议,在开源项目OsmocomBB的基础上进行修改优化,搭配专用手机,组装成便于携带易使用的短信嗅探设备。
第二步,通过号码收集设备(伪基站)获取一定范围下的潜在的手机号码,然后在一些支付网站或移动应用的登录界面,通过“短信验证码登录”途径登录,再利用短信嗅探设备来嗅探短信。
第三步,通过第三方支付查询目标手机号码,匹配相应的用户名和实名信息,以此信息到相关政务及医疗网站社工获取目标的身份证号码,到相关网上银行社工,或通过黑产社工库等违法手段获取目标的银行卡号。由此掌握目标的四大件:手机号码、身份证号码、银行卡号、短信验证码。所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。
第四步,通过获取的四大件,实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作,实现对目标的盗刷或信用卡诈骗犯罪。因为,一般短信嗅探技术只是同时获取短信,并不能拦截短信,所以不法分子通常会选择在深夜作案,因为这时,受害者熟睡,不会注意到异常短信。
短信嗅探设备被藏在外卖箱内作案
据腾讯安全的技术人员介绍,嫌疑人的设备包括两种,一种是收集设备,一种是嗅探设备。收集设备由一个伪基站、三个运营商拨号设备以及一个手机组成。这台设备启动后,附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时,与设备相连的那台手机(中间人手机)就可以临时顶替被“吸附”的手机。也就是说,在运营商基站看来,此时攻击手机就是受害者的手机。嫌疑人的短信嗅探设备则由一部电脑、一部最老款的诺基亚手机和一台嗅探信道机组成。利用该劫持设备,犯罪分子可以看到这个基站区域内所有用户收到的短信,并且用户毫无知觉。上述的设备体积都不大,也为其实施作案提供了方便。
据报道,该案件发生后,深圳龙岗警方对该案高度重视,抽调精兵强将此类新型案件进行串并研判,在一周内抓获了数名犯罪嫌疑人,并缴获了作案设备。网友独钓寒江雪也表示,最后,支付宝和京东的赔付到账,贷款还清。
值得注意的是,一名嫌疑人所用的车载嗅探攻击设备等被装在一个外卖保温箱中,也就是说,从外观来看,这是一台外卖箱,实际上,这是一个装有伪基站等设备的操作站。
短信嗅探盗刷到底该如何防范
由上可见,嫌疑人要实现盗刷需要很多条件:第一,受害者手机要开机并且处于2G制式下;第二,手机号必须是中国移动和中国联通,因为这两家的2G是GSM制式,传送短信是明文方式,可以被嗅探;第三,手机要保持静止状态,这也是嫌疑人选择后半夜作案的原因。第四,受害者的各类信息刚好能被社工手段确定;第五,各大网站、APP的漏洞依然存在。
那么,作为普通网民来说,如何防范这种短信嗅探犯罪呢?腾讯安全的技术人员表示,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。另外还要注意自己手机信号模式改变。在稳定的4G网络环境下,手机信号突然降频“GSM”、“G”或者无信号时,警惕遇到黑产实施的强制“降频”及GSM Hack攻击,要及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况。
在手机设置上,用户可以使用“VoLTE”保护信息安全:在手机设置中开启“VoLTE”选项,目前主流安卓或iphone手机均已支持。(VoLTE:Voice over LTE,是一种数据传输技术,无需2G或3G,可实现数据与语音业务在4G网络同时传输)
同时,用户最好关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。
平时需做好敏感私人信息保护
此外,据犯罪嫌疑人交待,他们利用设备可以登录一些防范能力较低的网站(一般只需要手机号 验证码)绰绰有余。但是他们的目的并不仅限于成功登录,而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息,他需要社工手段来确定这些信息。因此,用户平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。
那么,骗子如何获取用户的这些信息呢?例如如何获知附近用户的手机号?据腾讯安全技术专家介绍,手段千奇百怪,比如骗子劫持到中国移动139邮箱发送来的短信“中国移动 139邮箱 狂欢来一波!100%有奖!点击查看邮件详情xx”后,复制其中的链接到浏览器,点击“进入掌上营业厅”,就可以直接看到手机号了。知道了手机号以后,再通过登录其他一些网站,利用社工手段就可以很轻松地知道这个人的银行卡账号、身份证号。
在获取了用户信息后,骗子就可以利用这些信息实施犯罪。其一,登录各种网站修改密码,如许多电商、旅游网站允许使用“手机号 验证码”的登录方式,而骗子又可以实时监控到验证码,所以很容易就可以登录。据测试,许多主流网站都可以顺利登录,可以查看商品订单、行程信息、支付信息等,而且还可以直接更改登录密码。其二,可以盗刷资金,许多App的安全策略较低,不少APP只要输入“姓名 银行卡账号 身份证号码 手机号码 动态验证码”,就默认是本人操作,骗子进入以后马上就会盗刷或者购买点卡类虚拟物品。其三,利用网站身份申请贷款等,有些嫌疑人刷完了银行卡中的钱,还会通过这些信息在一些小的贷款网站、平台申请小额贷款,让受害人不但积蓄全无,还会背负债务。通过非法获取和贩卖用户的隐私信息,黑产还可实施精准的电信网络诈骗、敲诈勒索、恶意推广营销等不法活动。
在此过程中,一些App会在必要时候启动风险措施,如支付宝在嫌疑人试图提现时启动了风控措施,从而中断了嫌疑人进一步实施犯罪的动作。据介绍,当天嫌疑人利用伪基站和嗅探设备于1时42分通过“姓名 短信验证码”的方式登录了支付宝账号;1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改,并且绑定了银行卡;1时50分到2时12分别通过输入支付密码的方式进行网上购物932元,并提现7578元。3时21分,嫌疑人想通过提现到银行卡上的钱进行购物,支付宝风控措施启动,要求人脸校验,没有通过校验后嫌疑人便放弃。此时,在支付宝上的消费也就是932元。
安全专家表示,支付宝的安全等级算是高的,但从嫌疑人的交待中,还发现了许多网站的风控措施不严格,很容易被利用。比如每天最高限额定得过高(某银行每天限额达到5000元),比如更换设备登录、频繁登录没有人脸或密码校验等手段,再比如可以在网站上进行小额贷款等操作。
App及网站需提高短信验证码安全系数
而针对网络平台,全国信息安全标准化技术委员会也下发了一份《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,建议个各App、网站服务提供商对业务系统中短信验证码的使用方式进行摸底。例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况,并评估相关安全风险,优化用户身份验证措施。全国信息安全标准化技术委员会建议的方式包括:短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择验证方式等。
如短信上行验证具体是:提供由用户主动发送短信用以验证身份的功能,如要求用户在规定时间内(如 60 秒),使用已绑定的手机号码向移动应用、网站服务提供商指定的短信服务号码发送指定内容短信,移动应用、网站服务根据短信内容对用户身份进行验证。常用设备绑定为:提供将用户账号与常用设备绑定的功能,原则上支付、转账等敏感操作只能通过该绑定设备执行。设备绑定、更换等操作应采用短信上行验证、语音通话传输验证码等方式,并采用诸如要求用户回答预设问题、提供注册时填写的相关用户信息或核对该用户账号近期操作记录等方法进一步确认用户身份。
文/本报记者 温婧
责任编辑:张玉
新媒体实验室
Copyright (C)
SINA Corporation
All Rights Reserved
