此前已有多地出现“GSM劫持+短信嗅探”盗刷案件。2017年底至2018年8月,腾讯守护者计划安全团队协助北京、福建、广东等地警方打击此类犯罪团伙5个,抓获犯罪嫌疑人25人。
短信漏洞多
身份可伪装内容易泄露
..新账号,需要短信验证码;忘记密码又想登录网站,需要短信验证码;在网上转账..,需要短信验证码……当前,使用短信验证码验证用户身份的技术,被广泛应用于各类移动应用和网站服务。
陈江说:“短信验证码虽然方便高效、容易普及使用,但存在‘是否用户本人使用本人手机完成验证操作’这样的漏洞,给不法分子伪装受害者提供了机会。”
“短信验证码是账号安全的核心,承担着实名认证的任务,是保证资金安全的一把密匙,但目前的关注程度还不高。”中国政法大学传播法研究中心副主任朱巍说。
通过短信验证码登录账号后,不法分子可以获取用户的快递地址、消费记录、通讯录等隐私信息,还可以通过“撞库”“社工”等方式,“集齐”用户的姓名、身份证、银行卡号,实施资金盗刷、电信诈骗、敲诈勒索等活动。
除了被“偷窥”,泄露短信验证码的途径还有很多。有的用户点击了非法链接,手机被安装监听木马;有的不法分子伪装银行客服,直接索取验证码内容;还有运营商内鬼主动泄露,里外勾结。此外,短信云同步、自动填写验证码等功能的初衷虽是方便用户,却也可能被不法分子利用。
安全待升级
改发送方式加生物识别
“改变短信设置,使用VoLTE技术(基于4G的语音传输技术),,改用4G网络传输短信。”“关闭手机蜂窝功能,改用无线网络”“晚上睡觉时关闭手机或调整到飞行模式”……为了避免短信验证码被“偷窥”,不少媒体和热心用户给出了解决方案。
但是,这些方案并不能一劳永逸。比如,就算改用4G传输短信,不法分子也可能在4G网络薄弱的地区“监听”,或用特殊手段把短信“逼”上不够安全的2G通道。
全国信息安全标准化技术..建议,网络..可以要求用户主动发送短信用以验证身份,使用语音通话传输验证码,将用户常用设备和账号绑定,采用指纹识别、人脸识别等生物特征识别技术,同时随机选择多种方式进行验证。
“用户传输敏感隐私信息时,应选择安全性相对高的通信软件,发现手机信号模式异常时应及时更换网络环境。网络..应增加多维度动态验证机制,对账号异常行为进行强校验,采用生物特征识别技术。运营商应提高4G网络覆盖率和稳定性,推动VoLTE等高清数据传输方式的普及。”周正建议。
“第三方支付机构要注意资金安全,发现异常及时停止服务,避免用户损失。同时,第三方支付也要和银行开展配合,形成立体化风控体系。”朱巍说。
《 人民日报》( 2018年08月16日14 版)
