退订短信致男子倾家荡产：验证码不安全_网易手机
退订短信致男子倾家荡产：验证码不安全
用微信扫码二维码
分享至好友和朋友圈
行业对比方面，从平均每个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。
（原标题：一条退订短信致男子倾家荡产:手机验证码并不安全）
当手机中的应用越来越多、绑定的服务也越来越多时，谁会想到一条短信引发的连锁反应，能让一个人在一夜间倾家荡产？近日，北京许先生的遭遇《中国移动，请你告诉我，为什么一条短信就能骗走我所有的财产？》在网上引起轩然大波，中国移动、中国银行、中国工商银行、招商银行、支付宝、百度钱包、网易邮箱纷纷牵扯其中。当《IT时报》记者通过许先生描述的被骗经过，试着重走幕后黑手攻击之路后才发现，这根链条风谲云诡、环环紧扣，国内地下数据交易市场的猖獗使用户信息严重泄露；银行批量发卡、办卡审核不严的同时，网银系统在线验证身份信息薄弱；第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时，一个精通各项业务环节的骗子粉墨登场，利用运营商网上自助换卡，把自己变成用户，开始一场肆无忌惮的掠夺。复盘一：远程可自助换卡 备卡或从内部流出4月8日，许先生在下班路上收到一条10086发来的短信，提示他开通了某杂志半年的手机报服务，在许先生回复退订无效后，又收到一条类似于官方号码发来的退订需输入“取消＋验证码”的短信和10086发来的USIM验证码短信。为了退订业务，许先生没多想就回复了6位验证码。之后，手机的SIM卡就一直处于无服务状态。许先生哪里会想到，这是骗子精心设下的局，自己的号码订了增值业务是真的，10086第一次发来的退订信息和验证码也是真的，但都是骗子进入自己网厅后提出的请求。那条输入“取消＋验证码”的短信是假的，这时骗子正在远程申请SIM卡业务的“备卡激活”，短信验证码就是确认换卡的关键步骤。在接下来的几个小时里，骗子用许先生的SIM卡接收短信验证码，相继攻破他的网易邮箱、支付宝及网银，并为用户绑定了百度钱包，盗取其资金。在这场连环骗术中，除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外，中国移动网上自助换卡业务流程设计也成为众矢之的。“在整个骗局中，骗子利用了正当的业务规则，外加受害人对相关业务不熟悉骗取验证码，行骗手段具有可复制性，但如果运营商对业务规则进行修改，加强认证，骗子无法获取验证码，则攻击就会失败。”360天眼实验室的工作人员告诉《IT时报》记者。如何才能异地自助换卡？中国移动北京公司的客服人员告诉《IT时报》记者，办理人需在网站上申请一张备卡，登记邮寄地址后送卡到家，但地址仅限于北京，外省市不可享受此项服务。但据记者了解，此次事件中，骗子的IP地址在海南海口，而且网上申请备卡除需填写申请姓名、手机号、收货地址外，依然需要短信验证码，既然此前许先生并未收到过申请备卡的短信验证码，那骗子的备卡是从哪来的呢？“骗子可能通过内部渠道拿到了备卡，也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露，在手机卡未严格执行实名制前，不用本人的身份证也可以领卡。记者在淘宝页面中输入“USIM卡”，出现了浙江移动、上海移动等地的4G USIM卡，这些备卡均可用于短信自助换卡，店主告诉《IT时报》记者：“虽是短信换卡的备卡，异地网上自助换卡也可以试试，但不保证成功。”复盘二：手机验证码可修改网银密码“这是社会工程学诈骗的一种，也是欺骗性攻击，利用补卡换卡，骗子在与许先生做心理上的较量，此外，骗子对许先生做过调查，已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息，只缺最关键的一步，就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。短信验证码有多重要？以登录支付宝为例，正常情况下，若有人在用户不常用设备上登录支付宝，用户会收到短信提醒。即使不知道登录密码，但已经给用户换卡成功的骗子，可以通过短信验证码、证件号码来重置密码。在此次事件中，因为已经拥有许先生的SIM卡，收到异常登录短信提醒的是骗子自己，另从许先生的手机支付宝依然与骗子保持同步登录状态来看，骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码，这也就说明，许先生的支付宝号及密码可能早已泄露，被骗子掌握。记者又尝试以找回登录密码的方式登录银行网银，虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理，但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合，并可以连续尝试输入10次。在这样的验证机制下，骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。值得注意的是，对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的163邮箱，用163邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书，安装过程依然需要输入随机验证码及短信验证码，而被骗子关联的百度钱包，有2小时内转账的超级转账功能且转账不收手续费。在百度钱包里添加银行卡，需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记，还可以通过短信验证码找回。短短几个小时里，对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱，到最后，许先生什么也没抢回来。复盘三：余额1000元的支付宝账号密码可卖80元“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息，还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向《IT时报》记者介绍，日常生活中，用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号，如果该酒店管理不严或系统存在漏洞，用户会在一瞬间泄露三个关键信息。此外，某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购，形成隐蔽而庞大的市场，这早已不是秘密。菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称，实际均是用于信息买卖的QQ群，为了增加隐蔽性，群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。在记者加进的一个QQ群中，信息被称为“料”，相较于售价几毛钱的身份证、手机信息，兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”，就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号，余额1000元以下的支付宝售价80元、元售价150元，额度越高，售价越高，大家均默契地先付款后拿“料”，拒绝做数据测试。当被记者追问为什么不自己操作时，一个卖主回答：“风险太高，一个IP操作多了会被查。”在这个讲究“十年打工一场梦，人无横财不富裕，马无夜草不肥”的群里，快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全，大家都等着靠做偏门生意成富翁。“换卡攻击没有什么技术难度，关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍，黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头，免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。在《2015中国网站安全报告》中，据补天平台统计显示，补天平台中的泄露信息漏洞，共有4个漏洞可以造成1亿条以上的个人信息泄露，可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。2015年共有1410个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站1282个，可能或已造成泄露的个人信息量高达55.3亿条。行业对比方面，从平均每个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。记者观察不能把安全只建立在手机验证码上“经济发达地区往往会成为通信网络诈骗的重灾区，但通讯诈骗不是单方面某一人的责任，现在市面上依然有未实名的手机卡，银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”某市公安局反通信网络诈骗中心的工作人员告诉《IT时报》记者。2015年，该市通信网络诈骗案件2万余起，涉案金额近4亿元，同比上升达21%。为打击电信诈骗，该市成立了反通信网络诈骗中心，三大运营商及六大商业银行均参与其中，每单位派驻3人在公安局值班。除了谁该为通讯诈骗负责外，建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗，总是会把矛头对准运营商。许先生的遭遇，中国移动确实存在管理及业务流程设计上的疏忽，但银行的实名制要比手机卡实名更具天然优势，也能控制得更好，在这种情况下，用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障，实际是在降低安全性。” 独立电信分析师付亮说。如今，因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障，可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时，大家似乎忽略了，操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。“各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证，确实是依赖于手机卡实名制，能大大降低非法注册，但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时，有黑客攻击系统，将错误指令改成正确指令，这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉《IT时报》记者。
但对于手机验证码成为与资金相关联应用的安全性问题，该高管颇为无奈地说：“目前，除了短信验证码，你认为还有什么其他可以大范围应用的验证方式吗？”据了解，截至4月13日，支付宝已先行赔付了许先生在其平台上流失的一万多元资金，百度钱包承诺赔付但仍需提交材料走流程，被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示：“该用户的网上银行转账功能在此之前已由本人开通，后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。中国移动的调查结果则显示，自助换卡业务办理流程正常，会积极配合相关部门，提供相关证据，进行后续查证。
本文来源：IT之家
责任编辑：佟扬_NT2439
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈专家解惑：一个验证码如何让你倾家荡产
日 08:53&&&转载：&& 作者:叶亮&& 编辑:叶亮 分享
　　作者表示，他莫名其妙地收到一条“订阅增值业务”的短信，根据提示回复了“取消+验证码”之后，自己的漫长的噩梦就此开启：　　号码失效，半天之内支付宝、银行卡上的资金被席卷一空。　　而损失巨大的作者到最后也没有完全明白自己的钱究竟是怎样被黑客盗取的。　　作为爱和正义的守护者，雷锋网义不容辞，特地采访到腾讯手机管家安全专家陆兆华大牛，详细解析一下这个诈骗过程中每一步的技术细节。现在请各位童鞋系好安全带，老司机要带你上路了。　　核弹引信――验证码　　作者的噩梦开始于拥挤的地铁车厢里。　　他的手机忽然收到一条短信：来源为“1065800”的号码发来了一条短信杂志。　　接着，来源为“10086”的号码发来了一条短信，提醒他“开通了中广财经半年包业务”。　　同时发来的还有一条“余额不足”的短信。　　正在他纳闷且愤怒的时候，来源为“”的号码发来了一条短信：　　您成功订阅了中国移动的(中广财经)40 元/半年，3 分钟退订免费。如需退订请编辑短信“取消+校验码”至本条短信退订。”署名“中国移动”。【骗子伪装 10086 向受害者发送钓鱼短信(只有最后一条验证码来自真正的 10086)】　　至此，所有的证据都指向“万恶的”中国移动。看客们一定认为中国移动又在欺负无辜的消费者，私自为客户订阅了垃圾增值服务。没错，受害者本人也是这么想的。此时，作者的内心大概是：“这 SB 又给我瞎定什么业务?还需要 40 元/半年，什么鬼?”不过，他马上注意到，短信上这个服务是可以被退订的。“中国移动还算有操守“他一边这样想，一边收到了“10086”发来的又一条短信：“尊敬的客户，您的 USIM 卡 6 位验证码为******”。一心只想快点退订这个破业务的作者压根就没注意什么叫“USIM 卡验证码”，直接回复了“取消+******(验证码)”。【受害者不知情，把更改 USIM 卡的验证码发给了骗子】　　从收到第一条短信，到作者回复验证码，地铁也许还没有行进一站，一切都看起来都是那么平常。但是，一个巨大的阴谋已经把他拖进了深渊。。。　　让我们看看这串眼花缭乱的短信背后究竟发生了什么：　　陆兆华告诉雷锋网：　　这是一个电信诈骗的经典手段。整个骗局的关键就在于这个“USIM 卡验证码”。　　诈骗分子需要预先准备一张空白的 4G USIM 卡。目前，在淘宝等电商平台上可以轻松买到一张空白的 4G USIM 卡。然后，诈骗分子向运营商申请自主更换 USIM 卡业务。这个业务的完成需要一个验证码。于是骗子借退订 SP 业务迷惑受害者回复验证码(实际上是更换新 USIM 卡的验证信息)到特定的短信端口(骗子接收)。受害者以为自己是在退订业务，实际上已经把最重要的验证信息给了骗子。　　骗子利用这个验证码，可以直接在异地复制一张 USIM 卡，而导致真正的 USIM 卡失效。这样一来，机主的手机号码就会被诈骗分子完全控制。【通过运营商自助换卡业务进行诈骗的流程】　　究竟谁是“你”?　　如果突然有一天，你看到了一个和你一模一样的人，他辩称自己就是你，甚至知道你的所有个人信息，认识你的所有朋友，那么，究竟“你”是你，还是“他”是你呢?　　在网络世界里，证明“你”是“你”的所有证据，只有你的手机号、验证码、邮箱、身份证号等有限的几个证据。如果坏人掌握了这些信息，他就会在赛博空间一点一点变成你，甚至比你还像你，让真正的你百口莫辩。　　我们来继续讲述这个悲伤的故事。　　果然，不久作者就发现自己的手机失去了信号。(此刻他的手机卡已经失效，而骗子手中的空白卡已经生效)他以为自己由于被恶意扣费，导致了停机，于是打算回到家再进行处理。但是，到家之后作者发现，竟然连中国移动的客服“10086”都无法拨通，甚至更换手机也没有信号。但是，此刻手机仍然能接收
信号。“噩耗”就是通过 Wi-Fi 传来的。　　支付宝突然弹窗，出现两条消费提醒：一笔为“5 元的游戏币充值”;一笔为小额的转账“从余额宝转账到绑定的招商银行”。自此，雪片般的转账信息倾泻而出。【支付宝的转账信息】　　大部分的操作都是将支付宝中的余额分批次转到银行卡。作者的第一反应是给支付宝客服打冻结自己的账户，但是，他绝望地发现自己的手机仍然没信号。此刻家里没有其他人，在短暂的空白之后，作者终于想到了要解绑银行卡。然而，资金被转出的速度太快。当作者解绑银行卡之后，账户中的资金已经所剩无几。不过，此时骗子已经没有办法把钱转到银行卡中了，于是竟然丧性病狂地用最后一百多块钱给一个手机号码充了值。(作者调查这个号码时，它已停机)　　当然，整件事情还没有结束，不过，我们先暂停一下，看看截至目前，骗子究竟是怎样做到的：　　陆兆华给出了他的分析：　　此时最为关键的环节是骗子控制了失主的支付宝。理论上，盗取支付宝权限有很多方法。目前大部分邮箱都是依靠手机短信验证码来进行二次身份验证的，诈骗分子可以通过手机号码找回密码或者是利用短信验证码进入邮箱，从而篡改邮箱密码，再利用手机号码和邮箱来找回支付宝密码，安装支付证书。从而直接在异地登录支付宝进行操作。　　这个时候，理论上资金还没有离开作者的掌控，只是从支付宝到了银行卡。于是他紧急登陆自己的网银，却惊奇地发现网银的密码已经被篡改，从而无法登陆。此刻他竟然无法掌握自己的账户信息，任凭坏人摆布。这时他挽回损失的唯一方法就是挂失银行卡。由于手机没有信号，他紧急联系女友代为进行银行挂失。由于支付宝连接了好几张银行卡，用挂失还要听完银行自助语音的无数废话，完成挂失用去了比预想中更长的时间。当所有的银行卡都被挂失之后，作者已经完成了他所能做的一切。　　第二天，作者去银行打印流水的时候，才发现自己的所有银行卡上的所有资金都已经被转走，一分不剩。直到这一天晚上，他才发现原来自己的 163 邮箱密码也被更改。【骗子利用受害者的邮箱在异地安装了支付宝的数字证书】　　作者怎么也想不明白，丧心病狂的骗子为什么能够修改自己的网银密码呢?　　陆兆华判断：　　实际上骗子早已通过手机验证修改了失主的邮箱密码。此时，骗子手里的筹码有：失主的电话、邮箱、姓名、银行卡账号。目前很多网银的密码修改已经不需要U盾，所以这些筹码已经足够修改他的网银密码。　　对于某些银行来说，也许还需要用户提供身份证号等信息。但是，这也依然拦不住诈骗分子。因为在网络上，有很多平台在兜售巨大数量的个人信息。大部分人的身份证号、生日信息等基本资料在地下市场都可以找到，可以说得来全不费工夫。　　完全掌握了个人隐私信息并掌握受害者的手机 USIM 卡，就可以完全替代受害者身份进行资金操作转账等操作。　　冰冷的结局　　在银行的转账详单上，作者发现了犯罪分子的资金转移轨迹，他们把作者的钱从不同的银行卡归集到一张卡上，然后再统一通过该银行网银划走。(骗子这样做的原因很可能是因为某银行管制稍松，可以在短时间内转出大额资金。)另外，作者还在转账详单上发现了数笔从百度钱包转出的资金。也就是说，在诈骗分子用支付宝归集资金的同时，也在用百度钱包做同样的事情。而可怕的是，作者自己都已经卸载了百度钱包很久，甚至忘记了登陆密码。【百度钱包被骗子用来转移资金】　　作者通过调查，已经明白了答案：通过手机号码，可以轻松找回百度钱包的密码，而通过“银行卡信息，姓名，身份证号，手机号，验证码”就可以随意关联新的银行卡到百度钱包。　　这件事的冰冷之处不仅在于资金损失殆尽这个结局，还在于当作者报案之后，警察反应迟缓，并且敷衍了事，最终也没有丝毫作为。更在于这其中涉及到的：支付宝、百度钱包、运营商、银行这些巨头们的安全机制都没能挡住一个骗子。　　还原一下整个骗局发展的逻辑，可以清晰地看到：骗子通过受害者的手机号，一步步扩大攻击面，掌握了越来越多的个人信息。在网络空间中，一个冰冷的替身通过手机号、验证码、邮箱、身份证号这些“画皮”一步步变成了一个活生生的人。　　如果一味埋怨支付宝和银行的验证机制潦草，似乎并不公平。因为综合安全性和易用性，支付宝和银行并不会在你每次修改密码的时候，都要提供身份证原件和本人到场。　　陆兆华说：　　此类诈骗，最主要的原因是由于受害者不慎泄露验证码等信息而造成的 USIM 卡被恶意复制。但显然运营商和银行都有义务在一些关键步骤上加强对用户的提醒。　　而由于几乎所有的诈骗步骤都用到了被恶意复制的 USIM 卡。所以如果发现自己的 USIM 卡被诈骗分子控制，一定要在最短的时间内拿个人身份证到营业厅申请取消被恶意复制的 USIM 卡服务，避免黑客恶意继续利用。　　由于诈骗分子可以任意伪造自己的号码，所以对于可疑的短信，一定不要回复，更不要向任何人透露自己收到的验证码。　　对于诈骗过程的条分缕析并不能挽回一分钱的损失，却能让其他人面对同样的骗局时逃过一劫。　　我们身处楼宇森林，感觉自己安全无虞;　　然而站在 0 和 1 组成的赛博空间放眼，这个世界仍处蛮荒。下图为网友亲述的诈骗实录
看过本文的人还看了
8819人浏览 4353人浏览 3619人浏览 3227人浏览内容字号：
段落设置：
字体设置：
精准搜索请尝试：
扫盲：为什么有时手机收不到验证短信
来源：头条作者：手机部落责编：弥尘
一些日常应用经常使用短信校验服务，比如支付宝付款，微信支付购买电影票，系统一般会要求我们输入短信校验码以完成付款过程。通过短信校验可以大大提供交易安全系数，这在大额交易时是非常必要的。有部分网友反应自己手机无法收到短信校验码，小编查询支付宝和微信支付相关资料后，分析出以下几种可能的原因，在这里分享给大家，希望能对大家有帮助。原因一：手机网络状况不好、信号差，手机无法接收到信号观察手机信号是否满格，如果手机信号较弱，可以尝试走出室外；或关机30分钟；或取出手机SIM卡后换其他的手机再试试。原因二：你手机上安装有一些拦截短信的软件想想自己曾经是否设置过联系人黑名单，或者是在哪个软件中设置过；找到并打开屏蔽短信软件查看屏蔽短信，并将支付宝号码95188设置未白名单原因三：可能你曾经向运营商申请过屏蔽短信号码，或添加过黑名单这种情况比较少，如果是这种情况，你可以打对应运营商的客服电话核实此事原因四：支付宝当前手机号码同快捷支付预留号码不一致如果你正在进行快捷支付操作，无法收到短信校验码，一方面可能是系统有延迟耐心等待下；如果一直无法收到也可能是你当初银行卡开通时在柜台预留电话号码并非当前你正使用的号码。原因五：手机欠费或停机核实您的手机是否是正常能够接受短信状态，停机和欠费状态下是不能够收到短信。一般来说手机无法无法收取短信校验码是极小概率事件，大部分这种情况都是外部原因：网络延迟，网络状况差，或者手机设置问题：误将系统号码设置为黑名单，大家只要耐心逐步排除即可。首先先核对自己在验证码对应的服务提所提供的号码是否是自己当前所使用的号码，如果是的话在排除网络问题和手机问题。供商如果最后仍然还是无法收到，建议将SIM拔出换一部手机试试。
大家都在买
软媒旗下软件：
IT之家，软媒旗下科技门户网站 - 爱科技，爱这里。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号