一夜之间账户存款不翼而飞,短信验证真的安全吗?_经济_宏观频道首页_财经网 - CAIJING.COM.CN
当前位置:宏观频道首页 > 经济 >
个股查询:
 

一夜之间账户存款不翼而飞,短信验证真的安全吗?

本文来源于苏宁财富资讯 2018-09-12 11:05:46
字号:

来源:苏宁财富资讯

作者:苏宁金融研究院见习研究员黄馨

前几日,豆瓣上一篇名为《这下一无所有了》的文章,引起了网友的热议。

文中提及的新型盗刷方式刷新了人们对信息安全的理解:不需要本人的任何操作,不法分子也能盗取我们的账户资产。

这种不需受害人经手的盗刷银行卡行为是如何实现的?有哪些措施可以避开此类攻击?接下来给大家一一进行分析。

根据豆瓣网友的描述,从当日凌晨两点多开始,她的手机陆续收到多个支付平台的登录验证码短信。随后便是修改密码、设置新密码的验证码短信,接着就是账户的钱被转出,开通网上贷款。

这整个过程发生在受害人熟睡时。那么,不法分子是如何做到悄无声息地拦截到验证码短信,然后盗刷账户资产的呢?

答案就是GSM短信嗅探(GSM Sniffing)——不法分子利用2G移动通信的缺陷,用伪基站搭配破解过的手机,组装成为短信嗅探设备,可以捕获一定范围内的手机号码。随后在各个支付平台用“短信验证码”途径登录,利用短信嗅探设备获取登录验证码,从而成功登录APP。

我们知道,如果想要进行大额交易或是申请网络贷款,往往需要支付三要素:手机号、身份证号、银行账户。不法分子登录APP后可以获得手机号和姓名等信息,而身份证号和银行账户往往要通过“撞库”来获得。

所谓撞库,是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。

这就相当于黑客手里拿到了一把万能钥匙,他们用这把万能钥匙在各个网站搜集用户个人资料,从而拼凑出包括用户支付三大要素在内的一系列信息。

在了解不法分子的盗刷套路之后,我们又有哪些措施规避此类风险呢?在此共享5个小技巧:

1、目前最有效的办法就是单独办一张手机卡用于接收验证码短信。这张卡平时需要处于关机或禁用状态,只在接收短信时打开。但是这种方法相对比较麻烦,成本也较高。

2、开通VoLTE功能,使短信通过3G/4G网络传输,避免在2G网络下被GSM嗅探设备拦截。移动用户可以发送“KTVoLTE”到10086;联通用户可以发送“VBNCDGFBDE”到10010;电信由于在2G网络下使用的是CDMA,所以电信用户不会被GSM嗅探攻击。

3、睡觉时将手机关机或调至飞行模式。一般利用嗅探设备盗刷账户需要较长的时间,容易被用户察觉,所以不法分子通常选择在深夜进行盗刷,而用户将手机关机后信号是无法被劫持的,因此手机短信也不会泄露。

4、在不同平台尽量不要使用相同的密码。这样可以降低被撞库成功的概率,从而一定程度上保护个人信息安全。

5、如果在非本人操作的情况下收到金融机构发来的验证码短信,要立即挂失账户、冻结银行卡。如果资产已经被盗,则要立刻报警。

最后,值得一说的是,随着网上支付的普及,各类网络诈骗手法层出不穷。现在各大金融机构已经加强了风控建设­——除了传统三大要素验证外,加入了其他多因子验证。

【作者:苏宁金融研究院】 (编辑:文静)
分享到:

热门文章

编辑推荐

要闻

更多>>

编辑推荐

  • 宏观
  • 金融
  • 产经
  • 地产
  • 政经
  • 评论
  • 生活

排行榜

  • 热文
  • 本周热文
  • 热图
  • 热评
  • 博客