移动互联网时代,每一次应用诞生、技术升级和用户体验细节的升级,都有可能将整个行业的焦点引领到一个全新的战场中,不断演绎着移动互联网的新未来。
近日,有网友在豆瓣上发帖说,自己一觉睡醒之后,发现手机接收了100多条验证码。支付宝、余额宝、余额和关联银行卡的钱都被转走了,京东开了金条、白条功能,借走一万多。
经调查,这是不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容,进而窃取用户信息、盗刷用户账户进行的网络诈骗。
这种犯罪手法是近两年来出现的新型手段,多地警方已经有所发现。
一个好消息是,此类技术在具体实践中受到硬件和原理的限制,暂时(只是暂时)不能覆盖过多的手机号,所以受害人较少。而一般来说,只有短信验证码也是很难完成整个过程的,往往其他个人信息的泄露也很关键。
一个坏消息是,此技术目前基本上没有办法防范(注意,只是GSM劫持导致验证短信泄露无法防范,并不是说该类诈骗就防不了)。由于手机会接收到一些信息,一些媒体给出的策略是晚上关机或者开启飞行模式,而实际上这样做的意义并不大,因为有的手机可能被劫持后本身已经无法接收到短信。较为明显的被攻击特征除了接受短信外还有手机信号可能在4g和2g之间切换。而一旦你晚上关机或者开启飞行模式,也可能导致其他诈骗风险的上升或者重要事件时亲友无法联系你。所以比较稳妥的办法是关闭手机的移动信号,只使用家中或者办公室的WIFI,这样既能保持和大家的网络联系,也能略微提高被嗅探的难度。
必须要说明的是,此类诈骗使用的方法是钻了手机信号协议的空子,对于普通用户来说基本上是无法防范的,也给警方的侦破工作带来了很大的挑战,因为涉及到的网站APP银行极其众多。
在此,我们呼吁各大运营商和通信管理部门尽快采取有效技术手段,尽快解决此问题。一些安全机制不完善的银行和金融类app可以考虑采用其他双向验证辅助手段提高安全效率。
重要补充:
大家也不必过于担忧,GSM协议的问题早已经被关注到,目前这方面的系统换代升级也在进行中。而验证码短信主要还是由于本身处于明文传递才导致泄露高风险。更为重要的是,目前绝大多数支付类,银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制,如果单单泄露验证码,问题是不大的。绝大多数中招的用户是因为同时泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。GSM劫持防不了,其他信息泄露还是可防的。
不过,从去年开始,运营商已经开始布局新型验证方式来解决用户在验证问题上碰到的困扰,任信了·云通讯开放平台为企业用户提供了"点验"产品,该产品可让用户告别验证码,一键验证,更快更安全。
简言之,“点验”通过SDK数据加密认证手机号免输验证码,优化移动端身份验证方式。
“点验”将SIM卡中的IMSI等数据与运营商数据进行匹配识别,这些数据是基本、公开的数据,APP在调用点验接口时并不会获取用户其他信息,全过程无人工参与风险、无短信拦截风险、无密码盗取风险。同时还可以优化用户体验,降低跳出率,降低企业接入成本。
“点验”是任信了平台携手三大运营商推出的新型验证方式,目前正在大力推广中。相信越来越多的企业会接入“点验”产品,共同推动移动端身份验证革新,让用户减少APP使用困扰。