新聞源 財富源

2024年12月20日 星期五

財經 > 滾動新聞 > 正文

字號:  

“短信保管箱”,為何管不牢

  • 發佈時間:2015-07-24 10:32:30  來源:錢江晚報  作者:佚名  責任編輯:羅伯特

  一個人的網路維權引來數萬人的圍觀。北京網友“公交姬”在微網志上報料自己因“短信保管箱”業務而遭遇的一場離奇的銀行卡被盜經歷,引起了很多人的關注。而後在當地媒體的跟進報道中,發現遭遇同類狀況的不止一個人,一度讓此事件進入百度實時熱點前五名。

  短信保管箱被攻擊

  “公交姬”在其微網志中自述,今年2月,他發現自己的工行卡,總是被人莫名其妙地輸錯密碼凍結,即便開了新卡也不管用。可問題是,他的卡一直都在自己手上,也從來沒有洩露過卡的資訊。7月初,他收到了一條“短信保管箱”業務的訂購短信,而他本人並未開通過此項業務。這位反應迅速的網友立即聯繫客服,取消了這項業務,但不久之後,該服務竟又反覆“被開通”。無奈之下,他修改了自己的10086賬號密碼。

  但緊接著,他就收到了數十條來自各個消費網站發來的提示短信和銀行發送的資金劃轉的提示,裏面是各種“短信驗證碼”——他的銀行卡已被不法分子盜刷,損失超過1萬元。

  “短信保管箱”究竟是什麼?據了解,“短信保管箱”是一種源自功能機時代的短信託管服務。功能是可以把手機上收到的短信自動同步到運營商的伺服器上備份,手機用戶也可以通過運營商網站查看這些短信。

  “未開通‘短信保管箱’業務時,手機用戶在網站註冊或消費時,網站會通過通信網將驗證碼發送到用戶手機中,是一種將密碼驗證與短信驗證碼結合起來的‘雙因子認證’方法。”360手機安全中心的一位安全專家告訴錢江晚報記者,在開通“短信保管箱”業務後,網站發來的驗證碼短信,一方面經過通信網發送到用戶手機,另一方面則同時備份到Web端。不法分子通過攻擊Web端即可竊取驗證碼,無需直接接觸用戶手機,這樣就降低了“雙因子驗證”的安全性。

  工行緊急澄清:錯不在我

  據報道,在“公交姬”微網志報料之後才發現這並非個案。北京地區多位儲戶遇到類似情況,有類似經歷的受騙者在社交工具上成立交流群,規模近20人。一時之間,工行“工銀e支付”有重大漏洞的説法傳開。

  隨後,工商銀行在其微信公眾號上緊急澄清,“經分析與核查,工銀e支付業務運營正常,也未發生洩露客戶資訊的情況”,“工銀e支付曝漏洞係誤解”。稱事發原因是,“不法分子使用非法手段獲取了客戶的相關資訊和密碼,再利用客戶資訊開通了客戶手機的‘短信保管箱’業務,從而獲取交易驗證短信並盜取資金。目前通訊運營商已採取了改進措施。”同時表示,將積極配合公安機關偵破案件,“全力幫助客戶挽回損失”。

  那麼造成盜刷成功的漏洞到底在哪?一般來説銀行的驗證環節都做得比較謹慎完備,不太可能出現缺少驗證就放行的情況,而在此類事件中恰恰出現了一個“非一般情況”。

  “基於短信驗證碼的快捷支付功能,是通過短信接收動態驗證碼完成付款的,也就是説,如果銀行卡預留的手機號是該地(北京)號碼,同時開通這兩項業務(即‘短信保管箱’和銀行卡的動態驗證碼),就存在被轉賬的可能。”騰訊雷霆行動相關負責人解釋説,短信保管箱這種雲端備份服務,客觀上來説就提供了另外一種閱讀短信的方式,大大降低了驗證碼的安全性和獨立性。

  “我們對本次安全事件進行了分析,初步判斷:駭客是通過‘社會工程學’獲取了受害者的手機服務密碼等資訊後,登錄運營商的系統為其開通‘短信保管箱’業務。這樣就能通過網站查看受害人的短信(包括工行e支付驗證碼),達到非法轉賬的目的。” 騰訊安全應急響應中心相關負責人表示。

  浙江並未推“短信保管箱”業務

  據了解,已發現的此類盜刷均在北京地區,於是板子打到了提供“短信保管箱”業務的北京移動身上。對此北京移動回應稱,正在仔細對比客戶被盜刷時段的數據記錄,如果查實確實是移動的業務問題,“我們願意承擔賠償責任”。

  北京移動表示,已逐一對十余起類似客戶投訴進行了仔細核查,通過後臺網路日誌發現,此類不知情定制均係不法分子使用客戶的手機號和客服網站密碼,通過手機登錄客服網站開通的。目前,北京移動已暫停了短信保管箱業務的短信查詢等功能,並正在對此業務優化,優化內容包括“不保存銀行下發的短信”、“只能查詢24小時前企業短信”、“需要動態密碼驗證”等,所有業務優化會在8月底前完成。

  錢江晚報記者致電浙江移動求證此事時,其相關負責人表示,“浙江移動並未推出此項業務”。

  雖然“短信保管箱”業務僅在北京移動推出,據了解在部分地區該項業務其實是在“試商用階段”,也就是説雖未正式推出,但如果用戶主動通過發送短信的方式自助開通也是可以的。

  四點安全建議請一定記牢

  360手機衛士的安全專家告訴記者,他們發現幾位受害者在銀行卡被盜刷前,都會突然收到大量各種驗證短信,主要是提示自己在各種網站上註冊賬號的驗證短信。“這是不法分子利用‘短信炸彈’對受害者進行轟炸,把對用戶來説最重要的銀行發來的支付驗證短信淹沒在其他驗證短信當中,從而使其不能在第一時間發現自己的銀行卡正在被盜刷。”

  目前,不法分子主要通過三種方式竊取短信驗證碼。如果你的手機也出現在短時間內被短信“轟炸”的情況,一定要重視。(見上圖)

  用戶有什麼辦法自我保護呢?幾位安全專家一致答覆:對此類作案手段目前尚無妥善的安全防護方法。不過,手機用戶可用一些簡單有效的方法盡可能避免或減少損失:

  1、不要用手機下載不明軟體,不要查看不明短信,不要點開不明網站,避免中木馬!

  2、不要在所有網站上都是用相同的賬號密碼,重要的網站需要設置高強度的複雜密碼並定期修改,尤其是社交賬號、網銀賬號和常用的電子郵箱,都一定要單獨設置密碼;

  3、儘量不要在多個電商網站或者支付平臺都開通快捷支付,減少受害的可能;

  4、保管好銀行卡號、身份證號和手機號等個人資訊,不要給來歷不明的個人和機構提供這些資訊;

  還有,儘量避免註冊和使用任何 “短信保存”類型的業務。一旦發現自己手機被莫名其妙註冊了這種服務,請立刻凍結銀行卡並報警,全面檢查電腦和手機是否中毒。如果確定被盜,請更換銀行卡和手機卡吧!

熱圖一覽

  • 股票名稱 最新價 漲跌幅