骗子是如何攻破全部账户的?
攻击者在“劫走”当事人的手机卡后,第三方支付平台、甚至银行的安全验证都被接连突破。这一切是如何做到的?仅靠掌握短信验证码就可以实现吗?
账户接连遭劫 个人信息泄露在先
据工商银行客服介绍,只有取钱密码、银行卡号和手机完全掌握才能在网银上进行操作。这意味着,尽管短信验证码是每一步攻击的关键,但同时还分别需要身份证号和银行卡号。因而可以断定,小许的手机卡被“劫持”之前,他更多的“成套”个人信息已经被攻击者掌握了。
据信息安全专家张耀疆介绍,个人信息已形成地下数据库。这个库里面会有大量的非常完整的个人信息的链条。比如姓名、家庭住址、手机号、银行卡号、银行的密码,其实在网络黑市里都有,而且是别人整理好的,不是零散的。
短信验证码“不能承受之重”
记者对本次事件所涉及的第三方支付平台和手机银行的关键业务进行操作汇总后发现:所有的在线支付都可以用手机号和静态密码登录,百度钱包直接可以用短信验证码登录;“更改登录密码”和“转账支付”也无一例外地需要依靠短信验证码完成;而对于第三方支付最重要的“支付密码”,支付宝也简化到仅凭短信验证码就可以更改。好比所有的鸡蛋都放在一个篮子里,导致了种种问题。
可见,之所以小许的所有账户被“全线攻破”,是因为除了个人信息这把“钥匙”早已泄露外,第二把钥匙“手机验证码”也因手机卡“被劫”落在了攻击者手中。
如何防范“验证码攻击”?
面对此类针对短信验证码的“精准诈骗”和“组合攻击”,该如何保护自身安全?信息安全专家提示,如果只靠一个简单的静态密码,无法保证安全,下面这四招一定要记住:
招数一:静态密码设置一定要复杂
静态密码首先要足够复杂,并妥善保管防止泄露。其次,攻击者经常利用各种手段对短信进行伪装,并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别,冷静应对。
招数二:遭遇“干扰信息”仔细甄别莫慌张
攻击者经常利用各种手段对短信进行伪装,并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份的手机短信和来电进行认真甄别,冷静应对。
招数三:手机离奇“瘫痪” 紧急“挂失”当先
如果手机通讯出现瘫痪,一定要马上查清故障原因。如非手机本身或信号故障,要立刻挂失手机卡,并及时冻结第三方支付和银行账户,避免攻击者趁用户处于"信息孤岛"时,冒名顶替机主身份窃取账户。
招数四:最重要的是:短信验证码不要告诉任何人!
电信运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。
从电信运营商、到第三方支付平台、再到正在进军互联网的银行系统,构成了如今我们每个人信息和财产安全的链条。小许的遭遇给这一连串以“安全”为“生命线”的行业敲响了警钟:所谓“好的用户体验”,就像一架天平,一头是“便捷”,而另一头是任何时候都不能忽略的“安全”,这架天平的平衡一旦打破,所有的一切都会“归零”。
微博加关注
微信扫一扫
文汇报官方微信
汇拍微信
汇玩微信
汇吃微信
汇演微信
文汇讲堂
上海跑步者
下载APP
