“这下一无所有了!”8月1日凌晨,豆瓣网友“独钓寒江雪”在豆瓣网站上发帖写下了这个标题。“独钓寒江雪”是一位女士,据她描述,7月30日凌晨5点,她的手机一直在震动,收到了来自支付宝、京东、银行等100多条验证码短信,支付宝余额、余额宝和关联银行卡的钱都被转走了,京东金融APP也被开通了金条、白条功能,借走一万多元。
睡了一夜,手机里的钱就莫名其妙地被转走了,这究竟是为什么?360无线电安全研究院高级研究员黄琳博士表示,问题就出在短信验证码上,短信验证码并不是一个安全的验证方式,广大互联网用户需要提高警惕,可以采取一些办法来防范这样的偷盗。
短信验证码成罪魁祸首
黑客登录手机APP进行操作
网友“独钓寒江雪”遇到的“放在手机APP里的钱一夜之间都被转走了”究竟是怎么回事呢?
记者采访了网络专家解到,原来是黑客用攻击的方式获取到了用户的手机号码,再在任意手机上用“短信验证码登录”的方式登录第三方支付APP,通过验证短信验证码的方式修改第三方支付APP的支付密码。而在第三方支付APP里,黑客可以查看到手机号码相对应的真实姓名。最后,黑客可通过黑色产业链获取用户的身份证号、银行卡号,就能进行转账、借款等各种操作了。
如何获取用户的手机号和短信验证码是用户最需要关注的。360无线电安全研究院高级研究员黄琳博士表示,虽然目前不能确定黑客是用何种方法获取“独钓寒江雪”的手机号和验证码的,但“独钓寒江雪”提到,在通话记录中当天凌晨有一个外呼南京的电话,这个电话就有可能是用于获取手机号码的。
腾讯旗下打击网络黑色产业链的“守护者计划”平台就发文解释过这个问题:“手机运营商的基站可以让手机获得信号。而伪基站是手机和运营商基站之间的‘第三者’,黑客通过伪基站获取一定范围下的潜在的手机号码,再通过基于2G移动网络下的GSM通信协议,搭配专用手机,组装成短信嗅探设备,利用短信嗅探设备来获取短信。”据了解,由于“独钓寒江雪”手机中的短信和电话是走2G网络的,所以手机号码和短信能够被黑客的伪基站获取。
账户盗取常常发生在半夜
专家:开通VoLTE业务 提高防御等级
短信验证码真的这么不安全吗?记者也进行了一番尝试,在京东金融APP里,记者用“忘记密码”获取手机验证码的方式登录了APP,又尝试在京东金条里借钱,只需输入短信验证码和支付密码,钱就能到账。而为什么这样的事件会发生在晚上?因为在晚上,人们不太会注意到手机收到了那么多异常的短信。
为什么黑客能如此轻易地获取用户的短信验证码?黄琳表示,普通人的手机就算开通了4G网络,但实际上4G网络主要支持上网功能,电话、短信等功能主要是通过2G/3G网络进行传输,而黑客就是通过不安全的2G网络来盗取相关信息的。
那么人们可以如何防范这样的问题发生?黄琳建议,如果你的手机是4G网络,建议用户开通VoLTE业务,提升手机防御等级。据了解,VoLTE是基于IMS的语音业务,它是一种IP数据传输技术,无需2G/3G网,全部业务承载于4G网络。例如你的手机运营商是中国移动,发送KTVOLTE到10086,即可开通。“用户还可以将自己的手机换成支持防伪基站功能的手机,这样的手机遇到2G伪基站,不容易被骗进去。”黄琳表示。同时,“守护者计划”平台也提醒用户:睡觉前可以关机,手机没有信号,黑客就无法获取你的手机号。
记者采访也发现,除了被黑客盗刷之外,也有网友不小心将手机APP密码透露给陌生人,导致手机里的钱被转走的情况。为此也提醒各位读者,平时做好手机号、身份证号、银行卡号、支付平台账号等个人信息的保密工作。
(每日商报 见习记者 邓一鸣)