科技频道

当前位置:科技 > 手机 > >正文

360发布手机安全橙色预警 "短信保管箱"降低验证安全性

2015-07-16 11:00:00 来源:当代商报 编辑:

  日前,微博网友“公交姬”爆料自己因“短信保管箱”业务而遭遇的一场离奇的银行卡被盗经历引发热议。据悉,近几年这类案件已经发生过多次,多名受害者都有使用弱密码,及在不同网站上使用相同账号密码进行注册的“不良”习惯。7月14日,360手机安全中心发布2015年手机安全橙色预警,针对“短信保管箱”业务以及手机用户提出安全建议。

  离奇的银行卡盗刷案

  微博网友“公交姬”表示,今年2月,他发现自己的银行卡,总是被人莫名其妙的输错密码冻结,即便开了新卡也不管用,可问题是,他的卡一直都在自己手上,也从来没有泄露过卡的信息。

  图1:微博网友“公交姬”爆料自己被盗刷银行卡

  7月1日,当他正在家中玩电脑时,意外的收到了一条“短信保管箱”业务的订购短信。这位反应迅速的网友立即联系客服,取消了这项业务,但之后他的手机又再次收到了“短信保管箱”业务的订购短信。无奈之下,他修改了自己的10086账号密码。紧接着,他就收到了数十条来自各个消费网站发来的短信,里面是各种“短信验证码”,同时网友“公交姬”发现银行卡被不法分子盗刷,损失超过1万元。

  图二:此类案件受害者被盗刷流程

  短信保管箱为何成为“帮凶”

  “短信保管箱”究竟是什么?据调查,“短信保管箱”是一种源自功能机时代的短信托管服务。功能是可以把手机上收到的短信自动同步到运营商的服务器上备份,手机用户也可以通过运营商网站查看这些短信。

  未开通“短信保管箱”业务时,手机用户在网站注册或消费时,网站会通过通信网将验证码发送到用户手机中,是一种将密码验证与短信验证码结合起来的“双因子认证”方法。而开通“短信保管箱”业务后,网站发来的验证码短信,一方面经过通信网发送到用户手机,另一方面则同时备份到Web端,通过攻击Web端即可窃取验证码,无需直接接触用户手机,这样就降低了“双因子验证”的安全性。

  图三:短信保管箱降低“双因子验证”安全性

  智能手机时代,网购、转账等对短信验证码的依赖程度更高,不法分子也意识到验证码在移动支付方面的重要作用,通过多种方式窃取手机用户短信验证码并进行盗刷银行卡等犯罪行为。目前,不法分子主要通过三种方式窃取短信验证码:通过在手机植入木马窃取验证码、诱骗手机用户登陆钓鱼网站填写验证码是最主要的两种作恶手段,而通过恶意利用短信托管服务窃取验证码则成为今年威胁最大的验证码攻击手段。

  受害者为何会收到大量验证码短信?

  为了深入研究这种新型的高危网络犯罪,360手机卫士的安全专家与网友“公交姬”,以及其他一些受害者取得了联系,并进行了深入的交流。发现这几位受害者在银行卡被盗刷前,都会突然收到大量各种验证短信,主要是提示自己在各种网站上注册账号的验证短信。

  360手机安全专家介绍,这是不法分子利用“短信炸弹”软件对受害者进行轰炸,把对用户来说最重要的银行发来的支付验证短信淹没在其它验证短信当中,从而对受害者造成迷惑,使其不能在第一时间发现自己的银行卡正在被盗刷。这就为犯罪分子反复盗刷受害者银行卡提供了更加充足的作案时间。

  “短信炸弹”类软件为什么要通过注册网站的方式来生成垃圾短信?一般来说,发送垃圾短信有很多种方法,但使用传统方法发送垃圾短信会产生费用,尤其使用大量短信进行恶意轰炸时,更会造成高额成本。因此,为了尽可能降低攻击成本,甚至是实现进行零成本攻击,攻击者就选择利用了互联网注册验证机制来触发垃圾短信,通过大量普通网站发送大量验证码短信以达到“轰炸”受害者手机的目的。

  360手机安全中心发布六大安全建议:

  通过“短信保管箱”进行零接触手机用户进行窃取验证码短信的作恶手段,目前尚无妥善的安全防护方法。对此,360手机安全中心对电信运营商提供的短信保管箱业务提出一些切实可行的安全建议:

  1.加强业务流程审核,确保所有的手机增值服务都必须通过用户手机进行二次确认。

  2.在向网站同步用户短信信息时,应有意设定一定的延迟,从而使攻击者即便从短信保管箱读取了用户的验证码内容,这些验证码实际上也已经过期。

  3.在向网站同步用户短信信息时,应自动过滤或加密存储验证码等敏感信息,以防止相关信息被不法分子利用。

  手机用户可过一些简单有效的方法来尽可能的避免或减少此类犯罪给自己造成的损失:

  1.定期修改自己的网银密码,并设置高强度的复杂密码。尽可能不要在所有的网站上都使用相同的账号和密码,尤其是社交账号、网银账号和常用的电子邮箱,都一定要单独设置密码。

  2.一旦收到类似“订购短信保险箱业务”的短信,立即联系相关运营商进行处置,及时关闭相关业务。如果在收到“短信保管箱”订购短信后,又很快的收到银行的转账或扣费通知短信,应立即联系银行客服挂失相关银行卡,以避免损失进一步扩大。

  3.如果突然收到大量莫名其妙的垃圾短信或验证码短信,一定要仔细查看其中是否有银行或第三方支付工具发来的验证短信或转账、消费告知短信,若有,则应即使联系银行挂失银行卡或联系第三方支付平台冻结自己的支付账号。并使用360手机卫士查杀木马、拦截钓鱼网站,通过支付保镖隔离保护交易验证码短信。

新闻排行

推荐新闻

图说湖湘

风云三号D星凌晨成功发射 风云三号d星概念受益股有哪些?
此消彼长:比特币价格开始暴跌 比特币现金两天暴涨130%
蓝筹股带动大盘继续上攻 沪指重返3400点
中国一线城市排名2017 一线城市用人需求负增长?附中国一线城市名单一览表