“短信保管箱”,为何管不牢
- 发布时间:2015-07-24 10:32:30 来源:钱江晚报 责任编辑:罗伯特
一个人的网络维权引来数万人的围观。北京网友“公交姬”在微博上报料自己因“短信保管箱”业务而遭遇的一场离奇的银行卡被盗经历,引起了很多人的关注。而后在当地媒体的跟进报道中,发现遭遇同类状况的不止一个人,一度让此事件进入百度实时热点前五名。
短信保管箱被攻击
“公交姬”在其微博中自述,今年2月,他发现自己的工行卡,总是被人莫名其妙地输错密码冻结,即便开了新卡也不管用。可问题是,他的卡一直都在自己手上,也从来没有泄露过卡的信息。7月初,他收到了一条“短信保管箱”业务的订购短信,而他本人并未开通过此项业务。这位反应迅速的网友立即联系客服,取消了这项业务,但不久之后,该服务竟又反复“被开通”。无奈之下,他修改了自己的10086账号密码。
但紧接着,他就收到了数十条来自各个消费网站发来的提示短信和银行发送的资金划转的提示,里面是各种“短信验证码”——他的银行卡已被不法分子盗刷,损失超过1万元。
“短信保管箱”究竟是什么?据了解,“短信保管箱”是一种源自功能机时代的短信托管服务。功能是可以把手机上收到的短信自动同步到运营商的服务器上备份,手机用户也可以通过运营商网站查看这些短信。
“未开通‘短信保管箱’业务时,手机用户在网站注册或消费时,网站会通过通信网将验证码发送到用户手机中,是一种将密码验证与短信验证码结合起来的‘双因子认证’方法。”360手机安全中心的一位安全专家告诉钱江晚报记者,在开通“短信保管箱”业务后,网站发来的验证码短信,一方面经过通信网发送到用户手机,另一方面则同时备份到Web端。不法分子通过攻击Web端即可窃取验证码,无需直接接触用户手机,这样就降低了“双因子验证”的安全性。
工行紧急澄清:错不在我
据报道,在“公交姬”微博报料之后才发现这并非个案。北京地区多位储户遇到类似情况,有类似经历的受骗者在社交工具上成立交流群,规模近20人。一时之间,工行“工银e支付”有重大漏洞的说法传开。
随后,工商银行在其微信公众号上紧急澄清,“经分析与核查,工银e支付业务运营正常,也未发生泄露客户信息的情况”,“工银e支付曝漏洞系误解”。称事发原因是,“不法分子使用非法手段获取了客户的相关信息和密码,再利用客户信息开通了客户手机的‘短信保管箱’业务,从而获取交易验证短信并盗取资金。目前通讯运营商已采取了改进措施。”同时表示,将积极配合公安机关侦破案件,“全力帮助客户挽回损失”。
那么造成盗刷成功的漏洞到底在哪里?一般来说银行的验证环节都做得比较谨慎完备,不太可能出现缺少验证就放行的情况,而在此类事件中恰恰出现了一个“非一般情况”。
“基于短信验证码的快捷支付功能,是通过短信接收动态验证码完成付款的,也就是说,如果银行卡预留的手机号是该地(北京)号码,同时开通这两项业务(即‘短信保管箱’和银行卡的动态验证码),就存在被转账的可能。”腾讯雷霆行动相关负责人解释说,短信保管箱这种云端备份服务,客观上来说就提供了另外一种阅读短信的方式,大大降低了验证码的安全性和独立性。
“我们对本次安全事件进行了分析,初步判断:黑客是通过‘社会工程学’获取了受害者的手机服务密码等信息后,登录运营商的系统为其开通‘短信保管箱’业务。这样就能通过网站查看受害人的短信(包括工行e支付验证码),达到非法转账的目的。” 腾讯安全应急响应中心相关负责人表示。
浙江并未推“短信保管箱”业务
据了解,已发现的此类盗刷均在北京地区,于是板子打到了提供“短信保管箱”业务的北京移动身上。对此北京移动回应称,正在仔细对比客户被盗刷时段的数据记录,如果查实确实是移动的业务问题,“我们愿意承担赔偿责任”。
北京移动表示,已逐一对十余起类似客户投诉进行了仔细核查,通过后台网络日志发现,此类不知情定制均系不法分子使用客户的手机号和客服网站密码,通过手机登录客服网站开通的。目前,北京移动已暂停了短信保管箱业务的短信查询等功能,并正在对此业务优化,优化内容包括“不保存银行下发的短信”、“只能查询24小时前企业短信”、“需要动态密码验证”等,所有业务优化会在8月底前完成。
钱江晚报记者致电浙江移动求证此事时,其相关负责人表示,“浙江移动并未推出此项业务”。
虽然“短信保管箱”业务仅在北京移动推出,据了解在部分地区该项业务其实是在“试商用阶段”,也就是说虽未正式推出,但如果用户主动通过发送短信的方式自助开通也是可以的。
四点安全建议请一定记牢
360手机卫士的安全专家告诉记者,他们发现几位受害者在银行卡被盗刷前,都会突然收到大量各种验证短信,主要是提示自己在各种网站上注册账号的验证短信。“这是不法分子利用‘短信炸弹’对受害者进行轰炸,把对用户来说最重要的银行发来的支付验证短信淹没在其它验证短信当中,从而使其不能在第一时间发现自己的银行卡正在被盗刷。”
目前,不法分子主要通过三种方式窃取短信验证码。如果你的手机也出现在短时间内被短信“轰炸”的情况,一定要重视。(见上图)
用户有什么办法自我保护呢?几位安全专家一致答复:对此类作案手段目前尚无妥善的安全防护方法。不过,手机用户可用一些简单有效的方法尽可能避免或减少损失:
1、不要用手机下载不明软件,不要查看不明短信,不要点开不明网站,避免中木马!
2、不要在所有网站上都是用相同的账号密码,重要的网站需要设置高强度的复杂密码并定期修改,尤其是社交账号、网银账号和常用的电子邮箱,都一定要单独设置密码;
3、尽量不要在多个电商网站或者支付平台都开通快捷支付,减少受害的可能;
4、保管好银行卡号、身份证号和手机号等个人信息,不要给来历不明的个人和机构提供这些信息;
还有,尽量避免注册和使用任何 “短信保存”类型的业务。一旦发现自己手机被莫名其妙注册了这种服务,请立刻冻结银行卡并报警,全面检查电脑和手机是否中毒。如果确定被盗,请更换银行卡和手机卡吧!
- 股票名称 最新价 涨跌幅