小心!回復短信驗證碼,吃空你的銀行卡

文/王詩文

請看好你的短信驗證碼

現如今,短信驗證碼被賦予了越來越多功能,尤其是在個人信息泄露愈發猖獗的大背景下,盜取驗證碼已然成為入侵者攻擊的關鍵步驟。

北漂者小許就是因為無意間泄露了自己的短信驗證碼,致使一夜間支付寶、銀行卡全線被盜,資金全部被轉移,工作幾年的積蓄蕩然無存。那么,一個六位數的短信驗證碼真的可以撬開我們的全部賬戶嗎?

2016年4月8日傍晚,正在下班途中的小許突然接連收到中國移動發來的三條短信。第一條短信稱他訂閱了一項增值服務,并且因為增值業務的扣費而導致手機賬戶余額不足。

由于小許并沒有訂閱任何業務,這條短信令他莫名其妙。緊接著小許便收到了第二條信息,短信中寫道,若需退訂請回復“取消加驗證碼”,在三分鐘之內就能退訂這些業務。“可從哪里知道驗證碼呢?”小許正疑惑著,第三條短信接踵而來,短信中寫道“您好,您的USIM卡6位驗證碼為××××××”。小許便絲毫沒有遲疑地將這串驗證碼數字發了出去以退訂業務,并暗自慶幸著自己成功地躲過了一次額外收費。

按照常理,退訂了業務,有驚無險的劇情也就該結束了。但主人公小許的災難其實才剛剛開始。

在回復短信不久,小許的手機就顯示“無sim卡”。因為手機徹底沒有了服務,完全與外界失去聯系的小許只得迅速趕回家中,用家里的wifi將手機接上網絡。這時,小許愕然地發現,有人正在另一臺機器上用他的支付寶賬戶轉賬,小許眼睜睜地看著錢一筆筆從他的賬戶中轉出。

震驚之余,小許立即采取措施,通知家人代自己凍結全部銀行卡。另外,他還試圖通過登錄PC端支付寶來解除相關銀行卡的綁定。可惜為時已晚,凍結完成了,支付寶里的錢也全部被轉出了。當然,除了支付寶,詐騙份子自然也不會忘記小許綁定的三張銀行卡,攻擊者在小許的網銀中進行跨行轉賬,直至每一張銀行卡的余額均變為零才最終罷休。

個人密碼和短信證碼融為一體存隱患

這場悲劇被央視播報,并被定性為一起電信詐騙案。那么,僅憑小許發出的一個六位數的驗證碼真的可以撬開我們的全部賬戶嗎?其實不然。

按照常識,我們也知道,進行一項手機轉賬業務,最起碼需要同時掌握卡號、密碼、手機這三者才能進行交易。也就是說竊取驗證碼雖然是犯罪分子作案的關鍵步驟,但僅是驗證碼的泄露是不足以導致受害者全部賬號淪陷的。因而,可以推斷小許的關鍵個人信息泄露才是這場浩劫的根源,而手機卡被盜只是災難爆發的導火線。

可以說,這樣一個信息泄露頻發的大背景使電信詐騙變得更容易了,雖然我們憑個人的力量無法完全杜絕個人信息的泄露,但嚴守短信驗證卻是通過自己的小心謹慎、多方查驗可以做到的。

當然,除了個人層面的小心謹慎,各行業層面也愈發意識到個人信息泄露的猖獗之勢已使原來單一的靜態信息,如賬號密碼,不能保證在線支付的安全了。因此,“雙因素認證”的概念開始逐漸走入大眾的視野。

所謂“雙因素”的因素之一是指由自己設定的靜態密碼,因素之二則是指隨各種隨機事件產生的一次性的動態密碼。只有同時知道靜態密碼和動態密碼兩條信息的人才能夠對一個賬號進行操作。

隨著移動終端的不斷普及與發展,如今手機短信驗證碼已經成為動態密碼的重要載體。也就是說,小許在個人信息已經泄露的前提下,又自曝短信驗證碼使詐騙者換卡業務成功,這無疑是自己斷送了自己最后的一根救命稻草。

如今,很多第三方支付平臺和銀行系統為了給客戶提供更多的便利,賦予了短信驗證碼很多功能,比如找回密碼,這就間接導致在用戶密碼信息沒有被泄露的前提下,攻擊者也可以透過驗證碼自行修改用戶登錄密碼、支付密碼。這樣就變相地使個人密碼和短信證碼成為一體,而“雙因素認證”又退回到了原始的“單因素認證”階段,大大降低了其設計本身的功效。

主人公小許的遭遇讓我們深刻認識到,對于電信公司、三方支付平臺、網銀系統等這類與大眾個人信息與財產安全息息相關的行業,安全是第一要務,脫離了安全的便捷終將成為無源之水、無本之木。

在使用手機的過程中,只要是“通過回復索要個人相關信息”的短信、微信就一定要警惕起來,當然還包括電話、電郵等。


感謝親愛的你一直默默地關注。

我是晚8點,心血來潮更文的文藝女青年王詩文。

歡迎大家在評論中留下足跡。

關于轉載問題:請統一簡信聯系我的經紀人南方有路

版權必究!

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容