短信验证码的安全隐患

短信验证码的安全隐患


在当下这个年代,几乎是人人都在用手机,只要在用手机,就没有不知道短信验证码的。随着手机更新换代的速度变快,各大APP也随之诞生。一般要使用APP,都需要进行登录认证,最常见的就是将手机号码作为身份认证。因为手机使用率很高,电话号码又具有唯一性。

仔细数一数,我们每个人的手机号可能都绑定了很多账号。比如说支付宝、微信、腾讯视频等,绑定的账号越多,触碰到的个人信息也就会越多。短信验证码的呈现方式,相信大家并不陌生,一般你注册账号的时候会收到一个随机的验证码短信,内容大多为:“尊敬的顾客,您在某某网站注册,验证码为:xxxxxx,请您在半小时内使用,过期无效。”

当你填写验证码后,就通过了注册。如果你没有在规定时间里填入验证码,就可以再次点击“发送验证码”按钮,系统就会再次发送短信,进行第二次的验证,从而确定用户对手机号码的所有权。

在当下移动手机占据市场的环境下,短信验证码会时常出现在我们的日常生活里,那么短信验证码有没有隐患呢?

肯定是有的,目前来说,短信验证码的威胁主要有几方面:

第一,智能手机平台上的短信木马。手机木马是2014年春天开始大量出现的,主要以安卓平台为主。木马进入手机最重要的一个方式就是钓鱼短信,尤其在当下,客户要去企事业单位办事,后续反馈基本都是通过短信的方式来告知的,比如银行、支付企业、政务单位等的通知。这种信任就会让钓鱼短信有施展空间,钓鱼短信总是会以各种官方的语气来发送内容,里面都会有一个链接。用户被诱导后就会点击进去,有一个APK下载下来提示安装,一旦安装,手机就中了木马。

而且木马的传播非常迅速,会悄悄的给手机上的联系人发送各种钓鱼短信,以此扩大。

在【支付宝大盗分析报告】里可以看到很多案例,其中有一类木马就广泛用于支付宝诈骗,不法分子诱骗受害者通过二维码下载安装木马,随后重置受害者的支付宝、淘宝账户盗取钱财。这类木马已经形成了非常完整的产业链:从制马人员到售马、租马、到实施钓鱼、欺骗、洗号、转移钱财。

第二,补卡攻击、克隆攻击。短信验证码事实上是基于手机号(SIM卡/运营商服务),而不是基于手机设备。只要有相同的一张卡,自然就可以接收到验证码,并且对账号进行重置。根据运营商的说法,办理补卡业务需要提供身份证和服务密码,如果忘记服务密码,还需要提供最近五次的电话联系记录。这里的薄弱环节主要在于部分地区的运营商对补卡人员身份验证不够严格。在早年SIM卡构造简单的时候,甚至还能直接去克隆一张卡出来。不过近些年随着技术的进步,这方面的管理也越来越严格了。

第三,无线电监听方面。其实就是通过伪基站对用户进行监听,从而获得短信内容,然后进行盗窃活动。

目前针对这三方面,安卓系统已经收紧了短信权限,同时运营商在维护方面也加强了安全意识,现在的管理也越来越严格。

作者介绍:凌凯君,不会卖短信的文案不是好销售,一个做梦都想着赚钱发财盖别墅的打工人。欢迎留言,秒速答复!

发表评论