文/王诗文
现如今,短信验证码被赋予了越来越多功能,尤其是在个人信息泄露愈发猖獗的大背景下,盗取验证码已然成为入侵者攻击的关键步骤。
北漂者小许就是因为无意间泄露了自己的短信验证码,致使一夜间支付宝、银行卡全线被盗,资金全部被转移,工作几年的积蓄荡然无存。那么,一个六位数的短信验证码真的可以撬开我们的全部账户吗?
2016年4月8日傍晚,正在下班途中的小许突然接连收到中国移动发来的三条短信。第一条短信称他订阅了一项增值服务,并且因为增值业务的扣费而导致手机账户余额不足。
由于小许并没有订阅任何业务,这条短信令他莫名其妙。紧接着小许便收到了第二条信息,短信中写道,若需退订请回复“取消加验证码”,在三分钟之内就能退订这些业务。“可从哪里知道验证码呢?”小许正疑惑着,第三条短信接踵而来,短信中写道“您好,您的USIM卡6位验证码为××××××”。小许便丝毫没有迟疑地将这串验证码数字发了出去以退订业务,并暗自庆幸着自己成功地躲过了一次额外收费。
按照常理,退订了业务,有惊无险的剧情也就该结束了。但主人公小许的灾难其实才刚刚开始。
在回复短信不久,小许的手机就显示“无sim卡”。因为手机彻底没有了服务,完全与外界失去联系的小许只得迅速赶回家中,用家里的wifi将手机接上网络。这时,小许愕然地发现,有人正在另一台机器上用他的支付宝账户转账,小许眼睁睁地看着钱一笔笔从他的账户中转出。
震惊之余,小许立即采取措施,通知家人代自己冻结全部银行卡。另外,他还试图通过登录PC端支付宝来解除相关银行卡的绑定。可惜为时已晚,冻结完成了,支付宝里的钱也全部被转出了。当然,除了支付宝,诈骗份子自然也不会忘记小许绑定的三张银行卡,攻击者在小许的网银中进行跨行转账,直至每一张银行卡的余额均变为零才最终罢休。
个人密码和短信证码融为一体存隐患
这场悲剧被央视播报,并被定性为一起电信诈骗案。那么,仅凭小许发出的一个六位数的验证码真的可以撬开我们的全部账户吗?其实不然。
按照常识,我们也知道,进行一项手机转账业务,最起码需要同时掌握卡号、密码、手机这三者才能进行交易。也就是说窃取验证码虽然是犯罪分子作案的关键步骤,但仅是验证码的泄露是不足以导致受害者全部账号沦陷的。因而,可以推断小许的关键个人信息泄露才是这场浩劫的根源,而手机卡被盗只是灾难爆发的导火线。
可以说,这样一个信息泄露频发的大背景使电信诈骗变得更容易了,虽然我们凭个人的力量无法完全杜绝个人信息的泄露,但严守短信验证却是通过自己的小心谨慎、多方查验可以做到的。
当然,除了个人层面的小心谨慎,各行业层面也愈发意识到个人信息泄露的猖獗之势已使原来单一的静态信息,如账号密码,不能保证在线支付的安全了。因此,“双因素认证”的概念开始逐渐走入大众的视野。
所谓“双因素”的因素之一是指由自己设定的静态密码,因素之二则是指随各种随机事件产生的一次性的动态密码。只有同时知道静态密码和动态密码两条信息的人才能够对一个账号进行操作。
随着移动终端的不断普及与发展,如今手机短信验证码已经成为动态密码的重要载体。也就是说,小许在个人信息已经泄露的前提下,又自曝短信验证码使诈骗者换卡业务成功,这无疑是自己断送了自己最后的一根救命稻草。
如今,很多第三方支付平台和银行系统为了给客户提供更多的便利,赋予了短信验证码很多功能,比如找回密码,这就间接导致在用户密码信息没有被泄露的前提下,攻击者也可以透过验证码自行修改用户登录密码、支付密码。这样就变相地使个人密码和短信证码成为一体,而“双因素认证”又退回到了原始的“单因素认证”阶段,大大降低了其设计本身的功效。
主人公小许的遭遇让我们深刻认识到,对于电信公司、三方支付平台、网银系统等这类与大众个人信息与财产安全息息相关的行业,安全是第一要务,脱离了安全的便捷终将成为无源之水、无本之木。
在使用手机的过程中,只要是“通过回复索要个人相关信息”的短信、微信就一定要警惕起来,当然还包括电话、电邮等。
感谢亲爱的你一直默默地关注。
我是晚8点,心血来潮更文的文艺女青年王诗文。
欢迎大家在评论中留下足迹。
关于转载问题:请统一简信联系我的经纪人南方有路。
版权必究!