一条退订短信致男子倾家荡产:手机验证码并不安全

2016年04月25日 11:02 IT时报 微博
微博 微信 空间 分享 添加喜爱

  “一个‘退订’短信倾家荡产事件”复盘

  手机短信验证码被指为信息安全的沙滩 便捷与安全依然两难

  ■IT时报 吴雨欣

  当手机中的应用越来越多、绑定的服务也越来越多时,谁会想到一条短信引发的连锁反应,能让一个人在一夜间倾家荡产?近日,北京许先生的遭遇《中国移动,请你告诉我,为什么一条短信就能骗走我所有的财产?》在网上引起轩然大波,中国移动、中国银行、中国工商银行、招商银行支付宝百度钱包、网易邮箱纷纷牵扯其中。

  当《IT时报》记者通过许先生描述的被骗经过,试着重走幕后黑手攻击之路后才发现,这根链条风谲云诡、环环紧扣,国内地下数据交易市场的猖獗使用户信息严重泄露;银行批量发卡、办卡审核不严的同时,网银系统在线验证身份信息薄弱;第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时,一个精通各项业务环节的骗子粉墨登场,利用运营商网上自助换卡,把自己变成用户,开始一场肆无忌惮的掠夺。

  复盘一:远程可自助换卡 备卡或从内部流出

  4月8日,许先生在下班路上收到一条10086发来的短信,提示他开通了某杂志半年的手机报服务,在许先生回复退订无效后,又收到一条类似于官方号码发来的退订需输入“取消+验证码”的短信和10086发来的USIM验证码短信。为了退订业务,许先生没多想就回复了6位验证码。之后,手机的SIM卡就一直处于无服务状态。

  许先生哪里会想到,这是骗子精心设下的局,自己的号码订了增值业务是真的,10086第一次发来的退订信息和验证码也是真的,但都是骗子进入自己网厅后提出的请求。那条输入“取消+验证码”的短信是假的,这时骗子正在远程申请SIM卡业务的“备卡激活”,短信验证码就是确认换卡的关键步骤。

  在接下来的几个小时里,骗子用许先生的SIM卡接收短信验证码,相继攻破他的网易邮箱、支付宝及网银,并为用户绑定了百度钱包,盗取其资金。

  在这场连环骗术中,除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外,中国移动网上自助换卡业务流程设计也成为众矢之的。

  “在整个骗局中,骗子利用了正当的业务规则,外加受害人对相关业务不熟悉骗取验证码,行骗手段具有可复制性,但如果运营商对业务规则进行修改,加强认证,骗子无法获取验证码,则攻击就会失败。”360天眼实验室的工作人员告诉《IT时报》记者。

  如何才能异地自助换卡?中国移动北京公司的客服人员告诉《IT时报》记者,办理人需在网站上申请一张备卡,登记邮寄地址后送卡到家,但地址仅限于北京,外省市不可享受此项服务。但据记者了解,此次事件中,骗子的IP地址在海南海口,而且网上申请备卡除需填写申请姓名、手机号、收货地址外,依然需要短信验证码,既然此前许先生并未收到过申请备卡的短信验证码,那骗子的备卡是从哪来的呢?

  “骗子可能通过内部渠道拿到了备卡,也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露,在手机卡未严格执行实名制前,不用本人的身份证也可以领卡。

  记者在淘宝页面中输入“USIM卡”,出现了浙江移动、上海移动等地的4G USIM卡,这些备卡均可用于短信自助换卡,店主告诉《IT时报》记者:“虽是短信换卡的备卡,异地网上自助换卡也可以试试,但不保证成功。”

  复盘二:手机验证码可修改网银密码

  “这是社会工程学诈骗的一种,也是欺骗性攻击,利用补卡换卡,骗子在与许先生做心理上的较量,此外,骗子对许先生做过调查,已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息,只缺最关键的一步,就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。

  短信验证码有多重要?以登录支付宝为例,正常情况下,若有人在用户不常用设备上登录支付宝,用户会收到短信提醒。即使不知道登录密码,但已经给用户换卡成功的骗子,可以通过短信验证码、证件号码来重置密码。

  在此次事件中,因为已经拥有许先生的SIM卡,收到异常登录短信提醒的是骗子自己,另从许先生的手机支付宝依然与骗子保持同步登录状态来看,骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码,这也就说明,许先生的支付宝号及密码可能早已泄露,被骗子掌握。

  记者又尝试以找回登录密码的方式登录银行网银,虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理,但有的银行的网银依然可以通过追加网银账号(在网银中添加的银行卡号)、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合,并可以连续尝试输入10次。在这样的验证机制下,骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。

  值得注意的是,对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的163邮箱,用163邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书,安装过程依然需要输入随机验证码及短信验证码,而被骗子关联的百度钱包,有2小时内转账的超级转账功能且转账不收手续费。在百度钱包里添加银行卡,需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记,还可以通过短信验证码找回。

  短短几个小时里,对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱,到最后,许先生什么也没抢回来。

  复盘三:余额1000元的支付宝账号密码可卖80元

  “这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息,还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向《IT时报》记者介绍,日常生活中,用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号,如果该酒店管理不严或系统存在漏洞,用户会在一瞬间泄露三个关键信息。此外,某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购,形成隐蔽而庞大的市场,这早已不是秘密。

  菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称,实际均是用于信息买卖的QQ群,为了增加隐蔽性,群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。

  在记者加进的一个QQ群中,信息被称为“料”,相较于售价几毛钱的身份证、手机信息,兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”,就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号,余额1000元以下的支付宝售价80元、1000至3000元售价150元,额度越高,售价越高,大家均默契地先付款后拿“料”,拒绝做数据测试。当被记者追问为什么不自己操作时,一个卖主回答:“风险太高,一个IP操作多了会被查。”

  在这个讲究“十年打工一场梦,人无横财不富裕,马无夜草不肥”的群里,快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全,大家都等着靠做偏门生意成富翁。

  “换卡攻击没有什么技术难度,关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍,黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头,免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。

  在《2015中国网站安全报告》中,据补天平台统计显示,补天平台中的泄露信息漏洞,共有4个漏洞可以造成1亿条以上的个人信息泄露,可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。

  2015年共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能或已造成泄露的个人信息量高达55.3亿条。

  行业对比方面,从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个泄露信息漏洞可能导致961万条个人信息泄露,但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。

  记者观察

  不能把安全只建立在手机验证码上

  “经济发达地区往往会成为通信网络诈骗的重灾区,但通讯诈骗不是单方面某一人的责任,现在市面上依然有未实名的手机卡,银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”某市公安局反通信网络诈骗中心的工作人员告诉《IT时报》记者。2015年,该市通信网络诈骗案件2万余起,涉案金额近4亿元,同比上升达21%。为打击电信诈骗,该市成立了反通信网络诈骗中心,三大运营商及六大商业银行均参与其中,每单位派驻3人在公安局值班。

  除了谁该为通讯诈骗负责外,建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗,总是会把矛头对准运营商。许先生的遭遇,中国移动确实存在管理及业务流程设计上的疏忽,但银行的实名制要比手机卡实名更具天然优势,也能控制得更好,在这种情况下,用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障,实际是在降低安全性。” 独立电信分析师付亮说。

  如今,因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障,可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时,大家似乎忽略了,操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。

  “各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证,确实是依赖于手机卡实名制,能大大降低非法注册,但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时,有黑客攻击系统,将错误指令改成正确指令,这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉《IT时报》记者。

  但对于手机验证码成为与资金相关联应用的安全性问题,该高管颇为无奈地说:“目前,除了短信验证码,你认为还有什么其他可以大范围应用的验证方式吗?”

  据了解,截至4月13日,支付宝已先行赔付了许先生在其平台上流失的一万多元资金,百度钱包承诺赔付但仍需提交材料走流程,被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示:“该用户的网上银行转账功能在此之前已由本人开通,后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。

  中国移动的调查结果则显示,自助换卡业务办理流程正常,会积极配合相关部门,提供相关证据,进行后续查证。

推荐阅读
聚焦
关闭评论
原创策划

观点

比特币生于2009亡于2016?

比特币生于2009亡于2016?

摩根大通CEO曾表示,比特币是注定成不了气候的。但他非常看好区块链。 [详细]

知读会

边聊天边学经济学

边聊天边学经济学

《一课经济学》的主旨在于分析经济生活中盛行的谬论。读这本书,感觉就像和长者聊天一样。 [详细]