“短信验证码”-你的资产安全重要防线

2015年06月01日 08:56:42 来源: 中国网信网
  【打印】 【纠错】

    随着我国电子商务环境的不断优化、支付场景的不断丰富以及金融创新的活跃,网上支付业务取得快速增长,近年来中国第三方支付交易量也一直快速攀升。据艾瑞咨询数据显示,2014年中国第三方支付市场交易规模达23.3万亿元,2015年将达31.2万亿元,2016年将达41.3万亿元。

    一时间,通过各类支付产品进行互联网支付尤其是移动支付成了当下时尚,它的便捷与快速被很多消费者所喜爱。但与此同时,支付领域接连出现的安全事件、监管风暴以及支付机构倒闭等现象,也引发了社会广泛关注。

    2015年4月23日媒体发布的一则名为《买上万手机号改支付密码盗23.8万元》的消息,引发广大支付用户对短信验证码的重视与重新认识。不法分子之所以能通过网络进行盗窃,除了购买了大量手机用户号码和电信网上服务平台登录密码,关键是采用了拦截支付宝短信验证码的方法。

    下面,我们通过一个发生在一个有着数万家商户接入,可提供全国近千种生活缴费服务的某大型第三方支付机构的用户身上的真实案例,来更进一步的认识保管好短信验证码的重要性。

    某天中午时分,王先生的手机响了,上面显示的是一个本地固话号码,王先生接通后,对方告知王先生他的第三方支付账户上有积分兑换的50元电子券即将过期,他们可以为王先生兑换等额价值的实物邮寄过来,并列举了一些可兑换物品的清单如:移动电源、高保真耳机、鼠标键盘套装、高档散热器、电热水壶等等供王先生选择,只要王先生告知收货地址并将短信验证码告诉对方就可以实现兑换,而这时王先生觉得刚好需要一个移动电源,在接到这个电话后,没有过多的质疑,确认后随即将手机上收到一条验证码的短信内容直接转告对方表示兑换。事后,王先生也的确收到了该商户寄过来的移动电源,但实物的质量却与王先生被兑换的电子券价值相差甚远。然而后续王先生登录该支付机构的业务网站核实交易信息时,却发现自己的支付密码被重置更换了,这时翻看交易记录,才发现之前商户兑换电子券时给他下发的居然不是所谓的兑换验证码,而是重置支付密码的验证码!这让王先生惊出一身冷汗。

    后续王先生将此事反映到该支付机构安全中心,经过安全人员的后台交易分析发现,该商户的IP地址有连续的多个发起“忘记密码”而重置支付密码的请求,同时也存在很多图形验证码输入错误和短信验证码输入错误的日志,根据交易请求的时间密集度判断,该商户并非使用工具来试探,而是人工的方式来验证,与王先生描述的情况相符。经过安全人员的实地考察,该商户地处一个小门面,里面摆着各类物品不仅供用户现场兑换,同时还采取电话外呼的方式给他们的“目标用户”进行远程消费。商户重置用户的支付密码之后,然后在POS机上完成用户电子券的消费获得较大的套利。

    该商户的行为以及王先生所经历的事件让该支付机构的安全人员对用户的安全信息保护意识产生了深深的忧虑,如果用户泄露短信验证码导致支付密码被重置,不法分子甚至都可以卷走支付账户所绑定银行卡上面的资金进行消费。

    目前第三方支付平台和不少移动端网络应用,在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码,几乎可以立即重置重要的登录或支付密码。无论在电脑还是手机上,短信验证码都是网络支付过程中最重要的一个安全验证环节,短信验证码有时已替代银行卡密成为最后的安全验证手段,有了验证码黑客就可以大肆盗取网银。

    然而在现实生活中应该注意到,除了王先生在一定信息知情情况泄露短信验证码的情况,还有大量的短信诈骗也会让你不知情泄露信息。例如不法分子给用户发送欺诈短信,通过中奖、积分兑换、升级器过期等各种手段诱骗用户登录钓鱼网站,用户一旦登录钓鱼网站后会按照要求填写:姓名、身份证号、银行卡账户、密码、银行预留手机号等信息,最终用户中招后,钓鱼网站所输入的信息会被同步到不法分子的手中,若用户被植入木马程序,木马会在用户手机后台持续运行,还可偷偷转发用户所接收到的所有短信,这样用户的资金就会完全被他人所掌控,最终导致财产被莫名转移。

    因此,在我们的互联网支付生活中,要时刻牢记如下关于短信验证码的防诈骗知识,保护好我们资产安全的这道防线:

    1、短信验证码就是网上交易的一次性密码,如果泄露给他们,账户的资金就危险了。请牢记:“任何索取短信验证码的行为都是诈骗”。

    2、在任何信息中看到陌生网址都不要随意点击,因为这些钓鱼网址都设计的与其要模仿的官方网站很像,用户很难分辨真假。对需要填入银行卡账户、密码的程序要十分谨慎,对于要求下载、安装软件的指令更要慎之又慎,以防止短信被截获。

    3、用户手机应当养成设置开机密码的习惯,并使用主流手机安全软件,有效拦截木马读取短信等行为,如果手机丢失,第一时间使用安全软件的防盗功能,远程删除手机里的支付数据,同时打电话给银行和第三方支付供应商冻结相关业务、通知运营商挂失手机卡。(作者:中移电子商务有限公司朱小波)

关闭