一条短信致倾家荡产？手机验证码安全吗_网易科技
一条短信致倾家荡产？手机验证码安全吗
用微信扫码二维码
分享至好友和朋友圈
（原标题：“一个‘退订’短信倾家荡产事件”复盘）
■IT时报 吴雨欣当手机中的应用越来越多、绑定的服务也越来越多时，谁会想到一条短信引发的连锁反应，能让一个人在一夜间倾家荡产？近日，北京许先生的遭遇《，请你告诉我，为什么一条短信就能骗走我所有的财产？》在网上引起轩然大波，中国移动、中国银行、中国工商银行、招商银行、、钱包纷纷牵扯其中。当《IT时报》记者通过许先生描述的被骗经过，试着重走幕后黑手攻击之路后才发现，这根链条风谲云诡、环环紧扣，国内地下数据交易市场的猖獗使用户信息严重泄露；银行批量发卡、办卡审核不严的同时，网银系统在线验证身份信息薄弱；第三方支付在方便人们生活的同时也被攻击者大肆利用……当银行、第三方支付、互联网企业越来越依赖手机短信来验证“你是你”时，一个精通各项业务环节的骗子粉墨登场，利用运营商网上自助换卡，把自己变成用户，开始一场肆无忌惮的掠夺。复盘一：远程可自助换卡 备卡或从内部流出4月8日，许先生在下班路上收到一条10086发来的短信，提示他开通了某杂志半年的手机报服务，在许先生回复退订无效后，又收到一条类似于官方号码发来的退订需输入“取消＋验证码”的短信和10086发来的USIM验证码短信。为了退订业务，许先生没多想就回复了6位验证码。之后，手机的SIM卡就一直处于无服务状态。许先生哪里会想到，这是骗子精心设下的局，自己的号码订了增值业务是真的，10086第一次发来的退订信息和验证码也是真的，但都是骗子进入自己网厅后提出的请求。那条输入“取消＋验证码”的短信是假的，这时骗子正在远程申请SIM卡业务的“备卡激活”，短信验证码就是确认换卡的关键步骤。在接下来的几个小时里，骗子用许先生的SIM卡接收短信验证码，相继攻破他的邮箱、支付宝及网银，并为用户绑定了百度钱包，盗取其资金。在这场连环骗术中，除了骗子对中国移动网上营业厅自助订阅业务、业务退订、网上自助换卡、139邮箱收发短信等业务精通程度令人咋舌外，中国移动网上自助换卡业务流程设计也成为众矢之的。“在整个骗局中，骗子利用了正当的业务规则，外加受害人对相关业务不熟悉骗取验证码，行骗手段具有可复制性，但如果运营商对业务规则进行修改，加强认证，骗子无法获取验证码，则攻击就会失败。”天眼实验室的工作人员告诉《IT时报》记者。如何才能异地自助换卡？中国移动北京公司的客服人员告诉《IT时报》记者，办理人需在网站上申请一张备卡，登记邮寄地址后送卡到家，但地址仅限于北京，外省市不可享受此项服务。但据记者了解，此次事件中，骗子的IP地址在海南海口，而且网上申请备卡除需填写申请姓名、手机号、收货地址外，依然需要短信验证码，既然此前许先生并未收到过申请备卡的短信验证码，那骗子的备卡是从哪来的呢？“骗子可能通过内部渠道拿到了备卡，也可能是网购渠道的备卡。”一位不愿具名的业内人士告诉《IT时报》记者。据该人士透露，在手机卡未严格执行实名制前，不用本人的身份证也可以领卡。记者在页面中输入“USIM卡”，出现了浙江移动、上海移动等地的4G USIM卡，这些备卡均可用于短信自助换卡，店主告诉《IT时报》记者：“虽是短信换卡的备卡，异地网上自助换卡也可以试试，但不保证成功。”复盘二：手机验证码可修改网银密码“这是社会工程学诈骗的一种，也是欺骗性攻击，利用补卡换卡，骗子在与许先生做心理上的较量，此外，骗子对许先生做过调查，已经掌握了他的银行卡、身份证号、手机号、中国移动网上营业厅的登录密码等大量信息，只缺最关键的一步，就是短信验证码。”国内安全团队Keen Team成员吕礼胜告诉《IT时报》记者。短信验证码有多重要？以登录支付宝为例，正常情况下，若有人在用户不常用设备上登录支付宝，用户会收到短信提醒。即使不知道登录密码，但已经给用户换卡成功的骗子，可以通过短信验证码、证件号码来重置密码。在此次事件中，因为已经拥有许先生的SIM卡，收到异常登录短信提醒的是骗子自己，另从许先生的手机支付宝依然与骗子保持同步登录状态来看，骗子并未利用手机短信验证及其他身份信息重置登录密码和支付密码，这也就说明，许先生的支付宝号及密码可能早已泄露，被骗子掌握。记者又尝试以找回登录密码的方式登录银行网银，虽然有些银行要求找回登录密码必须拿银行卡和身份证至银行柜台办理，但有的银行的网银依然可以通过追加网银账号（在网银中添加的银行卡号）、身份证号码、查询密码和手机验证码进行网银重置。还有的银行会提示用户密码是6至8位的数字、字母和数字字母组合，并可以连续尝试输入10次。在这样的验证机制下，骗子完全有机会根据用户泄露的信息和技术手段对网银登录密码进行重置。值得注意的是，对各项业务了如指掌的骗子还利用手机接收短信验证码的方式攻破了许先生的邮箱，用邮箱关联支付宝并下载支付宝的数字证书。这是用于用户在新电脑上使用支付宝而安装的证书，安装过程依然需要输入随机验证码及短信验证码，而被骗子关联的百度钱包，有2小时内转账的超级转账功能且转账不收手续费。在百度钱包里添加银行卡，需要的依然是银行卡信息、姓名、身份证号、手机号、验证码。如果登录密码忘记，还可以通过短信验证码找回。短短几个小时里，对各项业务流程都掌握得炉火纯青的骗子在与许先生抢钱，到最后，许先生什么也没抢回来。复盘三：余额1000元的支付宝账号密码可卖80元“这个案例的关键点不仅在于用户如何在骗子的诱导下泄露关键信息，还有一些地下黑库信息的推波助澜。”360天眼实验室的工作人员向《IT时报》记者介绍，日常生活中，用户信息泄露的渠道很多。比如订酒店提供的姓名、身份证号、手机号，如果该酒店管理不严或系统存在漏洞，用户会在一瞬间泄露三个关键信息。此外，某省市的社保及新生儿信息也会被黑产人员通过论坛、贴吧、QQ群等进行贩卖、收购，形成隐蔽而庞大的市场，这早已不是秘密。菠菜、面单、料主包养、拦截马、大小额通道这些表面上看起来与信息买卖无关的名称，实际均是用于信息买卖的QQ群，为了增加隐蔽性，群头像有时是一堆美女、有时则会标注隐晦的“稳赚计划”、“注册有礼”等。在记者加进的一个QQ群中，信息被称为“料”，相较于售价几毛钱的身份证、手机信息，兜售支付宝余额“料”和各大银行“料”的人是群里的“大户”。比如支付宝“料”，就包括了用户的登录密码、支付密码、手机号、身份证号和快捷账号，余额1000元以下的支付宝售价80元、元售价150元，额度越高，售价越高，大家均默契地先付款后拿“料”，拒绝做数据测试。当被记者追问为什么不自己操作时，一个卖主回答：“风险太高，一个IP操作多了会被查。”在这个讲究“十年打工一场梦，人无横财不富裕，马无夜草不肥”的群里，快递面单信息、手机改号软件、边境背包人员接取款、黑钱还信用卡等服务一应俱全，大家都等着靠做偏门生意成富翁。“换卡攻击没有什么技术难度，关键就是要拿到用户大量个人信息。”吕礼胜说。据吕礼胜介绍，黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头，免费WiFi窃取、木马钓鱼盗号、通过伪基站发送钓鱼短信等方式则可以作为不法分子盗取用户信息的手段。在《2015中国网站安全报告》中，据补天平台统计显示，补天平台中的泄露信息漏洞，共有4个漏洞可以造成1亿条以上的个人信息泄露，可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。2015年共有1410个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站1282个，可能或已造成泄露的个人信息量高达55.3亿条。行业对比方面，从平均每个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，但医疗卫生和教育培训类网站的泄露信息漏洞修复率却极低。记者观察不能把安全只建立在手机验证码上“经济发达地区往往会成为通信网络诈骗的重灾区，但通讯诈骗不是单方面某一人的责任，现在市面上依然有未实名的手机卡，银行业务员为了业绩批量发卡、违规办卡都为破案增加了难度。”某市公安局反通信网络诈骗中心的工作人员告诉《IT时报》记者。2015年，该市通信网络诈骗案件2万余起，涉案金额近4亿元，同比上升达21%。为打击电信诈骗，该市成立了反通信网络诈骗中心，三大运营商及六大商业银行均参与其中，每单位派驻3人在公安局值班。除了谁该为通讯诈骗负责外，建立在手机验证码沙滩上的互联网安全大厦的安全性也成为讨论的焦点。“人们一听到通讯诈骗，总是会把矛头对准运营商。许先生的遭遇，中国移动确实存在管理及业务流程设计上的疏忽，但银行的实名制要比手机卡实名更具天然优势，也能控制得更好，在这种情况下，用比自己安全性低的短信验证码来作为保障用户资金安全的关键屏障，实际是在降低安全性。” 独立电信分析师付亮说。如今，因为手机卡实名制、手机多属于个人使用等因素促使越来越多的互联网企业将手机短信验证码作为自己的安全屏障，可当手机短信验证码可以登录、修改密码等操作出现在直接或间接与资金相关联的应用时，大家似乎忽略了，操作手机甚至是使用SIM卡接收验证码的人不一定就是用户本人。“各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证，确实是依赖于手机卡实名制，能大大降低非法注册，但我们也曾遇到有人持假身份证成功办卡的情况。在我们的设备识出假身份证向后台发布‘身份错误’指令时，有黑客攻击系统，将错误指令改成正确指令，这个人就成功利用假身份证完成实名登记并办理了相关业务。”某虚拟运营商的高管告诉《IT时报》记者。
但对于手机验证码成为与资金相关联应用的安全性问题，该高管颇为无奈地说：“目前，除了短信验证码，你认为还有什么其他可以大范围应用的验证方式吗？”据了解，截至4月13日，支付宝已先行赔付了许先生在其平台上流失的一万多元资金，百度钱包承诺赔付但仍需提交材料走流程，被涉及的招商银行、中国工商银行、中国银行依然没有任何进展。其中一家银行相关负责人在接受媒体采访时表示：“该用户的网上银行转账功能在此之前已由本人开通，后因泄露包括银行卡密码在内的主要个人信息导致账户资金受损。”银行称会全力配合警方处理。中国移动的调查结果则显示，自助换卡业务办理流程正常，会积极配合相关部门，提供相关证据，进行后续查证。
本文来源：IT时报
责任编辑：王凤枝_NT2541
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈手机上收到一条信息，是申请找回微博密码的验证码，我没要求找回密码啊？？？这也能被盗？
全部答案（共1个回答）
找回密码系统是不会给他修改的权限的
看看短信是不是被拦截成垃圾短信了。也可以打新浪微博客服电话咨询。
忘记密码可以通过下面的办法找回：
进入微博登录区点击忘记密码，可看到找回方式；
1、通过注册/绑定手机找回，填写注册或绑定手机号码，在页面填写手机接收到的验证码...
答: 安装360浏览器为什么有些交易平台不能划转资金
答: 采用开放网络（openWeb）技术，它是一种网络作业环境，以Gecko浏览器引擎为核心，采用HTML5来开发
根本就没有正式的国际驾照，如果到国外开车，正式的程序：
1、到公证处办理驾照的公证书，可以要求英文或者法文译本（看看到哪个国家而定）；
2、拿公证书到外交部的领事司指定的地点办理“领事认证”，可以登录外交部网站查询，北京有4、5家代办的，在外交部南街的京华豪园2楼或者中旅都可以。
3、认证后在公证书上面贴一个大标志；
4、有的国家还要到大使馆或者领事馆盖章一下。
偶前几天刚刚办过。
嫌麻烦就把你洗衣机的型号或断皮带，拿到维修点去买1个，自己装上就可以了（要有个小扳手把螺丝放松，装上皮带，拉紧再紧固螺丝）。
目前我们的生活水平必竟非同以往．吃得好休息得好，能量消耗慢，食欲比较旺盛，活动又少，不知不觉脂肪堆积开始胖啦。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　减肥诀窍：一．注意调整生活习惯，二。科学合理饮食结构，三。坚持不懈适量运动。
　　　具体说来：不要暴饮暴食。宜细嚼慢咽。忌辛辣油腻，清淡为好。多喝水，多吃脆平果青香焦，芹菜，冬瓜，黄瓜，罗卜，番茄，既助减肥，又益养颜，两全其美！
有减肥史或顽固型症状则需经药物治疗．
如有其他问题，请发电子邮件:jiaoaozihao53@ .或新浪QQ: 1
考虑是由于天气比较干燥和身体上火导致的，建议不要吃香辣和煎炸的食物，多喝水，多吃点水果，不能吃牛肉和海鱼。可以服用（穿心莲片，维生素b2和b6）。也可以服用一些中药，如清热解毒的。
确实没有偿还能力的，应当与贷款机构进行协商，宽展还款期间或者分期归还； 如果贷款机构起诉到法院胜诉之后，在履行期未履行法院判决，会申请法院强制执行； 法院在受理强制执行时，会依法查询贷款人名下的房产、车辆、证券和存款；贷款人名下没有可供执行的财产而又拒绝履行法院的生效判决，则有逾期还款等负面信息记录在个人的信用报告中并被限制高消费及出入境，甚至有可能会被司法拘留。
第一步：教育引导
不同年龄阶段的孩子“吮指癖”的原因不尽相同，但于力认为，如果没有什么异常的症状，应该以教育引导为首要方式，并注意经常帮孩子洗手，以防细菌入侵引起胃肠道感染。
第二步：转移注意力
比起严厉指责、打骂，转移注意力是一种明智的做法。比如，多让孩子进行动手游戏，让他双手都不得闲，或者用其他的玩具吸引他，还可以多带孩子出去游玩，让他在五彩缤纷的世界里获得知识，增长见识，逐渐忘记原来的坏习惯。对于小婴儿，还可以做个小布手套，或者用纱布缠住手指，直接防止他吃手。但是，不主张给孩子手指上“涂味”，比如黄连水、辣椒水等，以免影响孩子的胃口，黄连有清热解毒的功效，吃多了还可导致腹泻、呕吐。
合肥政务区网络广告推广网络推广哪家公司比较好 一套能在互联网上跑业务的系统，被网络营销专家赞为目前最 有效的网络推广方式！
1、搜索引擎营销：分两种SEO和PPC，即搜索引擎优化，是通过对网站结构、高质量的网站主题内容、丰富而有价值的相关性外部链接进行优化而使网站为用户及搜索引擎更加友好，以获得在搜索引擎上的优势排名为网站引入流量。
良工拥有十多位资深制冷维修工程师，十二年生产与制造经验，技术力量雄厚，配有先进的测试仪器，建有系列低温测试设备，备有充足的零部件，包括大量品牌的压缩机，冷凝器，蒸发器，水泵，膨胀阀等备品库，能为客户提供迅捷，优质的工业冷水机及模温机维修和保养。
楼主，龙德教育就挺好的，你可以去试试，我们家孩子一直在龙德教育补习的，我觉得还不错。
成人可以学爵士舞。不过对柔软度的拒绝比较大。　　不论跳什么舞，如果要跳得美，身体的柔软度必须要好，否则无法充分发挥出理应的线条美感，爵士舞也不值得注意。在展开暖身的弯曲动作必须注意，不适合在身体肌肉未几乎和暖前用弹振形式来做弯曲，否则更容易弄巧反拙，骨折肌肉。用静态方式弯曲较安全，不过也较必须耐性。柔软度的锻炼动作之幅度更不该超过疼痛的地步，肌肉有向上的感觉即可，动作(角度)保持的时间可由10馀秒至30-40秒平均，时间愈长对肌肉及关节附近的联结的组织之负荷也愈高。
正在加载...
Copyright &
Corporation, All Rights Reserved
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区
相关问答：123456789101112131415如果你给一个人发微信对方基本总是不回复的【西安电子科技大学吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：191,124贴子：
如果你给一个人发微信对方基本总是不回复的收藏
你会怎么办？还会继续发吗？
留学预科 留学预科班,校方限额直招,择优录取,直升英美澳加新名校.留学预科 名师教学,小班授课,中留服认可.
第一次不回就差不多不会了
没事不会主动发
会连续每天发吗？有时候一天发几次消息，或者隔一天就会发一次，然而对方半个月可能就回过一个嗯字。
对方时不时的会发盆友圈
不想跟你聊还硬聊，云备胎
有些人可能不是给你一人发，所以坚持不懈
刚开始一直不回，时不时的我会发朋友圈。感觉他真真太烦了，然后告诉他我没有流量也没办校园网 ，潜台词就是不要给我再发消息!然后我再也没有发过一条盆友圈然而人家还是继续 昨天发了几次今早继续发
要不是看在同一个校区的份上，早拉黑了
微信不回，短信不回。还这样发些无聊消息，直接当面说过不想说话，没啥可说的。微信也给说了不想聊天不喜欢聊天没耐心。
&出国留学预科&-国内重点大学+世界百强名校,①中外合作校方直招②1对1留学指导③小班双语授课④降低要求优先录取,达标直升英美澳加新及小语种国家100强名校.
可还是这样只想说脑子是不是坏掉了
我会给他发QQ或打电话
只是不想理这个人而已，别的朋友的消息我还是会回的
拉黑吧我的哥
忘了截掉我自己的头像了所以七楼已删
你就当他不存在好了，一般我不喜欢做的事情我都装作不知道
心态问题你看见他就觉得烦，他看见你就想上，无论谁看开了，都解决了
这备胎当的也是。。。
看他对你的重要程度了
话都说到这份儿上了还不如直接删 要是完全不在乎对对方的感受你就不会想这么多 爱发不发 爱回不回
通常我会等到我想发动态前才回。。。
果断不会。　　如果真的不快乐，难道有谁能够重新开始活着。
哈哈哈哈 强撩你嫌烦就删了呗拉黑
楼主在说我吗
超过三次拉黑，事不过三
我以为是你给别人发 没想到是别人给你发
发个屁，热脸贴冷屁股的事从不干
说出的故事　　　寂寞下手毫无分寸，不懂得轻重之分！！！
登录百度帐号云通讯产品 针对各行业业务特性,打造个性化行业解决方案
验证码通知短信 极速验证5秒到
会员营销短信 会员管理，活动发布，会员服务
国际短信 五大洲 137个国家快速到达用户手心
语音验证码 简单接入 防刷单
选择创蓝云通讯的优势 针对各行业特性，打造标准化行业解决方案
快速到达 “5秒到”开创一个时代高并发解决方案免审核+职能拦截，网关提交＜2秒独立端口，专享通道 优质资源 三网合一码号<p class="text" data-v-6资源储备丰富沪、深两大技术研发中心VIP客户1V1服务定制 稳定通道 一主四备五星级机房群技术保障超高到达率强大的运营支持 贴心服务 真实的7*24H客户服务<p class="text" data-v-S内客服响应团队作业,应对各种问题所有创蓝人,都是客服 安全防护 “三防”预警机制数据加密，万无一失历史数据自动删除短信条数自动补发 高效平台 一键管理多个账号数据统计与分析人性化设置端口“0”难度接入
<p class="num" data-v-亿+ 月发送 <p class="num" data-v-亿+ 短信触达用户 <p class="num" data-v-万+ 自助通账号 <p class="num" data-v-万+ 合作客户 平台概览 创蓝投资2000万研发的独立短信发送平台,让客户掌控每一次发送细节 <p class="num" data-v- 账户安全(登录验证/日志)<p class="num" data-v- 子账号管理<p class="num" data-v- 在线充值<p class="num" data-v- FQA常见问题
<p class="num" data-v- 黑名单,通讯录管理<p class="num" data-v- 定时发送,变量发送<p class="num" data-v- 实时运营商状态<p class="num" data-v- 接入指南,操作视频 创蓝万数产品 针对金融行业痛点，提供稳定好用的数据PAAS接口服务
企业工商信息 亿级企业主体，按需调用 稳定可靠
羊毛在线检测 反机器欺诈 异常IP 异常手机号检测
羊毛党检测API 反机器欺诈 异常IP 异常手机号检测
空号在线检测 高效真实的号码在网状态检测
空号检测API 真实有效号码检测
图片OCR AI深度学习超高识别准确率
让服务覆盖全国各地 全国无死角覆盖,业务覆盖99%的城市
经典案例 针对各行业业务特性,打造个性化解决方案
查看更多 创蓝新动态 查看更多
东信和平公司代表参访创蓝国际，双方将成立印度合资企业 日，东信和平公司代表Garry莅临参观创蓝国际，创蓝国际总经理林江斌在创蓝大厦接待了Garry。双方深入交谈，并最终达成战略合作意向，将很快在印度共同出资成立创蓝国际印度合资子公司。东信和平公司目前是印度最大的SIM卡供应商，并有着十几年的通信设备代理服务经验。与印度当地政府、电信运营商、银行有着良好的合作关系。而创蓝253作为国内最大的短信供应商之一，有着先进的技术实力和丰富的服务经验。基于双方的优势，以及共同开发印度短信市场的愿景，促成了本次见面。东信和平公司代表Garry表示了对创蓝253在中国短信领域取得的成绩的认可，认为创蓝253已经完全具备走出中国，与国际巨头竞争的实力。同时也表达了东信和平与创蓝253携手开拓印度市场足够的信心。Garry指出：“东信和平在印度市场耕耘多年，目前不仅向印度国家银行提供智能卡，还为信实通信、塔塔电信服务、Airtel和沃达丰供应手机芯片，从而与政府、金融机构和电信运营商维持了密切的合作伙伴关系。凭借这些资源，东信和平早就想进军印度的短信市场，可惜局限于自身在短信领域技术基础的薄弱一直没有将计划付诸于行动。而创蓝253恰恰可以弥补这一不足。“创蓝国际总经理林江斌也非常期待与东信和平的合作，他说：“创蓝253在国内短信市场有8年的发展历程，无论是服务经验，还是技术实力在中国甚至是国际上都处于第一梯队。而印度作为中国的邻国，又是国内出海企业的首选目的地之一，理所当然的被创蓝国际纳入布局国际市场的重要目标。相信通过与东信和平的资源整合，创蓝国际能够迅速切入印度庞大的短信服务以及相关企业服务市场。“林江斌还指出，印度市场只是开始，与此同时，东南亚、中东、非洲的当地合作伙伴也已经在洽谈之中。创蓝国际拓展海外市场不仅仅是为了自身的发展壮大，更是要打破国际短信市场被巨头垄断的局面，为国内出海企业提供低成本，高质量的短信服务。为中国出海企业以及海外当地企业提升市场和服务质量，是创蓝国际的目标和使命。最后，创蓝国际与东信和平公司代表Garry意见达成一致，计划共同出资在印度建立合资公司，并签订了合资意向备忘录。
24小时客服
请点击咨询客服
验证加载中……}