|
没丢手机,没丢卡,没扫二维码 没点链接,没连WiFi,没被换卡 钱怎么就不见了? 近日,某网友一夜之间手机收到的100多条验证码被劫持,支付宝等账号被盗刷还欠上贷款,实属骇人听闻。 其实,盗刷时有发生,从近期360手机先赔用户举报的案件来看,遭遇盗刷的用户都是由于泄露了手机验证码! 比如河北的王先生,接到代办贷款业务的电话,声称只要提供身份证、工作信息、近期有交易流水且有存款的银行卡、银行卡预留电话即可办理,并索要他的验证码信息,随后收到银行扣款通知。 比如江西的大学生张同学,收到机票改签的短信,与短信中预留的客服联系,对方准确说出了他的各项身份信息以及订单信息,谎称退票需要支付滞纳金,要求用户提供银行卡账号。骗子多次索要验证码,导致多笔扣款。 往往,大家潜意识里认为,只要账户密码不透露给他人就是安全的,其实不然。不法分子在掌握了用户信息后,账户信息+验证码也可以完成支付行为! 接下来,我们就对网上银行快捷支付、银联等渠道支付环节进行还原,一探究竟,在用户没有产生支付行为的前提下,不法分子套取了交易验证码到底可以做什么? 网上银行支付 Step 1:银行账号+手机号验证 Step 2:输入动态验证码,即可完成付款 电商平台支付 快捷支付成为各大电商的主要付款方式之一。在电商平台首次选择快捷支付时,输入持卡信息+验证码,即可开通快捷支付功能并完成订单支付。 银联支付 Step 1:输入银行卡号 Step 2:输入动态验证码,即可完成付款 以上支付过程中手机获取的验证码,其实就是动态的支付密码,一旦泄露,骗子可以轻而易举的转空你钱! 验证码是什么? 从上述过程,主要涉及两种类型的验证码。 ① 登录验证码 完成用户身份验证;有效防止程序批量注册和登录。 ② 支付验证码 完成用户身份认证;确认订单信息并支付。实质就是动态支付密码。 守住验证码就一定安全吗? 并不是! · 目前很多App都有读取短信的权限,只要这些App中的任意一个存在漏洞,或者干脆本身就是恶意的,骗子读取你的短信验证码轻而易举! · 有些手机具有自动把短信备份到云端的功能,如果开启了这个功能,那么攻击者只要掌握了你的云端账号,就可以访问到短信。 · 虽然目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过GSM网络在发送,而GSM是非常容易被监听的。 “ 简单的密码基本没什么用, 都在黑客的密码字典里。 ” 个人隐私泄露多源头 用户信息泄露的渠道很多,黑客拖库、网站出售、各类电商订单等渠道都可以成为用户信息泄露的源头,比如订酒店提供的姓名、身份证号、手机号,如果该酒店管理不严或系统存在漏洞,用户会在一瞬间泄露三个关键信息。 隐私黑市贩卖明码标价 许多资金被盗、诈骗案件的背后都有地下黑库信息的推波助澜。隐私贩卖黑市上每天都有数据巨大的个人信息在集散、交易,“只有你想不到的,没有你买不到的”、“只提供一个手机号码,就能买到一个人的身份信息、通话记录、位置信息、打车记录等多项隐私”,这些隐私明码标价,所能购买的信息覆盖面之广令人震惊。 |
|
|
