在當下這個年代,幾乎是人人都在用手機,只要在用手機,就沒有不知道短信驗證碼的。隨著手機更新換代的速度變快,各大APP也隨之誕生。壹般要使用APP,都需要進行登錄認證,最常見的就是將手機號碼作為身份認證。因為手機使用率很高,電話號碼又具有唯壹性。
仔細數壹數,我們每個人的手機號可能都綁定了很多賬號。比如說支付寶、微信、騰訊視頻等,綁定的賬號越多,觸碰到的個人信息也就會越多。短信驗證碼的呈現方式,相信大家並不陌生,壹般妳註冊賬號的時候會收到壹個隨機的驗證碼短信,內容大多為:“尊敬的顧客,您在某某網站註冊,驗證碼為:xxxxxx,請您在半小時內使用,過期無效。”
當妳填寫驗證碼後,就通過了註冊。如果妳沒有在規定時間裏填入驗證碼,就可以再次點擊“發送驗證碼”按鈕,系統就會再次發送短信,進行第二次的驗證,從而確定用戶對手機號碼的所有權。
在當下移動手機占據市場的環境下,短信驗證碼會時常出現在我們的日常生活裏,那麽短信驗證碼有沒有隱患呢?
肯定是有的,目前來說,短信驗證碼的威脅主要有幾方面:
第壹,智能手機平臺上的短信木馬。 手機木馬是2014年春天開始大量出現的,主要以安卓平臺為主。木馬進入手機最重要的壹個方式就是釣魚短信,尤其在當下,客戶要去企事業單位辦事,後續反饋基本都是通過短信的方式來告知的,比如銀行、支付企業、政務單位等的通知。這種信任就會讓釣魚短信有施展空間,釣魚短信總是會以各種官方的語氣來發送內容,裏面都會有壹個鏈接。用戶被誘導後就會點擊進去,有壹個APK下載下來提示安裝,壹旦安裝,手機就中了木馬。
而且木馬的傳播非常迅速,會悄悄的給手機上的聯系人發送各種釣魚短信,以此擴大。
在支付寶大盜分析報告裏可以看到很多案例,其中有壹類木馬就廣泛用於支付寶詐騙,不法分子誘騙受害者通過二維碼下載安裝木馬,隨後重置受害者的支付寶、淘寶賬戶盜取錢財。這類木馬已經形成了非常完整的產業鏈:從制馬人員到售馬、租馬、到實施釣魚、欺騙、洗號、轉移錢財。
第二, 補卡攻擊、克隆攻擊。 短信驗證碼事實上是基於手機號(SIM卡/運營商服務),而不是基於手機設備。只要有相同的壹張卡,自然就可以接收到驗證碼,並且對賬號進行重置。根據運營商的說法,辦理補卡業務需要提供身份證和服務密碼,如果忘記服務密碼,還需要提供最近五次的電話聯系記錄。這裏的薄弱環節主要在於部分地區的運營商對補卡人員身份驗證不夠嚴格。在早年SIM卡構造簡單的時候,甚至還能直接去克隆壹張卡出來。不過近些年隨著技術的進步,這方面的管理也越來越嚴格了。
第三,無線電監聽方面。 其實就是通過偽基站對用戶進行監聽,從而獲得短信內容,然後進行盜竊活動。
目前針對這三方面,安卓系統已經收緊了短信權限,同時運營商在維護方面也加強了安全意識,現在的管理也越來越嚴格。