簡訊驗證碼成隱私安全「不定時炸彈」,是時候退出江湖了?
現在用戶登錄帳號,輸入手機號碼獲取簡訊驗證碼已經成為了標準流程,但殊不知,這樣我們已經習以為常的操作,背後竟也暗藏著信息泄露的風險。
一夜間,一無所有
前幾個月豆瓣上一篇帖子很火。一位名叫「獨釣寒江雪」的用戶在小站里發帖稱自己半夜發現手機一下接收了一百多條驗證碼,支付寶、京東、銀行什麼都有,之後檢查相關餘額寶與卡里餘額發現錢都被轉走了,相關平台還開了白條、借款功能,共被借走了一萬多。
這位被坑害的網友表示自己「這下一無所有了」,從他的描述上看,有用戶猜測這是通過無線監聽竊取了驗證碼簡訊。
簡訊驗證碼不安全因素一下就浮上了水面。並且這早已不是孤例,科技君搜集新聞了解到,像這種類似的「半夜收驗證碼把錢盜走」的事件已經頻頻出現。
按道理說,手機就在自己身邊,號碼只有一個,是誰偷看了自己的簡訊驗證碼,還順利完成了轉移資金等一系列操作?
簡訊驗證存漏洞
據了解,這是不法分子通過「GSM劫持+簡訊嗅探」技術,實時獲取用戶手機簡訊內容,竊取用戶信息,盜刷用戶賬戶。
不法分子先使用偽基站自動搜索附近的手機號,再通過登錄其他一些網站,就會從中碰撞你的身份信息,稱之為「撞庫」(即多個資料庫之間碰撞),將你的身份信息匹配出來,反查到用戶的姓名、身份證號、銀行賬號等信息,然後在某些網站啟動註冊或交易,並利用和用戶位置相近的特點竊取用戶簡訊驗證碼。
最後,不法分子在一些平台開通賬號並綁定事主銀行卡,冒充事主消費或套現,從而盜取事主銀行卡資金。
就這樣,許多人手機上莫名其妙接到一堆驗證碼的時候,錢就已經都「飛走了」。
如何升級驗證安全?
接受驗證碼作為目前簡訊僅剩的有效功能,職責無非是「驗明正身」——幾乎所有和安全有關的操作,都要這個步驟來證明此操作是由本人親自進行。
不過為什麼非得是用簡訊來驗證身份呢?
現在對於身份的認證,多是採用「多因子認證」的邏輯,就像出境過海關時,我們需要護照、指紋、面部識別這多重檢驗來證明「我就是我」,而現在手機號碼已經採用了實名制,加上智能手機的普及,在互聯網中驗證身份,簡訊驗證以此得到了推行。
但是隨著安全漏洞與隱私泄露問題接二連三地被爆出,簡訊驗證逐漸讓用戶意識到其並不靠譜。一旦手機的信號遭到劫持,簡訊驗證碼反而成了一顆安全「不定時炸彈」,隨時引爆自己的隱私與網上財產。
那麼簡訊驗證碼是不是到了該退出江湖的時候?沒有了簡訊驗證,我們要驗證身份又靠什麼才能更安全呢?
現階段,要淘汰掉簡訊驗證碼還並不現實,畢竟這是目前性價比最高的驗證方式,在成本、安全與便捷三個方面均能滿足。並且有一點比較值得人放心的是,現在攔截技術普遍只能攔截到2G網路,不過目前智能手機普遍都使用3G或者4G網路,網路的迭代升級,也提高了不法分子犯罪的風險與難度。作為2G網路手用戶,也可以嘗試開通VoLTE功能,避免簡訊被GSM攔截。
在今天,各公司在設計業務安全體系的時候,對簡訊驗證的信任度需要也相應調低了一些,至少需要結合地理位置信息、設備信息、用戶特徵等等來綜合判斷,而不會僅憑一個簡訊驗證碼就確定用戶身份。
同時,網路平台已經逐步在推廣要求用戶主動發送簡訊用以驗證身份,使用語音通話傳輸驗證碼,將用戶常用設備和賬號綁定,採用指紋識別、人臉識別等生物特徵識別技術,同時隨機選擇多種方式進行驗證。
※打遊戲也能進入亞運會為國爭光,但目前它卻是最殘酷的競技項目
TAG:科技微分享 |