遠(yuǎn)離消費(fèi)陷阱，提升消費(fèi)體驗(yàn)，黑貓投訴平臺(tái)全天候服務(wù)，您的每一條投訴，都在改變這個(gè)世界。[投訴，就上黑貓！]

　　來(lái)源：IT時(shí)報(bào)

　　作者： 吳雨欣 

　　摘要：記者實(shí)測(cè)：短信驗(yàn)證碼+身份證信息可以支付、轉(zhuǎn)賬、修改密碼 專(zhuān)家提醒：不要輕易泄露你的身份證號(hào)碼

　　沒(méi)丟手機(jī)、沒(méi)丟卡，沒(méi)掃二維碼沒(méi)點(diǎn)鏈接，沒(méi)連WiFi沒(méi)被遠(yuǎn)程換卡，只是睡了一覺(jué)便資產(chǎn)全無(wú)。當(dāng)手機(jī)中的應(yīng)用越來(lái)越多、綁定的服務(wù)也越來(lái)越多時(shí)，誰(shuí)會(huì)想到短信驗(yàn)證碼引發(fā)的連鎖反應(yīng)，能讓一個(gè)人在一夜間存款為零？

　　8月1日，網(wǎng)友“獨(dú)釣寒江雪”的手機(jī)在半夜連續(xù)接到100條短信驗(yàn)證碼，她醒來(lái)發(fā)現(xiàn)不僅自己的支付寶、銀行賬戶(hù)被盜，還被貸了款�！禝T時(shí)報(bào)》記者通過(guò)“獨(dú)釣寒江雪”描述的被騙經(jīng)過(guò)，試著重走“幕后黑手”攻擊之路發(fā)現(xiàn)，整個(gè)鏈條風(fēng)譎云詭、環(huán)環(huán)緊扣�！蔼�(dú)釣寒江雪”被黑客掌握的不僅僅是手機(jī)短信驗(yàn)證碼，還有她的身份證等個(gè)人信息，而有了這些，黑客完全可以做到交叉驗(yàn)證修改你的登錄、支付密碼。

　　專(zhuān)家提醒，當(dāng)越來(lái)越多的網(wǎng)站要求你填寫(xiě)身份證信息時(shí)，一定要審慎填寫(xiě)，而銀行、第三方支付、互聯(lián)網(wǎng)企業(yè)在驗(yàn)證“你是你”時(shí)，不要過(guò)度依賴(lài)手機(jī)短信。

　　新聞事件調(diào)查

　　一覺(jué)醒來(lái) 賬戶(hù)被盜刷

　　8月1日，網(wǎng)友“獨(dú)釣寒江雪”在網(wǎng)上發(fā)帖，稱(chēng)其在7月30日凌晨5點(diǎn)多醒來(lái)后，發(fā)現(xiàn)手機(jī)一直在震，來(lái)自支付寶、京東、銀行等網(wǎng)站發(fā)來(lái)的100多條驗(yàn)證碼密密麻麻，時(shí)間都在7月30日凌晨1點(diǎn)至4點(diǎn)之間。 “獨(dú)釣寒江雪”一下睡意全無(wú)，查詢(xún)名下賬戶(hù)時(shí)發(fā)現(xiàn)，不僅支付寶、余額寶、余額和關(guān)聯(lián)銀行的錢(qián)都被轉(zhuǎn)走，騙子還在京東開(kāi)通了金條、白條功能，借款1萬(wàn)多元�！蔼�(dú)釣寒江雪”不明白，為什么手機(jī)在自己手里，驗(yàn)證碼沒(méi)有告訴任何人，騙子卻像另一個(gè)自己一樣，熟練地操作所有的賬戶(hù)。

　　支付寶回應(yīng)：

　　操作者通過(guò)了多個(gè)驗(yàn)證因子

　　“獨(dú)釣寒江雪”的遭遇在網(wǎng)上引發(fā)熱議，支付寶成立調(diào)查小組，復(fù)原其1點(diǎn)42分至3點(diǎn)21分的支付寶賬戶(hù)狀態(tài)發(fā)現(xiàn)，騙子在登錄支付寶賬戶(hù)后修改了登錄密碼、支付密碼、綁定銀行卡之后便開(kāi)始網(wǎng)上購(gòu)物，并三次通過(guò)支付密碼將支付寶的資金提現(xiàn)到用戶(hù)名下的銀行卡，最后再將銀行卡中的錢(qián)轉(zhuǎn)走。

　　支付寶相關(guān)人士告訴《IT時(shí)報(bào)》記者，“獨(dú)釣寒江雪”第一次聯(lián)系支付寶理賠時(shí)，支付寶拒絕了，因?yàn)閺馁~戶(hù)當(dāng)晚操作的狀態(tài)來(lái)看，像是賬戶(hù)本人或是熟人操作，登錄賬戶(hù)、修改密碼、購(gòu)物、提現(xiàn)的校驗(yàn)全部一次通過(guò)。

　　“這件事比較罕見(jiàn)，操作者驗(yàn)證通過(guò)了多個(gè)校驗(yàn)因子，包括短信驗(yàn)證碼、用戶(hù)的多個(gè)個(gè)人信息，而且絕大多數(shù)錢(qián)都轉(zhuǎn)到了用戶(hù)自己的銀行卡上，這和以前出現(xiàn)的被盜案子不太一樣�！敝Ц秾氄{(diào)查小組認(rèn)為，保險(xiǎn)公司第一次判定拒賠的原因，是從操作狀態(tài)來(lái)看，極像本人或身邊人操作，短信驗(yàn)證碼等所有驗(yàn)證手段均一次性成功通過(guò)，給判斷這起案例的性質(zhì)帶來(lái)了極大困難。現(xiàn)在，支付寶會(huì)先行全額補(bǔ)償用戶(hù)的損失，配合警方，對(duì)案件進(jìn)行處理。

　　安全專(zhuān)家分析：

　　短信嗅探、木馬都有可能

　　發(fā)帖中，“獨(dú)釣寒江雪”猜測(cè)自己遭遇了GSM劫持+短信嗅探。這是一種新型偽基站詐騙手段，利用GSM 2G網(wǎng)絡(luò)的設(shè)計(jì)缺陷，實(shí)現(xiàn)不接觸目標(biāo)手機(jī)就能獲得手機(jī)所接收到的驗(yàn)證短信，進(jìn)而利用各大銀行、網(wǎng)站、移動(dòng)支付App存在的技術(shù)漏洞和缺陷，實(shí)現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等犯罪。騙子多在用戶(hù)睡熟的深夜操作，黑客可以看到這個(gè)基站區(qū)域內(nèi)所有用戶(hù)收到的短信，從而獲取短信內(nèi)驗(yàn)證碼等敏感信息，而他做這一切的時(shí)候，用戶(hù)毫無(wú)知覺(jué)。

　　在這個(gè)過(guò)程中，黑客就像是一條經(jīng)過(guò)專(zhuān)業(yè)訓(xùn)練的獵犬，在黑暗中悄無(wú)聲息地辨別事物，因此被專(zhuān)業(yè)人士稱(chēng)為“短信嗅探”。

　　一位運(yùn)營(yíng)商內(nèi)部人士告訴《IT時(shí)報(bào)》記者，“短信嗅探”涉及的關(guān)鍵技術(shù)缺陷是GSM通信協(xié)議采用的單向鑒權(quán)方式，鑒權(quán)弱、明文傳輸?shù)谋锥耍�很容易被劫持，目前中�?guó)移動(dòng)與中國(guó)聯(lián)通的短信仍然是通過(guò)2G的GSM網(wǎng)絡(luò)制式傳輸，而中國(guó)電信采用的是CDMA網(wǎng)絡(luò)，由于CDMA網(wǎng)絡(luò)會(huì)對(duì)每一次通話、短信的過(guò)程進(jìn)行鑒權(quán)，鑒權(quán)的過(guò)程相當(dāng)復(fù)雜，且秘鑰只在網(wǎng)絡(luò)核心側(cè)和基站側(cè)之間傳輸，不法分子無(wú)法獲取，也無(wú)法通過(guò)鑒權(quán)攔截用戶(hù)的短信。

　　截至目前，從警方偵辦的案例來(lái)看，確實(shí)尚未發(fā)現(xiàn)中國(guó)電信用戶(hù)遭受該類(lèi)技術(shù)攻擊的情況。

　　“五六年前，我的同事就曾經(jīng)試過(guò)，監(jiān)聽(tīng)短信很簡(jiǎn)單，偽基站覆蓋范圍內(nèi)，所有受影響的2G手機(jī)短信都會(huì)被監(jiān)聽(tīng)，但現(xiàn)在手機(jī)大多升級(jí)到4G，這意味著攻擊者的門(mén)檻更高了，成功概率更低了�！本W(wǎng)絡(luò)安全專(zhuān)家李鐵軍告訴《IT時(shí)報(bào)》記者，雖然通過(guò)持續(xù)的信號(hào)干擾能讓熟睡中的人們手機(jī)信號(hào)一直處于2G狀態(tài)，但會(huì)被無(wú)線電監(jiān)管部門(mén)發(fā)現(xiàn)。除了GSM劫持+短信嗅探，此外，其他可能性也應(yīng)考慮到，比如某個(gè)App同步備份了短信內(nèi)容。

　　“手機(jī)中木馬也可以竊取用戶(hù)通訊錄和短信內(nèi)容，如果受害者中了類(lèi)似木馬，可能難以及時(shí)發(fā)現(xiàn)�！睆V州凌晨網(wǎng)絡(luò)科技有限公司DLG安全研究實(shí)驗(yàn)室的“白帽子”告訴《IT時(shí)報(bào)》記者，雖然從案例分析，本案并不像被釣魚(yú)Wi-Fi攻擊導(dǎo)致，但用戶(hù)也應(yīng)注意到，“釣魚(yú)熱點(diǎn)”和“寄生蟲(chóng)熱點(diǎn)”是現(xiàn)在惡意Wi-Fi攻擊常見(jiàn)的攻擊方式，一旦用戶(hù)連上“寄生蟲(chóng)熱點(diǎn)”，熱點(diǎn)上的惡意程序會(huì)不斷捕捉和篡改用戶(hù)信息。

　　記者實(shí)測(cè)

　　短信驗(yàn)證碼+身份證信息能做啥？

　　8月6日至8月8日，《IT時(shí)報(bào)》記者選取部分樣本，根據(jù)“獨(dú)釣寒江雪”被騙的經(jīng)過(guò)，假設(shè)自己已遭到GSM劫持+短信嗅探，分別嘗試登錄銀行、移動(dòng)支付、電商網(wǎng)站、社交平臺(tái)及電子郵箱，看看究竟我們的網(wǎng)絡(luò)生活是否安全。

　　第一波 銀行+支付類(lèi)App：手機(jī)+驗(yàn)證碼+身份證號(hào) 便可在線轉(zhuǎn)賬

　　8月7日，記者嘗試在非常用手機(jī)上登錄同事的招商銀行掌上生活A(yù)pp，登錄需要兩個(gè)步驟的驗(yàn)證，短信驗(yàn)證碼+手勢(shì)密碼，而修改手勢(shì)密碼只需要用戶(hù)的身份證號(hào)。

　　雖然同事還設(shè)置了面部識(shí)別登錄，但因?yàn)橛浾咭呀?jīng)修改了手勢(shì)密碼，面容登錄即被關(guān)閉。若要在App里動(dòng)用資金，修改支付密碼和開(kāi)通小額免密功能，操作人需要輸入信用卡的安全碼、有效期、查詢(xún)密碼、驗(yàn)證碼或者輸入持卡人借記卡的姓名、身份證號(hào)、手機(jī)號(hào)碼、驗(yàn)證碼。因此，如果用戶(hù)的信用卡卡面信息或是銀行卡號(hào)賬戶(hù)泄露，賬戶(hù)即可完全被他人操作，但這個(gè)攻擊場(chǎng)景相對(duì)難度較高。

　　與此相比，登錄支付寶及修改支付寶密碼則顯得容易得多。記者同樣使用自己的手機(jī)嘗試登錄同事的支付寶賬戶(hù)發(fā)現(xiàn)，只需知道短信驗(yàn)證碼、手機(jī)號(hào)及用戶(hù)姓名即可登錄，如果再掌握主人的身份證號(hào)，還能修改支付密碼，于是記者成功修改了同事的支付密碼，完成了手機(jī)充值、轉(zhuǎn)賬等操作。

　　京東錢(qián)包和京東金融同樣通過(guò)用戶(hù)手機(jī)號(hào)、短信驗(yàn)證碼、用戶(hù)姓名就可以對(duì)用戶(hù)的登錄密碼進(jìn)行修改，修改支付密碼的驗(yàn)證步驟也比銀行簡(jiǎn)單得多，只需短信驗(yàn)證碼、轉(zhuǎn)賬卡號(hào)和用戶(hù)身份證號(hào)即可修改支付密碼并轉(zhuǎn)賬。如果要在京東金融中貸款，則需要完善用戶(hù)的基本信息，比如姓名、身份證號(hào)、手機(jī)號(hào)、學(xué)校、學(xué)歷、家庭地址、月收入、工作地址，并要在刷臉認(rèn)證中掃描身份證并進(jìn)行人臉識(shí)別。

　　測(cè)試發(fā)現(xiàn)，如果黑客通過(guò)“短信嗅探”控制了你的手機(jī)短信驗(yàn)證碼，同時(shí)根據(jù)手機(jī)號(hào)碼在此前已經(jīng)掌握的各種信息“社工庫(kù)”中找到你的身份證姓名和號(hào)碼，那么攻擊相對(duì)要容易得多，“獨(dú)釣寒江雪”的情況很可能就屬于這種。

　　第二波 電商+社交+郵箱類(lèi)App：僅需手機(jī)+驗(yàn)證碼

　　相較資金賬戶(hù)，登錄電商、社交、郵箱等互聯(lián)網(wǎng)應(yīng)用就顯得輕松許多，手機(jī)加短信驗(yàn)證碼即可登錄淘寶、京東、網(wǎng)易考拉、網(wǎng)易郵箱、189郵箱。

　　登錄QQ與微信需要勾選好友頭像、滑動(dòng)拼圖等二次驗(yàn)證，《IT時(shí)報(bào)》記者嘗試用已被攻破的同事支付寶賬戶(hù)直接登錄了她名下的淘寶賬戶(hù)，家庭地址、公司地址、聯(lián)系方式一目了然，再加上之前記者已提前修改了支付密碼，充值或網(wǎng)購(gòu)全無(wú)障礙。

　　修改京東的支付密碼則需要驗(yàn)證6位原數(shù)字密碼、短信驗(yàn)證碼，再加一張用戶(hù)名下的銀行卡號(hào)。

　　微信、QQ雖是社交應(yīng)用，但亦涉及微信錢(qián)包、QQ錢(qián)包，即使記者成功登錄他人微信或QQ，在支付時(shí)依然需要輸入用戶(hù)原支付密碼來(lái)驗(yàn)證身份。但與支付寶類(lèi)似，如果掌握了用戶(hù)的姓名、銀行卡號(hào)、身份證號(hào)及短信驗(yàn)證碼，即可成功修改用戶(hù)的支付密碼。

　　測(cè)試結(jié)果表明，銀行類(lèi)App安全性最高，支付寶、微信支付次之，大部分電商、社交、郵箱類(lèi)App雖只需手機(jī)號(hào)和短信驗(yàn)證碼即可登錄，但若涉及支付環(huán)節(jié)，需要更多個(gè)人信息進(jìn)行驗(yàn)證。

　　深度分析

　　風(fēng)險(xiǎn)根源：隱私數(shù)據(jù)的泄露

　　通過(guò)上述測(cè)試不難發(fā)現(xiàn)，用戶(hù)即使遭遇了GSM劫持+短信嗅探，但若沒(méi)有泄露個(gè)人信息，騙子只能登錄賬戶(hù)，無(wú)法完成支付、轉(zhuǎn)賬等操作。

　　風(fēng)險(xiǎn)根源在于信息泄露，黑產(chǎn)攻擊會(huì)考慮性?xún)r(jià)比，根據(jù)目標(biāo)價(jià)值采用相應(yīng)的技術(shù)手段，對(duì)于普通網(wǎng)民來(lái)說(shuō)，從隱私數(shù)據(jù)入手，依然是最廉價(jià)的。

　　“簡(jiǎn)單的密碼基本沒(méi)什么用，都在黑客的密碼字典里�！崩铊F軍說(shuō)，密碼絕大部分是加密存儲(chǔ)，有一個(gè)秘文，通過(guò)解密算法也無(wú)法得到明文，但此前有些網(wǎng)站的數(shù)據(jù)庫(kù)明文加密文一起泄露，而明文和密文構(gòu)成一張表，這就是黑客的密碼字典。

　　“早在幾年前，信息泄露的數(shù)據(jù)量以?xún)|計(jì)算，黑客手中掌握的社工庫(kù)數(shù)據(jù)有上百億條。除非特別復(fù)雜、個(gè)性且經(jīng)常更換的密碼，否則基本都在黑客的密碼字典里�！崩铊F軍告訴《IT時(shí)報(bào)》記者。

　　許多資金被盜、詐騙案件的背后都有地下黑庫(kù)信息的推波助瀾。日常生活中，用戶(hù)信息泄露的渠道很多，黑客拖庫(kù)、網(wǎng)站出售、各類(lèi)電商訂單等渠道都可以成為用戶(hù)信息遭泄露、販賣(mài)的源頭，比如訂酒店提供的姓名、身份證號(hào)、手機(jī)號(hào)，如果該酒店管理不嚴(yán)或系統(tǒng)存在漏洞，用戶(hù)會(huì)在一瞬間泄露三個(gè)關(guān)鍵信息。

　　網(wǎng)絡(luò)黑產(chǎn)的工作流程是怎樣的？廣州凌晨網(wǎng)絡(luò)科技有限公司DLG安全研究實(shí)驗(yàn)室人士告訴《IT時(shí)報(bào)》記者，這條產(chǎn)業(yè)鏈分工明確，是有組織、有計(jì)劃的團(tuán)伙式犯罪行為。過(guò)程大致分為開(kāi)發(fā)制作、批發(fā)零售、詐騙實(shí)施、分贓銷(xiāo)贓四個(gè)流程。有人專(zhuān)門(mén)負(fù)責(zé)制作釣魚(yú)編輯、木馬開(kāi)發(fā)、偽基站等黑產(chǎn)需要的軟硬件，之后通過(guò)釣魚(yú)零售商、域名販子將這些工具分銷(xiāo)出去，再由小馬仔去線下實(shí)施布點(diǎn)或線上詐騙，錢(qián)成功騙到后還有專(zhuān)門(mén)的財(cái)務(wù)會(huì)計(jì)將這部分資金洗白，比如通過(guò)人民幣購(gòu)買(mǎi)Q幣，再將Q幣賣(mài)出去。洗白后的錢(qián)，通過(guò)分贓中間人進(jìn)行分贓銷(xiāo)贓，“在這條黑產(chǎn)鏈條中，銀行卡販子、電話卡販子、身份證販子雖然也算是黑產(chǎn)中的一員，但比較邊緣化�！鄙鲜霭酌弊臃Q(chēng)。

　　中國(guó)到底有多少用戶(hù)的信息被泄露很難統(tǒng)計(jì)，但從今年7月山東破獲的一起特大侵犯公民個(gè)人信息案中可見(jiàn)一斑，在這起案件中，公安機(jī)關(guān)共查獲公民信息數(shù)據(jù)4000GB、數(shù)百億條，此案涉及的數(shù)據(jù)隱私性高，包含了手機(jī)號(hào)、上網(wǎng)基站代碼等40余項(xiàng)信息要素，記錄了每個(gè)手機(jī)用戶(hù)具體的上網(wǎng)行為，甚至部分?jǐn)?shù)據(jù)能夠直接進(jìn)入公民個(gè)人賬號(hào)主頁(yè)。

　　記者手記

　　不要不把身份證號(hào)當(dāng)回事

　　看到“獨(dú)釣寒江雪”的經(jīng)歷，再與幾位安全專(zhuān)家聊完后，記者感覺(jué)自己宛若一個(gè)“網(wǎng)絡(luò)透明人”，一口氣改掉了多個(gè)密碼，刪掉了早些年設(shè)置的密保問(wèn)題，專(zhuān)家打趣道：你能意識(shí)到自己是透明的，反而更安全。

　　當(dāng)我們習(xí)慣于把生活轉(zhuǎn)移至互聯(lián)網(wǎng)上時(shí)，那些行為軌跡在網(wǎng)絡(luò)上難以抹去，帶著個(gè)人信息的各種數(shù)據(jù)在互聯(lián)網(wǎng)上幾乎隨處可見(jiàn)，并可輕易獲得。李彥宏曾說(shuō)，中國(guó)的消費(fèi)者愿意為一些利益提供自己的數(shù)據(jù)，雖然此觀點(diǎn)被網(wǎng)民狂噴，但事實(shí)上反思一下，你是不是也曾為了“薅點(diǎn)羊毛”，在某個(gè)網(wǎng)站上實(shí)名注冊(cè)了自己的身份信息？

　　此外，隨著手機(jī)實(shí)名制日益普及，越來(lái)越多的互聯(lián)網(wǎng)企業(yè)將手機(jī)短信驗(yàn)證碼作為自己的安全屏障。各大銀行網(wǎng)上銀行、網(wǎng)上商城、團(tuán)購(gòu)網(wǎng)站、票務(wù)公司等企業(yè)使用短信驗(yàn)證，確實(shí)可以依賴(lài)于手機(jī)卡實(shí)名制，大大降低非法注冊(cè)。

　　然而，當(dāng)手機(jī)短信驗(yàn)證碼可以登錄、修改密碼等操作出現(xiàn)在直接或間接與資金相關(guān)聯(lián)的應(yīng)用時(shí)，大家似乎忽略了，你與賬戶(hù)之間只有一條驗(yàn)證碼。建立在2G GSM網(wǎng)絡(luò)上的短信驗(yàn)證，猶如將互聯(lián)網(wǎng)賬戶(hù)安全大廈建立在沙灘上，很容易被黑客釜底抽薪。

　　當(dāng)然，安全與便捷從彼此出生的那天起，便如同坐上蹺蹺板，此高彼低，從目前來(lái)看，也確實(shí)很難找到比短信更加方便、快捷并可大范圍應(yīng)用的驗(yàn)證方式。然而，道高一尺魔高一丈，當(dāng)黑客的技術(shù)在不斷進(jìn)步，攻破互聯(lián)網(wǎng)上的一道道防線時(shí)，各家互聯(lián)網(wǎng)公司是不是也可以將自己的防護(hù)墻摞的更高一些？事實(shí)上，有專(zhuān)家表示，除了短信驗(yàn)證碼，互聯(lián)網(wǎng)公司完全可以通過(guò)設(shè)備信息、地理信息等更多數(shù)據(jù)進(jìn)行內(nèi)部邏輯循環(huán)判斷，這個(gè)動(dòng)作并不會(huì)在前端影響用戶(hù)體驗(yàn)，卻可以更好判斷“你就是你”。

　　希望，一條驗(yàn)證碼讓人傾家蕩產(chǎn)的案件只是個(gè)例。