遠離消費陷阱，提升消費體驗，黑貓投訴平臺全天候服務(wù)，您的每一條投訴，都在改變這個世界。[投訴，就上黑貓！]

　　來源：IT時報

　　作者： 吳雨欣 

　　摘要：記者實測：短信驗證碼+身份證信息可以支付、轉(zhuǎn)賬、修改密碼 專家提醒：不要輕易泄露你的身份證號碼

　　沒丟手機、沒丟卡，沒掃二維碼沒點鏈接，沒連WiFi沒被遠程換卡，只是睡了一覺便資產(chǎn)全無。當手機中的應(yīng)用越來越多、綁定的服務(wù)也越來越多時，誰會想到短信驗證碼引發(fā)的連鎖反應(yīng)，能讓一個人在一夜間存款為零？

　　8月1日，網(wǎng)友“獨釣寒江雪”的手機在半夜連續(xù)接到100條短信驗證碼，她醒來發(fā)現(xiàn)不僅自己的支付寶、銀行賬戶被盜，還被貸了款�！禝T時報》記者通過“獨釣寒江雪”描述的被騙經(jīng)過，試著重走“幕后黑手”攻擊之路發(fā)現(xiàn)，整個鏈條風譎云詭、環(huán)環(huán)緊扣�！蔼氠灪�江雪”被黑客掌握的不僅僅是手機短信驗證碼，還有她的身份證等個人信息，而有了這些，黑客完全可以做到交叉驗證修改你的登錄、支付密碼。

　　專家提醒，當越來越多的網(wǎng)站要求你填寫身份證信息時，一定要審慎填寫，而銀行、第三方支付、互聯(lián)網(wǎng)企業(yè)在驗證“你是你”時，不要過度依賴手機短信。

　　新聞事件調(diào)查

　　一覺醒來 賬戶被盜刷

　　8月1日，網(wǎng)友“獨釣寒江雪”在網(wǎng)上發(fā)帖，稱其在7月30日凌晨5點多醒來后，發(fā)現(xiàn)手機一直在震，來自支付寶、京東、銀行等網(wǎng)站發(fā)來的100多條驗證碼密密麻麻，時間都在7月30日凌晨1點至4點之間。 “獨釣寒江雪”一下睡意全無，查詢名下賬戶時發(fā)現(xiàn)，不僅支付寶、余額寶、余額和關(guān)聯(lián)銀行的錢都被轉(zhuǎn)走，騙子還在京東開通了金條、白條功能，借款1萬多元�！蔼氠灪�江雪”不明白，為什么手機在自己手里，驗證碼沒有告訴任何人，騙子卻像另一個自己一樣，熟練地操作所有的賬戶。

　　支付寶回應(yīng)：

　　操作者通過了多個驗證因子

　　“獨釣寒江雪”的遭遇在網(wǎng)上引發(fā)熱議，支付寶成立調(diào)查小組，復(fù)原其1點42分至3點21分的支付寶賬戶狀態(tài)發(fā)現(xiàn)，騙子在登錄支付寶賬戶后修改了登錄密碼、支付密碼、綁定銀行卡之后便開始網(wǎng)上購物，并三次通過支付密碼將支付寶的資金提現(xiàn)到用戶名下的銀行卡，最后再將銀行卡中的錢轉(zhuǎn)走。

　　支付寶相關(guān)人士告訴《IT時報》記者，“獨釣寒江雪”第一次聯(lián)系支付寶理賠時，支付寶拒絕了，因為從賬戶當晚操作的狀態(tài)來看，像是賬戶本人或是熟人操作，登錄賬戶、修改密碼、購物、提現(xiàn)的校驗全部一次通過。

　　“這件事比較罕見，操作者驗證通過了多個校驗因子，包括短信驗證碼、用戶的多個個人信息，而且絕大多數(shù)錢都轉(zhuǎn)到了用戶自己的銀行卡上，這和以前出現(xiàn)的被盜案子不太一樣。”支付寶調(diào)查小組認為，保險公司第一次判定拒賠的原因，是從操作狀態(tài)來看，極像本人或身邊人操作，短信驗證碼等所有驗證手段均一次性成功通過，給判斷這起案例的性質(zhì)帶來了極大困難。現(xiàn)在，支付寶會先行全額補償用戶的損失，配合警方，對案件進行處理。

　　安全專家分析：

　　短信嗅探、木馬都有可能

　　發(fā)帖中，“獨釣寒江雪”猜測自己遭遇了GSM劫持+短信嗅探。這是一種新型偽基站詐騙手段，利用GSM 2G網(wǎng)絡(luò)的設(shè)計缺陷，實現(xiàn)不接觸目標手機就能獲得手機所接收到的驗證短信，進而利用各大銀行、網(wǎng)站、移動支付App存在的技術(shù)漏洞和缺陷，實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等犯罪。騙子多在用戶睡熟的深夜操作，黑客可以看到這個基站區(qū)域內(nèi)所有用戶收到的短信，從而獲取短信內(nèi)驗證碼等敏感信息，而他做這一切的時候，用戶毫無知覺。

　　在這個過程中，黑客就像是一條經(jīng)過專業(yè)訓(xùn)練的獵犬，在黑暗中悄無聲息地辨別事物，因此被專業(yè)人士稱為“短信嗅探”。

　　一位運營商內(nèi)部人士告訴《IT時報》記者，“短信嗅探”涉及的關(guān)鍵技術(shù)缺陷是GSM通信協(xié)議采用的單向鑒權(quán)方式，鑒權(quán)弱、明文傳輸?shù)谋锥�，很容易被劫持，目前中國移動與中國聯(lián)通的短信仍然是通過2G的GSM網(wǎng)絡(luò)制式傳輸，而中國電信采用的是CDMA網(wǎng)絡(luò)，由于CDMA網(wǎng)絡(luò)會對每一次通話、短信的過程進行鑒權(quán)，鑒權(quán)的過程相當復(fù)雜，且秘鑰只在網(wǎng)絡(luò)核心側(cè)和基站側(cè)之間傳輸，不法分子無法獲取，也無法通過鑒權(quán)攔截用戶的短信。

　　截至目前，從警方偵辦的案例來看，確實尚未發(fā)現(xiàn)中國電信用戶遭受該類技術(shù)攻擊的情況。

　　“五六年前，我的同事就曾經(jīng)試過，監(jiān)聽短信很簡單，偽基站覆蓋范圍內(nèi)，所有受影響的2G手機短信都會被監(jiān)聽，但現(xiàn)在手機大多升級到4G，這意味著攻擊者的門檻更高了，成功概率更低了。”網(wǎng)絡(luò)安全專家李鐵軍告訴《IT時報》記者，雖然通過持續(xù)的信號干擾能讓熟睡中的人們手機信號一直處于2G狀態(tài)，但會被無線電監(jiān)管部門發(fā)現(xiàn)。除了GSM劫持+短信嗅探，此外，其他可能性也應(yīng)考慮到，比如某個App同步備份了短信內(nèi)容。

　　“手機中木馬也可以竊取用戶通訊錄和短信內(nèi)容，如果受害者中了類似木馬，可能難以及時發(fā)現(xiàn)�！睆V州凌晨網(wǎng)絡(luò)科技有限公司DLG安全研究實驗室的“白帽子”告訴《IT時報》記者，雖然從案例分析，本案并不像被釣魚Wi-Fi攻擊導(dǎo)致，但用戶也應(yīng)注意到，“釣魚熱點”和“寄生蟲熱點”是現(xiàn)在惡意Wi-Fi攻擊常見的攻擊方式，一旦用戶連上“寄生蟲熱點”，熱點上的惡意程序會不斷捕捉和篡改用戶信息。

　　記者實測

　　短信驗證碼+身份證信息能做啥？

　　8月6日至8月8日，《IT時報》記者選取部分樣本，根據(jù)“獨釣寒江雪”被騙的經(jīng)過，假設(shè)自己已遭到GSM劫持+短信嗅探，分別嘗試登錄銀行、移動支付、電商網(wǎng)站、社交平臺及電子郵箱，看看究竟我們的網(wǎng)絡(luò)生活是否安全。

　　第一波 銀行+支付類App：手機+驗證碼+身份證號 便可在線轉(zhuǎn)賬

　　8月7日，記者嘗試在非常用手機上登錄同事的招商銀行掌上生活A(yù)pp，登錄需要兩個步驟的驗證，短信驗證碼+手勢密碼，而修改手勢密碼只需要用戶的身份證號。

　　雖然同事還設(shè)置了面部識別登錄，但因為記者已經(jīng)修改了手勢密碼，面容登錄即被關(guān)閉。若要在App里動用資金，修改支付密碼和開通小額免密功能，操作人需要輸入信用卡的安全碼、有效期、查詢密碼、驗證碼或者輸入持卡人借記卡的姓名、身份證號、手機號碼、驗證碼。因此，如果用戶的信用卡卡面信息或是銀行卡號賬戶泄露，賬戶即可完全被他人操作，但這個攻擊場景相對難度較高。

　　與此相比，登錄支付寶及修改支付寶密碼則顯得容易得多。記者同樣使用自己的手機嘗試登錄同事的支付寶賬戶發(fā)現(xiàn)，只需知道短信驗證碼、手機號及用戶姓名即可登錄，如果再掌握主人的身份證號，還能修改支付密碼，于是記者成功修改了同事的支付密碼，完成了手機充值、轉(zhuǎn)賬等操作。

　　京東錢包和京東金融同樣通過用戶手機號、短信驗證碼、用戶姓名就可以對用戶的登錄密碼進行修改，修改支付密碼的驗證步驟也比銀行簡單得多，只需短信驗證碼、轉(zhuǎn)賬卡號和用戶身份證號即可修改支付密碼并轉(zhuǎn)賬。如果要在京東金融中貸款，則需要完善用戶的基本信息，比如姓名、身份證號、手機號、學校、學歷、家庭地址、月收入、工作地址，并要在刷臉認證中掃描身份證并進行人臉識別。

　　測試發(fā)現(xiàn)，如果黑客通過“短信嗅探”控制了你的手機短信驗證碼，同時根據(jù)手機號碼在此前已經(jīng)掌握的各種信息“社工庫”中找到你的身份證姓名和號碼，那么攻擊相對要容易得多，“獨釣寒江雪”的情況很可能就屬于這種。

　　第二波 電商+社交+郵箱類App：僅需手機+驗證碼

　　相較資金賬戶，登錄電商、社交、郵箱等互聯(lián)網(wǎng)應(yīng)用就顯得輕松許多，手機加短信驗證碼即可登錄淘寶、京東、網(wǎng)易考拉、網(wǎng)易郵箱、189郵箱。

　　登錄QQ與微信需要勾選好友頭像、滑動拼圖等二次驗證，《IT時報》記者嘗試用已被攻破的同事支付寶賬戶直接登錄了她名下的淘寶賬戶，家庭地址、公司地址、聯(lián)系方式一目了然，再加上之前記者已提前修改了支付密碼，充值或網(wǎng)購全無障礙。

　　修改京東的支付密碼則需要驗證6位原數(shù)字密碼、短信驗證碼，再加一張用戶名下的銀行卡號。

　　微信、QQ雖是社交應(yīng)用，但亦涉及微信錢包、QQ錢包，即使記者成功登錄他人微信或QQ，在支付時依然需要輸入用戶原支付密碼來驗證身份。但與支付寶類似，如果掌握了用戶的姓名、銀行卡號、身份證號及短信驗證碼，即可成功修改用戶的支付密碼。

　　測試結(jié)果表明，銀行類App安全性最高，支付寶、微信支付次之，大部分電商、社交、郵箱類App雖只需手機號和短信驗證碼即可登錄，但若涉及支付環(huán)節(jié)，需要更多個人信息進行驗證。

　　深度分析

　　風險根源：隱私數(shù)據(jù)的泄露

　　通過上述測試不難發(fā)現(xiàn)，用戶即使遭遇了GSM劫持+短信嗅探，但若沒有泄露個人信息，騙子只能登錄賬戶，無法完成支付、轉(zhuǎn)賬等操作。

　　風險根源在于信息泄露，黑產(chǎn)攻擊會考慮性價比，根據(jù)目標價值采用相應(yīng)的技術(shù)手段，對于普通網(wǎng)民來說，從隱私數(shù)據(jù)入手，依然是最廉價的。

　　“簡單的密碼基本沒什么用，都在黑客的密碼字典里�！崩铊F軍說，密碼絕大部分是加密存儲，有一個秘文，通過解密算法也無法得到明文，但此前有些網(wǎng)站的數(shù)據(jù)庫明文加密文一起泄露，而明文和密文構(gòu)成一張表，這就是黑客的密碼字典。

　　“早在幾年前，信息泄露的數(shù)據(jù)量以億計算，黑客手中掌握的社工庫數(shù)據(jù)有上百億條。除非特別復(fù)雜、個性且經(jīng)常更換的密碼，否則基本都在黑客的密碼字典里�！崩铊F軍告訴《IT時報》記者。

　　許多資金被盜、詐騙案件的背后都有地下黑庫信息的推波助瀾。日常生活中，用戶信息泄露的渠道很多，黑客拖庫、網(wǎng)站出售、各類電商訂單等渠道都可以成為用戶信息遭泄露、販賣的源頭，比如訂酒店提供的姓名、身份證號、手機號，如果該酒店管理不嚴或系統(tǒng)存在漏洞，用戶會在一瞬間泄露三個關(guān)鍵信息。

　　網(wǎng)絡(luò)黑產(chǎn)的工作流程是怎樣的？廣州凌晨網(wǎng)絡(luò)科技有限公司DLG安全研究實驗室人士告訴《IT時報》記者，這條產(chǎn)業(yè)鏈分工明確，是有組織、有計劃的團伙式犯罪行為。過程大致分為開發(fā)制作、批發(fā)零售、詐騙實施、分贓銷贓四個流程。有人專門負責制作釣魚編輯、木馬開發(fā)、偽基站等黑產(chǎn)需要的軟硬件，之后通過釣魚零售商、域名販子將這些工具分銷出去，再由小馬仔去線下實施布點或線上詐騙，錢成功騙到后還有專門的財務(wù)會計將這部分資金洗白，比如通過人民幣購買Q幣，再將Q幣賣出去。洗白后的錢，通過分贓中間人進行分贓銷贓，“在這條黑產(chǎn)鏈條中，銀行卡販子、電話卡販子、身份證販子雖然也算是黑產(chǎn)中的一員，但比較邊緣化�！鄙鲜霭酌弊臃Q。

　　中國到底有多少用戶的信息被泄露很難統(tǒng)計，但從今年7月山東破獲的一起特大侵犯公民個人信息案中可見一斑，在這起案件中，公安機關(guān)共查獲公民信息數(shù)據(jù)4000GB、數(shù)百億條，此案涉及的數(shù)據(jù)隱私性高，包含了手機號、上網(wǎng)基站代碼等40余項信息要素，記錄了每個手機用戶具體的上網(wǎng)行為，甚至部分數(shù)據(jù)能夠直接進入公民個人賬號主頁。

　　記者手記

　　不要不把身份證號當回事

　　看到“獨釣寒江雪”的經(jīng)歷，再與幾位安全專家聊完后，記者感覺自己宛若一個“網(wǎng)絡(luò)透明人”，一口氣改掉了多個密碼，刪掉了早些年設(shè)置的密保問題，專家打趣道：你能意識到自己是透明的，反而更安全。

　　當我們習慣于把生活轉(zhuǎn)移至互聯(lián)網(wǎng)上時，那些行為軌跡在網(wǎng)絡(luò)上難以抹去，帶著個人信息的各種數(shù)據(jù)在互聯(lián)網(wǎng)上幾乎隨處可見，并可輕易獲得。李彥宏曾說，中國的消費者愿意為一些利益提供自己的數(shù)據(jù)，雖然此觀點被網(wǎng)民狂噴，但事實上反思一下，你是不是也曾為了“薅點羊毛”，在某個網(wǎng)站上實名注冊了自己的身份信息？

　　此外，隨著手機實名制日益普及，越來越多的互聯(lián)網(wǎng)企業(yè)將手機短信驗證碼作為自己的安全屏障。各大銀行網(wǎng)上銀行、網(wǎng)上商城、團購網(wǎng)站、票務(wù)公司等企業(yè)使用短信驗證，確實可以依賴于手機卡實名制，大大降低非法注冊。

　　然而，當手機短信驗證碼可以登錄、修改密碼等操作出現(xiàn)在直接或間接與資金相關(guān)聯(lián)的應(yīng)用時，大家似乎忽略了，你與賬戶之間只有一條驗證碼。建立在2G GSM網(wǎng)絡(luò)上的短信驗證，猶如將互聯(lián)網(wǎng)賬戶安全大廈建立在沙灘上，很容易被黑客釜底抽薪。

　　當然，安全與便捷從彼此出生的那天起，便如同坐上蹺蹺板，此高彼低，從目前來看，也確實很難找到比短信更加方便、快捷并可大范圍應(yīng)用的驗證方式。然而，道高一尺魔高一丈，當黑客的技術(shù)在不斷進步，攻破互聯(lián)網(wǎng)上的一道道防線時，各家互聯(lián)網(wǎng)公司是不是也可以將自己的防護墻摞的更高一些？事實上，有專家表示，除了短信驗證碼，互聯(lián)網(wǎng)公司完全可以通過設(shè)備信息、地理信息等更多數(shù)據(jù)進行內(nèi)部邏輯循環(huán)判斷，這個動作并不會在前端影響用戶體驗，卻可以更好判斷“你就是你”。

　　希望，一條驗證碼讓人傾家蕩產(chǎn)的案件只是個例。