有个恐怖故事:小A一觉醒来钱没了,手机上还出现了很多条验证码。可是他明明什么事都没做,没丢手机也没丢卡,没点链接也没扫码……据报道,近期多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到多条验证码和银行扣款短信,网上银行APP登录账号和密码也被篡改,损失惨重。
不是盗取银行密码,也不是或是银行系统出bug,而是利用伪基站实施”GSM劫持+短信嗅探”的网络身份攻击技术。用这种技术让你一夜回到解放前只需三步——
1. 通过设备自动搜索附近手机号码,用该号码登录一些网站或应用,然后用”短信嗅探技术”拦截网站和应用发给用户的验证码。
2. 通过登录其他网站,从中碰撞用户的身份信息,此种方法称为”撞库”(即多个数据库之间碰撞)从而将用户的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。
3. 在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,盗取事主银行卡资金。
对于用户而言想要保护个人财产,防止被”黑”需要注意这些问题——
1. 平时要做好手机号、身份证号、银行卡号、支付平台账号等私人信息保护;
2. 睡前关机或设置飞行模式,亦可关闭手机的移动信号,只连接WIFI,以提高被嗅探的难度;
3. 提高警惕,如果早上起来,看到半夜收到奇怪的验证码短信,立刻查看自己的银行卡和支付应用。若发现钱被盗刷,火速冻结银行卡,保留短信内容并报警;
4. 对于具有安全防护功能的APP,开启常用设备管理,设置夜间不可交易,防止财产损失;
5. 如果发现手机信号突然变成2G,要立刻意识到自己可能正遭遇短信嗅探攻击,并采取以上方式防御!
而对于产品来说,则更需要探索能保护用户防止被嗅探的方式。比如选用一种或采用多种方式组合(语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式)。比如采用运营商独有的通信网关取号技术,在登录过程中准确识别用户手机号码直接达成验证。可帮助各移动应用、网站服务提供商应优化用户身份验证措施,加强安全性。
因为使用了通信网关取号技术,秒验的安全性已达到GSMA(全球移动通信系统协会)安全认证3级,仅次于银行级账号安全。而短信验证已日渐成为黑客截取用户信息的一个缺口,比如遭到GSM劫持等问题。两者相比而言,免密登录做的就是把风险从源头降到最低。
未来的身份验证必然是提升用户体验的、更安全、更加快速方便的,免密验证或许不是终点,但是它的诞生将带来一种新的操作体验,也将成为新一代主流的注册登录验证方式。关注MobTech秒验,获得更安全快捷的身份验证方式,再也不用担心短信验证带来的安全隐患。
去年今日运营文章2022: 『三节课』App的MVP设计(0)
2022: 为什么要做工作分解结构(WBS)?(0)
2018: 月薪3万的营销人如何利用消费者的七宗罪(嫉妒 & 傲慢)(0)
2018: 我们常常讲引流,究竟在谈什么(0)
2018: 在营销策略中,如何利用消费者的七宗罪(0)
上一篇:盈鱼MA五大产品功能优化升级 下一篇:一键登录,让身份验证更快更安全
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。