提到手机号加短信验证码认证,相信大家一定都十分熟悉。如今,高速发展的移动互联网给我们衣食住行的方方面面都带来了前所未有的便利,同时我们手机上的移动APP也越装越多,涉及到需要使用手机短信验证码认证、登录的场景也是越来越多,涵盖手机银行,金融理财,购物社交以及旅游出行等等。
手机短信验证码认证方式的确有其广受欢迎的原因:对用户来说,人们不必费力记住不同平台的密码,就可以轻松的登录账号进行操作,提升了用户体验。但是,其实短信验证存在着其认证机制上的固有缺陷,若在下发过程中可以被截获或被冒用,人们可能将面临信息遭窃取,支付密码被修改,甚至资金被盗刷等风险。本篇我们就来聊聊短信验证码安全那些事儿。
一、短信验证码嗅探/信息泄露案例
案例一:凌晨3点多,某市宋女士突然莫名收到了几条的短信验证码,不久后宋女士又收到短信显示她的银行卡被刷走了好几万元。宋女士立刻向当地公安派出所进行了报案,警方很快锁定了犯罪嫌疑人并将其抓获,宋女士的几万元钱被全部追回。据嫌犯交代,他和同伙在被害人居住的小区范围之内,采用了“短信嗅探”技术,在嗅探到宋女士动态支付验证码以后将其发给洗钱通道,就将这个钱给盗取出来了。
案例二:某厂小陆在外出差,某晚突然收到了一条短信验证码,几秒后,小陆的一位QQ好友发来消息,称“由于紧急任务,急需注册并登陆某平台;她自己手机被注册过了,密码忘记了,所以需要麻烦小陆告诉她一下验证码”。就在小陆犹豫要不要给时,又收到该好友发来的消息,说自己QQ刚刚被盗号了,提醒各位好友注意不要被诈骗注册网贷平台。小陆想想自己刚刚差点就因为不够冷静,以为是关系好的“熟人”就放松了警惕,险些交出自己的短信验证码,不禁吓出了一身冷汗。
二、短信验证码安全使用建议
手机短信验证码是用来进行身份认证的,目的是让认证更加安全。但是,这样的安全是存在前提假设的,那就是:SIM卡/手机号是与用户实名身份强绑定的,而且用户的手机或SIM卡一般是不会轻易丢失的;因此,认为能收到验证码的人,就是持有该持卡用户本人。
而在很多案例中往往就是因为提交验证码的,恰恰并非真实的用户本人,有的是因为用户自己主动透漏了的短信验证码,致使其身份被人冒用;也有是因为GSM标准存在固有缺陷,导致攻击者利用“短信嗅探”技术,截获了受害人的手机短信验证码,进行身份冒用等。为防范手机短信验证码泄露带来的相关安全隐患,我们给出如下建议:
·建议对以各种理由索要验证码的电话或消息都需高度警惕,不要将短信验证码告诉任何人(包括银行工作人员和客服人员等均无权索要用户密码、交易验证码等信息);
·建议设置转账/支付限额,或将大额资金转移到未绑定电子支付的银行卡,降低大额损失风险;
·建议平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感个人信息的保护;
·若收到大量不明短信验证码,要马上意识到可能已被短信嗅探,建议可考虑暂时关机或暂时启动飞行模式;
·若早上起来,看到昨夜收到奇怪验证码短信,可能已被短信嗅探;发现银行卡被盗刷,请立刻冻结银行卡,保留短信内容并报警。
最后,想提醒广大投资者,短信验证码的重要性不亚于支付密码,并且,由于各种原因致使其并没有看上去的那么方便且安全。因此,在日常生活使用中,我们仍保持警惕并形成安全的使用习惯,不给不法分子以可乘之机。