专家:手机短信移到安全的4G网络 “这下一无所有了!”8月1日凌晨,豆瓣网友“独钓寒江雪”在豆瓣网站上发帖写下了这个标题。“独钓寒江雪”是一位女士,据她描述,7月30日凌晨5点,她的手机一直在震动,收到了来自支付宝、京东、银行等100多条验证码短信,支付宝余额、余额宝和关联银行卡的钱都被转走了,京东金融APP也被开通了金条、白条功能,借走一万多元。
睡了一夜,手机里的钱就莫名其妙地被转走了,这究竟是为什么?360无线电安全研究院高级研究员黄琳博士表示,问题就出在短信验证码上,短信验证码并不是一个安全的验证方式,广大互联网用户需要提高警惕,可以采取一些办法来防范这样的偷盗。 短信验证码成罪魁祸首 黑客登录手机APP进行操作 网友“独钓寒江雪”遇到的“放在手机APP里的钱一夜之间都被转走了”究竟是怎么回事呢? 记者采访了网络专家解到,原来是黑客用攻击的方式获取到了用户的手机号码,再在任意手机上用“短信验证码登录”的方式登录第三方支付APP,通过验证短信验证码的方式修改第三方支付APP的支付密码。而在第三方支付APP里,黑客可以查看到手机号码相对应的真实姓名。最后,黑客可通过黑色产业链获取用户的身份证号、银行卡号,就能进行转账、借款等各种操作了。 如何获取用户的手机号和短信验证码是用户最需要关注的。360无线电安全研究院高级研究员黄琳博士表示,虽然目前不能确定黑客是用何种方法获取“独钓寒江雪”的手机号和验证码的,但“独钓寒江雪”提到,在通话记录中当天凌晨有一个外呼南京的电话,这个电话就有可能是用于获取手机号码的。 腾讯旗下打击网络黑色产业链的“守护者计划”平台就发文解释过这个问题:“手机运营商的基站可以让手机获得信号。而伪基站是手机和运营商基站之间的‘第三者’,黑客通过伪基站获取一定范围下的潜在的手机号码,再通过基于2G移动网络下的GSM通信协议,搭配专用手机,组装成短信嗅探设备,利用短信嗅探设备来获取短信。”据了解,由于“独钓寒江雪”手机中的短信和电话是走2G网络的,所以手机号码和短信能够被黑客的伪基站获取。 |