沒丟手機,沒丟卡,沒掃二維碼
沒點鏈接,沒連WiFi,沒被換卡
錢怎麼就不見了?
近日,某網友一夜之間手機收到的100多條驗證碼被劫持,支付寶等賬號被盜刷還欠上貸款,實屬駭人聽聞。
其實,盜刷時有發生,從近期360手機先賠用戶舉報的案件來看,遭遇盜刷的用戶都是由於洩露了手機驗證碼!
比如河北的王先生,接到代辦貸款業務的電話,聲稱只要提供身份證、工作信息、近期有交易流水且有存款的銀行卡、銀行卡預留電話即可辦理,並索要他的驗證碼信息,隨後收到銀行扣款通知。
比如江西的大學生張同學,收到機票改簽的短信,與短信中預留的客服聯繫,對方準確說出了他的各項身份信息以及訂單信息,謊稱退票需要支付滯納金,要求用戶提供銀行卡賬號。騙子多次索要驗證碼,導致多筆扣款。
往往,大家潛意識裡認為,只要賬戶密碼不透露給他人就是安全的,其實不然。不法分子在掌握了用戶信息後,賬戶信息+驗證碼也可以完成支付行為!
接下來,我們就對網上銀行快捷支付、銀聯等渠道支付環節進行還原,一探究竟,在用戶沒有產生支付行為的前提下,不法分子套取了交易驗證碼到底可以做什麼?
網上銀行支付
Step 1:銀行賬號+手機號驗證
Step 2:輸入動態驗證碼,即可完成付款
電商平臺支付
快捷支付成為各大電商的主要付款方式之一。在電商平臺首次選擇快捷支付時,輸入持卡信息+驗證碼,即可開通快捷支付功能並完成訂單支付。
銀聯支付
Step 1:輸入銀行卡號
Step 2:輸入動態驗證碼,即可完成付款
以上支付過程中手機獲取的驗證碼,其實就是動態的支付密碼,一旦洩露,騙子可以輕而易舉的轉空你錢!
驗證碼是什麼?
從上述過程,主要涉及兩種類型的驗證碼。
① 登錄驗證碼
完成用戶身份驗證;有效防止程序批量註冊和登錄。
② 支付驗證碼
完成用戶身份認證;確認訂單信息並支付。實質就是動態支付密碼。
守住驗證碼就一定安全嗎?
並不是!
• 目前很多App都有讀取短信的權限,只要這些App中的任意一個存在漏洞,或者乾脆本身就是惡意的,騙子讀取你的短信驗證碼輕而易舉!
• 有些手機具有自動把短信備份到雲端的功能,如果開啟了這個功能,那麼攻擊者只要掌握了你的雲端賬號,就可以訪問到短信。
• 雖然目前國內3G/4G已經普及,但大部分地區只是上網走3G/4G,短信還是通過GSM網絡在發送,而GSM是非常容易被監聽的。
“
簡單的密碼基本沒什麼用,
都在黑客的密碼字典裡。
”
個人隱私洩露多源頭
用戶信息洩露的渠道很多,黑客拖庫、網站出售、各類電商訂單等渠道都可以成為用戶信息洩露的源頭,比如訂酒店提供的姓名、身份證號、手機號,如果該酒店管理不嚴或系統存在漏洞,用戶會在一瞬間洩露三個關鍵信息。
隱私黑市販賣明碼標價
許多資金被盜、詐騙案件的背後都有地下黑庫信息的推波助瀾。隱私販賣黑市上每天都有數據巨大的個人信息在集散、交易,“只有你想不到的,沒有你買不到的” 、“只提供一個手機號碼,就能買到一個人的身份信息、通話記錄、位置信息、打車記錄等多項隱私”,這些隱私明碼標價,所能購買的信息覆蓋面之廣令人震驚。
隱私販賣產業鏈成熟,分工明確
流程大致分為開發製作、批發零售、詐騙實施、分贓銷贓四個流程:
信息時代,用戶任何網絡行為都會被記錄,基本的身份信息已透明化,單純的賬戶密碼已不足以對抗可怕的網絡威脅。驗證碼作為支付的最後一道屏障,請大家:
任何時候!
任何場合!
對任何人!
都不要洩露!
閱讀更多 360黑板報 的文章
