隨著移動支付的普及,“短信驗證”是目前最便捷的驗證方式,只要通過手機操作,就可以完成各種活動:開通業務、支付款項、修改密碼、修改綁定郵箱、無密碼登陸。“短信驗證”在過去是安全的驗證方式,只要保證驗證碼不被騙走就可以保證行為的安全,事情真的是這樣嗎?
手機病毒威脅依舊存在
根據騰訊《2018上半年手機安全報告》顯示,Android新增病毒包468.70萬個,Android病毒感染用戶數近6106.84萬。從病毒行為特徵來看,木馬病毒針對不同的場景有著牟利作惡手段,趨利性十分明確,且病毒類型多樣,大多屬於資費消耗、惡意扣費和隱私獲取三種類型。
而這三種類型的病毒都擁有一種能力:攔截竊取用戶的敏感信息,如驗證碼、短信內容等。對用戶的財產安全造成了極大地威脅。
可以說,截取短信內容是手機病毒危害用戶財產安全的必要手段,而驗證碼、交易信息等敏感內容通過短信才讓病毒有了可乘之機。
雖然手機病毒的感染數量呈下降趨勢,但是其中的威脅依舊不可忽視。
手機APP帶來的威脅
根據360發佈的《2018中國手機安全生態研究報告》,360互聯網安全中心上半年截獲安卓平臺新增惡意程序樣本283.1萬個,惡意程序類型主要是資費消耗,佔比高達85.7%;其次為隱私竊取,佔比7.3%,惡意扣費佔比2.2%。而在360在2016年的統計中,惡意程序中67.4%會盜取短信信息,銀行信息成為惡意程序最“偏愛”的隱私內容。
不僅僅如此,大量的手機APP濫用權限涉及到用戶個人隱私,其中讀取短信佔比達到48.3%,發送短信佔比44.4%,其中的風險之大不言而喻。
GSM劫持+短信嗅探技術
2018年8月深圳警方破獲了一起盜刷案。犯罪分子使用了GSM劫持+短信嗅探技術,當手機在2G信號下保持靜止時,犯罪分子就可以使用該技術獲得手機中收到的所有短信,再使用一些社工手段就可以獲得手機號、銀行卡號、身份證號等個人信息,接著就可以進行盜刷了。
從技術上講,2G的GSM網絡使用單向鑑權技術,短信內容以明文形式傳輸,該缺陷由GSM設計造成,而且由於GSM網絡覆蓋範圍廣,因此修復難度大、成本高。
綜上所述
將驗證碼或交易信息通過短信發給用戶的方式在過去被認為是一種安全的方式,但是隨著技術的進步,其中的風險也暴露了出來,病毒、惡意軟件、技術劫持都可以威脅到短信內容的安全,但是由於種種原因,短信的加密或者硬件的改進都是很難進行的事情,有沒有什麼辦法可以取代“短信驗證”呢?
移動支付網邀請了沃通電子認證服務有限公司創始人王高華,在第三屆中國移動金融安全大會上以《加密郵件在移動金融安全上的應用》為題進行演講,詳細介紹通過加密郵件發送各種驗證碼,取代不安全的短信驗證碼,提升支付驗證安全可靠性,解決電信金融詐騙問題。
王高華,沃通電子認證服務有限公司創始人、CEO兼CTO,國際標準組織“CA/瀏覽器論壇”委員。十多年來一直從事PKI電子簽名和加密技術研究。在全球獨家推出了自主知識產權的跨平臺全自動證書加密的電子郵件客戶端軟件—密信(MeSince),開啟信息全加密新時代。
2018第三屆中國移動金融安全大會詳情見:http://www.mpaypass.com.cn/MFSC2018/
閱讀更多 移動支付網 的文章
