关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


传统短信验证现弊端 网络支付安全堪忧

2015-07-14 12:08 推荐: 浏览: 64字号:

摘要: 近日,有多位网友微博爆料,在个人的手机、银行卡、U盾等设备未丢失情况下,自己的工行储蓄卡存款不翼而飞,账户上的资金被分多次以工行e支付的形式转出,且都是在非本人操作的情况下,被强行开通了中国移动“短信保管箱”业务。对此中国工商银行方面回应称,e支付本身并无安全...

近日,有多位网友微博爆料,在个人的手机、银行卡、U盾等设备未丢失情况下,自己的工行储蓄卡存款不翼而飞,账户上的资金被分多次以工行e支付的形式转出,且都是在非本人操作的情况下,被强行开通了中国移动“短信保管箱”业务。对此中国工商银行方面回应称,e支付本身并无安全问题。中国移动方面也表示,不会单方面强制开通客户的任何业务。深入研究此次的工行e支付安全事件,我们发现都是传统的手机短信验证惹的祸!

安恒信息安全工程师通过分析发现,不法分子通过“社会工程学”获取了受害人的身份、手机、账号密码等信息后,通过伪装身份在运营商为其开通“短信保管箱”业务,这样就能通过网站云端或第三方手机终端查看受害人的短信(包括工行e支付验证码),然后不法分子再通过截取的手机动态密码即可达到非法转账的目的。

在互联网金融日益深入开展的今天,一方面是用户很好的享受到了网络支付的便捷,另一方面传统短信的二次身份验证存在严重的安全隐患。短信验证是目前二次身份验证中成本最低、最容易实现也最便捷的身份验证方案,用户的绑定性较强、不需要额外设备、校验成本极低,但是在智能手机逐渐普及的今天,各类短信木马此起彼伏,补卡攻击和无线电监听这些一直存在的问题也被关注和利用,传统短信验证方案的安全性开始出现问题。

目前,传统的短信消息在传送过程中以及运营商的服务器上都未加密,不法分子仅通过短信保管箱,就完全截获了受害人的所有短信,如不法分子在收到短信后不会立刻显示短信内容,需要输入密码才可以查看,这也进一步凸显了短信点对点传输加密的迫切需求。因此使用其他的一些通过互联网传送保密信息的手机应用软件(如:密信app)来代替手机短信服务。除此之外还有一些更好的二次验证,如OTP(各种宝令、手机令牌、硬件令牌、证书等等)目前已经比较普遍。

通过工行e支付安全事件,我们看到普通的网民并没有能力去阻止类似安全事件的发生,但是在日常网络生活中,还是可以通过正确的使用防病毒软件,浏览安全可信的网站,认真保管自己的账号密码等行为习惯来有效的防范自己的隐私信息不被泄露。此外,企业用户也应该在手机短信传输方面加强防护和加密,防止敏感通讯数据和商业信息泄露,从传输根源上保障短信安全。

稿源:安恒信息

联系站长租广告位!

中国首席信息安全官
Copy link