其實(shí)黑客什么都知道，只是還沒(méi)卯上你罷了！        ——挨踢妹《IT時(shí)報(bào)》記者通過(guò)“獨(dú)釣寒江雪”描述的被騙經(jīng)過(guò)，試著重走“幕后黑手”攻擊之路發(fā)現(xiàn)，整個(gè)鏈條風(fēng)譎云詭、環(huán)環(huán)緊扣。但安全專家同樣安慰大眾，短信被嗅探并導(dǎo)致手機(jī)銀行被盜發(fā)生場(chǎng)景的概率是極低的，手機(jī)用戶無(wú)需過(guò)于擔(dān)心，如果真要杜絕這種情況，只有選用CDMA技術(shù)的手機(jī)和網(wǎng)絡(luò)，目前國(guó)內(nèi)只有中國(guó)電信支持此項(xiàng)技術(shù)。

8月1日，網(wǎng)友“獨(dú)釣寒江雪”在網(wǎng)上發(fā)帖，稱其在7月30日凌晨5點(diǎn)多醒來(lái)后，發(fā)現(xiàn)手機(jī)一直在震，來(lái)自支付寶、京東、銀行等網(wǎng)站發(fā)來(lái)的100多條驗(yàn)證碼密密麻麻，不僅支付寶、余額寶、余額和關(guān)聯(lián)銀行的錢都被轉(zhuǎn)走，一雙看不見(jiàn)的黑手還在京東開(kāi)通了金條、白條功能，借款1萬(wàn)多元。“獨(dú)釣寒江雪”不明白，為什么手機(jī)在自己手里，驗(yàn)證碼沒(méi)有告訴任何人，騙子卻像另一個(gè)自己一樣，熟練地操作所有的賬戶。

“獨(dú)釣寒江雪”的遭遇在網(wǎng)上引發(fā)熱議，支付寶成立調(diào)查小組，復(fù)原其1點(diǎn)42分至3點(diǎn)21分的支付寶賬戶狀態(tài)發(fā)現(xiàn)，這雙看不見(jiàn)的黑手在登錄支付寶賬戶后修改了登錄密碼、支付密碼、綁定銀行卡之后便開(kāi)始網(wǎng)上購(gòu)物，并三次通過(guò)支付密碼將支付寶的資金提現(xiàn)到用戶名下的銀行卡，最后再將銀行卡中的錢轉(zhuǎn)走。

支付寶相關(guān)人士告訴《IT時(shí)報(bào)》記者，“獨(dú)釣寒江雪”第一次聯(lián)系支付寶理賠時(shí)，支付寶拒絕了，因?yàn)閺馁~戶當(dāng)晚操作的狀態(tài)來(lái)看，像是賬戶本人或是熟人操作，登錄賬戶、修改密碼、購(gòu)物、提現(xiàn)的校驗(yàn)全部一次通過(guò)。

來(lái)源：深圳市反電信網(wǎng)絡(luò)詐騙中心公眾號(hào)

“這件事比較罕見(jiàn)，操作者驗(yàn)證通過(guò)了多個(gè)校驗(yàn)因子，包括短信驗(yàn)證碼、用戶的多個(gè)個(gè)人信息，而且絕大多數(shù)錢都轉(zhuǎn)到了用戶自己的銀行卡上，這和以前出現(xiàn)的被盜案子不太一樣�！敝Ц秾氄{(diào)查小組認(rèn)為，保險(xiǎn)公司第一次判定拒賠的原因，是從操作狀態(tài)來(lái)看，極像本人或身邊人操作，短信驗(yàn)證碼等所有驗(yàn)證手段均一次性成功通過(guò)，給判斷這起案例的性質(zhì)帶來(lái)了極大困難�，F(xiàn)在，支付寶會(huì)先行全額補(bǔ)償用戶的損失，配合警方，對(duì)案件進(jìn)行處理。

根據(jù)深圳警方給出的結(jié)果來(lái)看，這雙黑手是通過(guò)“短信嗅探”達(dá)到了竊取驗(yàn)證碼等敏感信息的目的。當(dāng)犯罪分子在做這一切的時(shí)候，用戶毫無(wú)知覺(jué)。

一位運(yùn)營(yíng)商內(nèi)部人士告訴《IT時(shí)報(bào)》記者，“短信嗅探”涉及的關(guān)鍵技術(shù)缺陷是GSM通信協(xié)議采用的單向鑒權(quán)方式，鑒權(quán)弱、明文傳輸?shù)谋锥�，很容易被劫持，目前中�?guó)移動(dòng)與中國(guó)聯(lián)通的短信仍然是通過(guò)2G的GSM網(wǎng)絡(luò)制式傳輸，而中國(guó)電信采用的是CDMA網(wǎng)絡(luò)，由于CDMA網(wǎng)絡(luò)會(huì)對(duì)每一次通話、短信的過(guò)程進(jìn)行鑒權(quán)，鑒權(quán)的過(guò)程相當(dāng)復(fù)雜，且秘鑰只在網(wǎng)絡(luò)核心側(cè)和基站側(cè)之間傳輸，不法分子無(wú)法獲取，也無(wú)法通過(guò)鑒權(quán)攔截用戶的短信。

“五六年前，我的同事就曾經(jīng)試過(guò)，監(jiān)聽(tīng)短信很簡(jiǎn)單，偽基站覆蓋范圍內(nèi)，所有受影響的2G手機(jī)短信都會(huì)被監(jiān)聽(tīng)，但現(xiàn)在手機(jī)大多升級(jí)到4G，這意味著攻擊者的門檻更高了，成功概率更低了�！�網(wǎng)絡(luò)安全專家李鐵軍告訴《IT時(shí)報(bào)》記者，雖然通過(guò)持續(xù)的信號(hào)干擾能讓熟睡中的人們手機(jī)信號(hào)一直處于2G狀態(tài)，但會(huì)被無(wú)線電監(jiān)管部門發(fā)現(xiàn)。除了GSM劫持+短信嗅探，此外，其他可能性也應(yīng)考慮到，比如某個(gè)App同步備份了短信內(nèi)容。

但相對(duì)而言，其他網(wǎng)絡(luò)的安全系數(shù)更高，根據(jù)通信領(lǐng)域的專家看來(lái)，CDMA的短信除了超短的意外，基本都走專用信道，破譯難度大得多。根據(jù)警方偵破的案例中，尚未發(fā)現(xiàn)有中國(guó)電信用戶遭受該類技術(shù)攻擊的情況。

8月6日至8月8日，《IT時(shí)報(bào)》記者實(shí)測(cè)了“短信驗(yàn)證碼+身份證”模式來(lái)登錄銀行、移動(dòng)支付、電商網(wǎng)站、社交平臺(tái)及電子郵箱，看看究竟我們的網(wǎng)絡(luò)生活是否安全。

8月7日，記者嘗試在非常用手機(jī)上登錄同事的招商銀行掌上生活A(yù)pp，登錄需要兩個(gè)步驟的驗(yàn)證，短信驗(yàn)證碼+手勢(shì)密碼，而修改手勢(shì)密碼只需要用戶的身份證號(hào)。

若要在App里動(dòng)用資金，修改支付密碼和開(kāi)通小額免密功能，操作人需要輸入信用卡的安全碼、有效期、查詢密碼、驗(yàn)證碼或者輸入持卡人借記卡的姓名、身份證號(hào)、手機(jī)號(hào)碼、驗(yàn)證碼。因此，如果用戶的信用卡卡面信息或是銀行卡號(hào)賬戶泄露，賬戶即可完全被他人操作，但這個(gè)攻擊場(chǎng)景相對(duì)難度較高。

與此相比，登錄支付寶及修改支付寶密碼則顯得容易得多。記者同樣使用自己的手機(jī)嘗試登錄同事的支付寶賬戶發(fā)現(xiàn)，只需知道短信驗(yàn)證碼、手機(jī)號(hào)及用戶姓名即可登錄，如果再掌握主人的身份證號(hào)，還能修改支付密碼，于是記者成功修改了同事的支付密碼，完成了手機(jī)充值、轉(zhuǎn)賬等操作。

京東錢包和京東金融同樣通過(guò)用戶手機(jī)號(hào)、短信驗(yàn)證碼、用戶姓名就可以對(duì)用戶的登錄密碼進(jìn)行修改，修改支付密碼的驗(yàn)證步驟也比銀行簡(jiǎn)單得多，只需短信驗(yàn)證碼、轉(zhuǎn)賬卡號(hào)和用戶身份證號(hào)即可修改支付密碼并轉(zhuǎn)賬。如果要在京東金融中貸款，則需要完善用戶的基本信息，比如姓名、身份證號(hào)、手機(jī)號(hào)、學(xué)校、學(xué)歷、家庭地址、月收入、工作地址，并要在刷臉認(rèn)證中掃描身份證并進(jìn)行人臉識(shí)別。

測(cè)試發(fā)現(xiàn)，如果黑客通過(guò)“短信嗅探”控制了你的手機(jī)短信驗(yàn)證碼，同時(shí)根據(jù)手機(jī)號(hào)碼在此前已經(jīng)掌握的各種信息“社工庫(kù)”中找到你的身份證姓名和號(hào)碼，那么攻擊相對(duì)要容易得多，“獨(dú)釣寒江雪”的情況很可能就屬于這種。

相較資金賬戶，登錄電商、社交、郵箱等互聯(lián)網(wǎng)應(yīng)用就顯得輕松許多，手機(jī)加短信驗(yàn)證碼即可登錄淘寶、京東、網(wǎng)易考拉、網(wǎng)易郵箱、189郵箱。

登錄QQ與微信需要勾選好友頭像、滑動(dòng)拼圖等二次驗(yàn)證，《IT時(shí)報(bào)》記者嘗試用已被攻破的同事支付寶賬戶直接登錄了她名下的淘寶賬戶，家庭地址、公司地址、聯(lián)系方式一目了然，再加上之前記者已提前修改了支付密碼，充值或網(wǎng)購(gòu)全無(wú)障礙。

修改京東的支付密碼則需要驗(yàn)證6位原數(shù)字密碼、短信驗(yàn)證碼，再加一張用戶名下的銀行卡號(hào)。

微信、QQ雖是社交應(yīng)用，但亦涉及微信錢包、QQ錢包，即使記者成功登錄他人微信或QQ，在支付時(shí)依然需要輸入用戶原支付密碼來(lái)驗(yàn)證身份。但與支付寶類似，如果掌握了用戶的姓名、銀行卡號(hào)、身份證號(hào)及短信驗(yàn)證碼，即可成功修改用戶的支付密碼。

測(cè)試結(jié)果表明，銀行類App安全性最高，支付寶、微信支付次之，大部分電商、社交、郵箱類App雖只需手機(jī)號(hào)和短信驗(yàn)證碼即可登錄，但若涉及支付環(huán)節(jié)，需要更多個(gè)人信息進(jìn)行驗(yàn)證。

通過(guò)上述測(cè)試不難發(fā)現(xiàn)，用戶即使遭遇了GSM劫持+短信嗅探，但若沒(méi)有泄露個(gè)人信息，騙子只能登錄賬戶，無(wú)法完成支付、轉(zhuǎn)賬等操作。

風(fēng)險(xiǎn)根源在于信息泄露，黑產(chǎn)攻擊會(huì)考慮性價(jià)比，根據(jù)目標(biāo)價(jià)值采用相應(yīng)的技術(shù)手段，對(duì)于普通網(wǎng)民來(lái)說(shuō)，從隱私數(shù)據(jù)入手，依然是最廉價(jià)的。

“簡(jiǎn)單的密碼基本沒(méi)什么用，都在黑客的密碼字典里�！崩铊F軍說(shuō)，密碼絕大部分是加密存儲(chǔ)，有一個(gè)秘文，通過(guò)解密算法也無(wú)法得到明文，但此前有些網(wǎng)站的數(shù)據(jù)庫(kù)明文加密文一起泄露，而明文和密文構(gòu)成一張表，這就是黑客的密碼字典。

“早在幾年前，信息泄露的數(shù)據(jù)量以億計(jì)算，黑客手中掌握的社工庫(kù)數(shù)據(jù)有上百億條。除非特別復(fù)雜、個(gè)性且經(jīng)常更換的密碼，否則基本都在黑客的密碼字典里�！崩铊F軍告訴《IT時(shí)報(bào)》記者。

來(lái)源：“終結(jié)詐騙”公眾號(hào)

許多資金被盜、詐騙案件的背后都有地下黑庫(kù)信息的推波助瀾。日常生活中，用戶信息泄露的渠道很多，黑客拖庫(kù)、網(wǎng)站出售、各類電商訂單等渠道都可以成為用戶信息遭泄露、販賣的源頭，比如訂酒店提供的姓名、身份證號(hào)、手機(jī)號(hào)，如果該酒店管理不嚴(yán)或系統(tǒng)存在漏洞，用戶會(huì)在一瞬間泄露三個(gè)關(guān)鍵信息。

網(wǎng)絡(luò)黑產(chǎn)的工作流程是怎樣的？廣州凌晨網(wǎng)絡(luò)科技有限公司DLG安全研究實(shí)驗(yàn)室人士告訴《IT時(shí)報(bào)》記者，這條產(chǎn)業(yè)鏈分工明確，是有組織、有計(jì)劃的團(tuán)伙式犯罪行為。過(guò)程大致分為開(kāi)發(fā)制作、批發(fā)零售、詐騙實(shí)施、分贓銷贓四個(gè)流程。有人專門負(fù)責(zé)制作釣魚編輯、木馬開(kāi)發(fā)、偽基站等黑產(chǎn)需要的軟硬件，之后通過(guò)釣魚零售商、域名販子將這些工具分銷出去，再由小馬仔去線下實(shí)施布點(diǎn)或線上詐騙，錢成功騙到后還有專門的財(cái)務(wù)會(huì)計(jì)將這部分資金洗白，比如通過(guò)人民幣購(gòu)買Q幣，再將Q幣賣出去。洗白后的錢，通過(guò)分贓中間人進(jìn)行分贓銷贓，“在這條黑產(chǎn)鏈條中，銀行卡販子、電話卡販子、身份證販子雖然也算是黑產(chǎn)中的一員，但比較邊緣化�！鄙鲜霭酌弊臃Q。

中國(guó)到底有多少用戶的信息被泄露很難統(tǒng)計(jì)，但從今年7月山東破獲的一起特大侵犯公民個(gè)人信息案中可見(jiàn)一斑，在這起案件中，公安機(jī)關(guān)共查獲公民信息數(shù)據(jù)4000GB、數(shù)百億條，此案涉及的數(shù)據(jù)隱私性高，包含了手機(jī)號(hào)、上網(wǎng)基站代碼等40余項(xiàng)信息要素，記錄了每個(gè)手機(jī)用戶具體的上網(wǎng)行為，甚至部分?jǐn)?shù)據(jù)能夠直接進(jìn)入公民個(gè)人賬號(hào)主頁(yè)。

記者手記：

不要不把身份證號(hào)當(dāng)回事

看到“獨(dú)釣寒江雪”的經(jīng)歷，再與幾位安全專家聊完后，記者感覺(jué)自己宛若一個(gè)“網(wǎng)絡(luò)透明人”，一口氣改掉了多個(gè)密碼，刪掉了早些年設(shè)置的密保問(wèn)題，專家打趣道：你能意識(shí)到自己是透明的，反而更安全。

當(dāng)我們習(xí)慣于把生活轉(zhuǎn)移至互聯(lián)網(wǎng)上時(shí)，那些行為軌跡在網(wǎng)絡(luò)上難以抹去，帶著個(gè)人信息的各種數(shù)據(jù)在互聯(lián)網(wǎng)上幾乎隨處可見(jiàn)，并可輕易獲得。李彥宏曾說(shuō)，中國(guó)的消費(fèi)者愿意為一些利益提供自己的數(shù)據(jù)，雖然此觀點(diǎn)被網(wǎng)民狂噴，但事實(shí)上反思一下，你是不是也曾為了“薅點(diǎn)羊毛”，在某個(gè)網(wǎng)站上實(shí)名注冊(cè)了自己的身份信息？

此外，隨著手機(jī)實(shí)名制日益普及，越來(lái)越多的互聯(lián)網(wǎng)企業(yè)將手機(jī)短信驗(yàn)證碼作為自己的安全屏障。各大銀行網(wǎng)上銀行、網(wǎng)上商城、團(tuán)購(gòu)網(wǎng)站、票務(wù)公司等企業(yè)使用短信驗(yàn)證，確實(shí)可以依賴于手機(jī)卡實(shí)名制，大大降低非法注冊(cè)。

然而，當(dāng)手機(jī)短信驗(yàn)證碼可以登錄、修改密碼等操作出現(xiàn)在直接或間接與資金相關(guān)聯(lián)的應(yīng)用時(shí)，大家似乎忽略了，你與賬戶之間只有一條驗(yàn)證碼。建立在2G GSM網(wǎng)絡(luò)上的短信驗(yàn)證，猶如將互聯(lián)網(wǎng)賬戶安全大廈建立在沙灘上，很容易被黑客釜底抽薪。

當(dāng)然，安全與便捷從彼此出生的那天起，便如同坐上蹺蹺板，此高彼低，從目前來(lái)看，也確實(shí)很難找到比短信更加方便、快捷并可大范圍應(yīng)用的驗(yàn)證方式。然而，道高一尺魔高一丈，當(dāng)黑客的技術(shù)在不斷進(jìn)步，攻破互聯(lián)網(wǎng)上的一道道防線時(shí)，各家互聯(lián)網(wǎng)公司是不是也可以將自己的防護(hù)墻摞的更高一些？事實(shí)上，有專家表示，除了短信驗(yàn)證碼，互聯(lián)網(wǎng)公司完全可以通過(guò)設(shè)備信息、地理信息等更多數(shù)據(jù)進(jìn)行內(nèi)部邏輯循環(huán)判斷，這個(gè)動(dòng)作并不會(huì)在前端影響用戶體驗(yàn)，卻可以更好判斷“你就是你”。

希望，一條驗(yàn)證碼讓人傾家蕩產(chǎn)的案件只是個(gè)例。