多翼推荐 优质外链 腾讯云CDN拥有顶尖加速能力,丰富的功能全面覆盖各业务场景的加速需求,最为用户考虑的加速产品

第三方支付用短信验证码 便捷但不安全

  4月13日,上海市信息安全行业协会在市经信委的指导下召集各方召开“银行卡信息安全闭门会议”,研究防范窃取银行卡信息措施。

  澎湃新闻记者从会上获悉,信息安全专家表示,很多第三方互联网支付公司广泛应用短信验证码,但短信的安全防护等级不高,易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。

  短信验证码安全防护等级不高

  上海市信息安全行业协会会长谈剑峰表示,任何一种认证方式从商用密码技术本身来讲全球没有破解算法攻击的案例,都是在应用过程中产生的攻击漏洞。比如,国内银行此前普遍采用的U盾认证方式,但U盾可以被电脑的木马程序劫持。

  “杀毒软件只能杀掉已知的病毒,有很多木马是为特定攻击目标定制的,即使是杀毒软件也杀不掉。只要你的电脑中了木马,就会被远程控制,作案者可以将U盾中的数字证书转移给自己。”谈剑峰说。

  他还表示,现在很多第三方互联网支付公司,包括手机银行,开始广泛应用动态手机验证码的方式,短信验证码因其方便易用、覆盖面广,已经成为当下最主要的移动支付认证手段。然而短信作为一种通信方式的固有属性,决定了其安全防护等级不高,易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。而安全性更高的USBKey和OTP令牌等硬件认证设备,因为携带不便、操作复杂、兼容性低,在移动互联网的场景下不被用户所接受,最终造成了“安全的没人用、便捷的不安全”这样尴尬的局面。

  谈剑峰表示,实际生活中发生的案例有犯罪分子通过电商平台购买电信运营商提供的USIM卡,也就是传统意义上的空卡,然后通过短信指令向电信运营商发出换卡的申请,运营商就会给用户正使用的手机发去验证码。在此之前,犯罪分子早已用自己的伪基站给用户发送钓鱼短信,假称用户刚刚订购了某收费的订阅栏目,如果要取消订阅,就要回复收到的验证码。此时,有相当一部分用户会信以为真,并把验证码回复给犯罪分子。然后,利用得到的验证码,空中换卡功能完成,犯罪分子手中的空卡顺利地转变为用户的手机号码,而用户手中的手机号码则成为空卡。此时,用户的手机无法收发短信,接听拨打电话,但用户会误以为自己可能信号不好。在这短暂的时间里,犯罪分子就可以拿着手中的SIM卡去盗取用户的账号和密码,因为有相当一部分网站都提供手机号码登录和找回密码功能。“这种损失有可能让用户倾家荡产。”谈剑峰表示。

  • 上一页
  • 1
  • 2
  • 下一页
  • 共2页
上一篇:暴雪美国服务器受黑客攻击宕机  
下一篇:Kindle国内市场前景堪忧 新品不温不火难破局

延伸阅读:

腾讯云CDN拥有顶尖加速能力,丰富的功能全面覆盖各业务场景的加速需求,最为用户考虑的加速产品
标签:图说资料

上一篇:微信实时对讲功能使用方法

下一篇:蓝屏死机不用怕 扫扫二维码帮你搞定

发表留言

*

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

腾讯云服务器安全可靠高性能,多种配置供您选择
扫一扫,加我为微信好友 加我为微信好友
您可以使用eMule或eMule Mod(Windows)、aMule(Win、Linux、Mac)等软件下载eD2k链接。。
eMule收藏集(.emulecollection)文件是您选中的所有链接的列表文件。eMule可以直接下载它们。
按住SHIFT键选择可以选中多个选择框。
可用文件名和大小选择器来选择文件。
文件名选择器帮您根据文件名称或后缀来选择文件。不分大小写。
符号使用:
和:空格( )、+
不包含:-
或:|
转义:一对英文引号("");
匹配开头:^
匹配结尾:$
例如:
选中所有名称中包含有“eMule”或“0.49c”字眼,但不包含有“exe”字眼的:emule|0.49c -exe
选中所有名称的开头是“eMule”,结尾是“0.49c”的:^emule 0.49c$
选中所有名称中带有“eMule 0.49c”的(必须是“eMule 0.49c”,中间没有别的字符,不能是“eMule fake 0.49c”),需要转义:"emule 0.49c"
大小选择器帮您根据文件大小选择文件。