近期,央视多个节目集中报道了不法分子通过地下黑色产业链,盗取用户银行卡信息,拦截用户验证码短信,进而盗取用户钱财、盗刷用户银行卡。节目收视率很高,分析深刻、严谨缜密、触目惊心!
《震惊!5分钟网上买到上千银行卡信息几乎全部正确》
《起底“电信诈骗术”之“验证码”骗局》,
经分析,不法分子正是抓住了目前银行“用户名口令+短信验证码”伪双因素认证的漏洞,利用地下黑产勾结合作,轻易的实施了银行卡盗转盗刷。
步骤一、我没告诉他,坏人怎么知道我的账号密码?
黑客干坏事,首先要获得的是银行卡信息,包含了银行账号、用户名、账号口令等等。银行卡信息的盗取主要有以下四种方法:
方法1:拖库撞库
近年来发生了大量知名网站拖库撞库事件,用户名密码泄露严重。不法分子可以先通过网络上已泄露的用户名密码等,尝试验证用户信息。很多用户的银行账号口令与邮箱口令等常用密码一样,而有的银行为了方便,直接使用用户手机号作为手机银行登录账号,这使得黑客可以从用户常用密码,推知银行密码,登录网上银行、手机银行。
方法2:伪基站钓鱼短信
犯罪分子利用伪基站,给用户发送含有钓鱼网站的短信,用户点击后跳转至虚假网页中,但界面与银行网站完全相同。用户会被要求填写账号、密码、身份证号、预留手机号等各种信息。仅360平台上监控的钓鱼网站,半天时间就有超过1亿次点击。
方法3:免费WIFI窃取个人信息
不法分子改装WIFI并免费对外提供,用户一旦接入,所有互联网的数据都可以被黑客监听或窃取。以下是315央视报道的免费WIFI窃取账号信息。
方法4:改装POS机提取银行卡信息
使用非法改装后的POS机,诱使用户刷卡。改装POS机中增加模块,可以提取用户卡号及密码。
步骤二、手机在我手,短信去哪了?
即便银行卡信息被盗,转账付款时还有第二道安全闸门“短信验证码”来确认用户身份,但现有的短信验证码安全机制薄弱,虽然手机没有丢,可黑客轻松地拦截窃取短信,进而盗取用户钱财。
短信验证码拦截主要有以下四种方法:
方法1:通过手机木马APP拦截短信验证码
黑客向用户手机里发送木马,木马通常会伪装在一些正版手机软件中,成为仿冒软件,只要受害者安装后,手机短信内容就会被犯罪分子拦截甚至直接在短信收件箱内删除。受害者的手机既收不到消费提醒也收不到验证码。
方法2:干扰手机信号,通过空中接口拦截
由于手机短信是明文方式在网络中发送,通过特殊的接收设备对手机信号进行干扰,该设备便能从基站广播的空中接口截获该短信内容,唯一限制是该设备与受害者距离需要在一定范围以内,距离太远是不行的。
方法3:利用运营商短信保管箱,平台侧拦截
运营商为用户提供短信保管箱增值服务,帮助用户将短信在运营商平台侧实时自动备份。然而该业务方便用户的同时,也为不法分子带来了可乘之机。黑客通过撞库进入用户的短信保管箱,即可拿到短信验证码。2015年7月份网络疯传的《我与工行+10086的撕逼大战》事件中,黑客就利用了这个漏洞。
方法4:利用运营商空中换卡漏洞,复制SIM卡
运营商为方便用户更换4G卡,提供了远程自助换卡流程。然而有不法分子利用手机业务定制和退订的功能骗取受害人的短信验证码,通过电信运营商自助换卡业务复制受害人手机SIM卡,转移和窃取用户资金。
步骤三、钱怎么到别人碗里去了?
获得了用户的账号、口令、短信验证码,万事俱备只欠东风。接下来黑客直接登录手机银行、网上银行,发起转账,用短信验证码确认转账交易,或者通过短信验证码,将银行卡挂在第三方支付账户下开通快捷支付,通过快捷支付进行购物、资金转移。
短信验证码、快捷支付虽然都有交易上限的风险控制,但黑客一般在用户未发觉前,用蚂蚁搬家的方式,逐步清空各个账户。
这一系列事件对整个金融行业和信息安全产业带来了很大震动,在社会上造成了恶劣影响。
目前银行的用户认证体系中,“用户名口令”验证你知道什么(what you know),而“短信验证码”验证你有什么(what you have),共同构成双因素认证。用户名口令被盗是当前业界普遍问题,从之前互联网企业频繁被拖库撞库也可以看出,基于密码的验证不能作为唯一手段。然而,银行短信验证码作为OTP(One Time Password)一次一密口令,从其生成、发送、到保存,各个环节都是明文,任何一个环节被拦截(如运营商、基站空口传输、手机本地保存等),都会造成盗转盗刷银行卡的巨大风险。因此,提高短信验证码的安全性,确保验证短信不被拦截,或拦截后黑客不可用,成文解决该问题的关键因素。
思考:我们怎么保护自己的财产!
短信验证码目前已经成为大家公认的方便快捷、使用最广泛的认证手段之一,短期内不可能消失或替代。面对黑色产业链的来势汹汹,有没有一种手段,能够在不改变用户体验的前提下,解决上述问题?
芯盾安全认证系统是由北京芯盾时代科技有限公司研发的用户认证安全产品。
利用独有的设备指纹、生物指纹、大数据指纹技术,该产品对现有身份验证方式进行革命性的创新,为金融、政府、互联网及各行各业提供更安全、免密、智能、低价的身份认证服务。
该产品通过芯盾安全认证、短信验证码加密、软件动态令牌等多种解决方案,可防范短信验证码拦截带来的风险,确保用户身份安全,有效防止银行卡盗转盗刷问题。在芯盾安全认证系统的保护下,即使用户银行卡信息已经泄露、短信验证码被坏人截获(木马截取、空中接口拦截、平台拦截、甚至用户被骗后主动告知坏人),该系统也能够有效识别,确保不法分子无法进行盗转盗刷。而且更关键的是,合法用户仍可按原有方式使用验证码,完全无感知。
芯盾安全认证系统通过独有专利技术进行设备识别及绑定,建立用户、设备与业务等多维度的对应关系。使用SSE(Soft-SE)、HOTP认证算法、设备指纹、大数据等关键技术,确保相关信息的存储及运行时安全性,面向移动终端支付、认证等业务提供端到端安全保护。
该产品通过国家信息技术安全研究中心(N&A)的安全测评,已在南京银行正式上线,并在恒丰银行、山东城商行联盟、宁波银行、江苏银行、吴江农商行、华泰证券等地完成POC测试,即将上线。
芯盾Trusfort,随心而动,秉信而行。
