近期，央視多個節(jié)目集中報道了不法分子通過地下黑色產(chǎn)業(yè)鏈，盜取用戶銀行卡信息，攔截用戶驗證碼短信，進而盜取用戶錢財、盜刷用戶銀行卡。節(jié)目收視率很高，分析深刻、嚴(yán)謹(jǐn)縝密、觸目驚心!

《震驚!5分鐘網(wǎng)上買到上千銀行卡信息幾乎全部正確》

《起底“電信詐騙術(shù)”之“驗證碼”騙局》，

經(jīng)分析，不法分子正是抓住了目前銀行“用戶名口令+短信驗證碼”偽雙因素認(rèn)證的漏洞，利用地下黑產(chǎn)勾結(jié)合作，輕易的實施了銀行卡盜轉(zhuǎn)盜刷。

步驟一、我沒告訴他，壞人怎么知道我的賬號密碼?

黑客干壞事，首先要獲得的是銀行卡信息，包含了銀行賬號、用戶名、賬號口令等等。銀行卡信息的盜取主要有以下四種方法：

方法1：拖庫撞庫

近年來發(fā)生了大量知名網(wǎng)站拖庫撞庫事件，用戶名密碼泄露嚴(yán)重。不法分子可以先通過網(wǎng)絡(luò)上已泄露的用戶名密碼等，嘗試驗證用戶信息。很多用戶的銀行賬號口令與郵箱口令等常用密碼一樣，而有的銀行為了方便，直接使用用戶手機號作為手機銀行登錄賬號，這使得黑客可以從用戶常用密碼，推知銀行密碼，登錄網(wǎng)上銀行、手機銀行。

方法2：偽基站釣魚短信

犯罪分子利用偽基站，給用戶發(fā)送含有釣魚網(wǎng)站的短信，用戶點擊后跳轉(zhuǎn)至虛假網(wǎng)頁中，但界面與銀行網(wǎng)站完全相同。用戶會被要求填寫賬號、密碼、身份證號、預(yù)留手機號等各種信息。僅360平臺上監(jiān)控的釣魚網(wǎng)站，半天時間就有超過1億次點擊。

[[170298]]

方法3：免費WIFI竊取個人信息

不法分子改裝WIFI并免費對外提供，用戶一旦接入，所有互聯(lián)網(wǎng)的數(shù)據(jù)都可以被黑客監(jiān)聽或竊取。以下是315央視報道的免費WIFI竊取賬號信息。

方法4：改裝POS機提取銀行卡信息

使用非法改裝后的POS機，誘使用戶刷卡。改裝POS機中增加模塊，可以提取用戶卡號及密碼。

步驟二、手機在我手，短信去哪了?

即便銀行卡信息被盜，轉(zhuǎn)賬付款時還有第二道安全閘門“短信驗證碼”來確認(rèn)用戶身份，但現(xiàn)有的短信驗證碼安全機制薄弱，雖然手機沒有丟，可黑客輕松地攔截竊取短信，進而盜取用戶錢財。

短信驗證碼攔截主要有以下四種方法：

方法1：通過手機木馬APP攔截短信驗證碼

黑客向用戶手機里發(fā)送木馬，木馬通常會偽裝在一些正版手機軟件中，成為仿冒軟件，只要受害者安裝后，手機短信內(nèi)容就會被犯罪分子攔截甚至直接在短信收件箱內(nèi)刪除。受害者的手機既收不到消費提醒也收不到驗證碼。

方法2：干擾手機信號，通過空中接口攔截

由于手機短信是明文方式在網(wǎng)絡(luò)中發(fā)送，通過特殊的接收設(shè)備對手機信號進行干擾，該設(shè)備便能從基站廣播的空中接口截獲該短信內(nèi)容，唯一限制是該設(shè)備與受害者距離需要在一定范圍以內(nèi)，距離太遠(yuǎn)是不行的。

方法3：利用運營商短信保管箱，平臺側(cè)攔截

運營商為用戶提供短信保管箱增值服務(wù)，幫助用戶將短信在運營商平臺側(cè)實時自動備份。然而該業(yè)務(wù)方便用戶的同時，也為不法分子帶來了可乘之機。黑客通過撞庫進入用戶的短信保管箱，即可拿到短信驗證碼。2015年7月份網(wǎng)絡(luò)瘋傳的《我與工行+10086的撕逼大戰(zhàn)》事件中，黑客就利用了這個漏洞。

[[170299]]

方法4：利用運營商空中換卡漏洞，復(fù)制SIM卡

運營商為方便用戶更換4G卡，提供了遠(yuǎn)程自助換卡流程。然而有不法分子利用手機業(yè)務(wù)定制和退訂的功能騙取受害人的短信驗證碼，通過電信運營商自助換卡業(yè)務(wù)復(fù)制受害人手機SIM卡，轉(zhuǎn)移和竊取用戶資金。

步驟三、錢怎么到別人碗里去了?

獲得了用戶的賬號、口令、短信驗證碼，萬事俱備只欠東風(fēng)。接下來黑客直接登錄手機銀行、網(wǎng)上銀行，發(fā)起轉(zhuǎn)賬，用短信驗證碼確認(rèn)轉(zhuǎn)賬交易，或者通過短信驗證碼，將銀行卡掛在第三方支付賬戶下開通快捷支付，通過快捷支付進行購物、資金轉(zhuǎn)移。

短信驗證碼、快捷支付雖然都有交易上限的風(fēng)險控制，但黑客一般在用戶未發(fā)覺前，用螞蟻搬家的方式，逐步清空各個賬戶。

這一系列事件對整個金融行業(yè)和信息安全產(chǎn)業(yè)帶來了很大震動，在社會上造成了惡劣影響。

目前銀行的用戶認(rèn)證體系中，“用戶名口令”驗證你知道什么(what you know)，而“短信驗證碼”驗證你有什么(what you have)，共同構(gòu)成雙因素認(rèn)證。用戶名口令被盜是當(dāng)前業(yè)界普遍問題，從之前互聯(lián)網(wǎng)企業(yè)頻繁被拖庫撞庫也可以看出，基于密碼的驗證不能作為唯一手段。然而，銀行短信驗證碼作為OTP(One Time Password)一次一密口令，從其生成、發(fā)送、到保存，各個環(huán)節(jié)都是明文，任何一個環(huán)節(jié)被攔截(如運營商、基站空口傳輸、手機本地保存等)，都會造成盜轉(zhuǎn)盜刷銀行卡的巨大風(fēng)險。因此，提高短信驗證碼的安全性，確保驗證短信不被攔截，或攔截后黑客不可用，成文解決該問題的關(guān)鍵因素。

思考：我們怎么保護自己的財產(chǎn)!

短信驗證碼目前已經(jīng)成為大家公認(rèn)的方便快捷、使用最廣泛的認(rèn)證手段之一，短期內(nèi)不可能消失或替代。面對黑色產(chǎn)業(yè)鏈的來勢洶洶，有沒有一種手段，能夠在不改變用戶體驗的前提下，解決上述問題?

芯盾安全認(rèn)證系統(tǒng)是由北京芯盾時代科技有限公司研發(fā)的用戶認(rèn)證安全產(chǎn)品。

利用獨有的設(shè)備指紋、生物指紋、大數(shù)據(jù)指紋技術(shù)，該產(chǎn)品對現(xiàn)有身份驗證方式進行革命性的創(chuàng)新，為金融、政府、互聯(lián)網(wǎng)及各行各業(yè)提供更安全、免密、智能、低價的身份認(rèn)證服務(wù)。

該產(chǎn)品通過芯盾安全認(rèn)證、短信驗證碼加密、軟件動態(tài)令牌等多種解決方案，可防范短信驗證碼攔截帶來的風(fēng)險，確保用戶身份安全，有效防止銀行卡盜轉(zhuǎn)盜刷問題。在芯盾安全認(rèn)證系統(tǒng)的保護下，即使用戶銀行卡信息已經(jīng)泄露、短信驗證碼被壞人截獲(木馬截取、空中接口攔截、平臺攔截、甚至用戶被騙后主動告知壞人)，該系統(tǒng)也能夠有效識別，確保不法分子無法進行盜轉(zhuǎn)盜刷。而且更關(guān)鍵的是，合法用戶仍可按原有方式使用驗證碼，完全無感知。

芯盾安全認(rèn)證系統(tǒng)通過獨有專利技術(shù)進行設(shè)備識別及綁定，建立用戶、設(shè)備與業(yè)務(wù)等多維度的對應(yīng)關(guān)系。使用SSE(Soft-SE)、HOTP認(rèn)證算法、設(shè)備指紋、大數(shù)據(jù)等關(guān)鍵技術(shù)，確保相關(guān)信息的存儲及運行時安全性，面向移動終端支付、認(rèn)證等業(yè)務(wù)提供端到端安全保護。

該產(chǎn)品通過國家信息技術(shù)安全研究中心(N&A)的安全測評，已在南京銀行正式上線，并在恒豐銀行、山東城商行聯(lián)盟、寧波銀行、江蘇銀行、吳江農(nóng)商行、華泰證券等地完成POC測試，即將上線。

芯盾Trusfort，隨心而動，秉信而行。