金山傳媒
隨便聊一下自己的看法吧!
現在移動支付流行(包括互聯網金融),所以手機驗證碼已經成了我們最常用的安全手段之一了,但是說實在的,我是一直感覺這種方式不夠安全,因為一旦手機掉了,綁定的銀行卡,包括支付寶、微信等移動支付APP肯定得玩完。所以,我外出時對自己的手機一直看管的很緊,生怕掉了。
雖然,這件事目前還未破案,作案的具體方式到底是什麼並不清楚,偽基站攔截短信也是一些安全機構的猜測而已。但是,對我來說,讓我見識了到的新的盜取技術,原來光保管好手機也不是萬能的,人家還能通過其他方式來讀取攔截到你的手機驗證碼。這事出了後,網上查了下這方面相關資料,其實早前就有國內某安全領域的大牛表示利用LTE/4G偽基站+GSM中間人攻擊能攻破所有短信驗證。由此可見手機驗證碼這套安全系統並非我們想象的靠譜。
而面對這種方式,從支付寶和京東最初的反饋來看,它們的風控系統也並非萬能,無法第一時間做出有效的攔截。任何事從來都是有一必有二,一旦開了先例,後續同類的案件一定會多起來。或許這類案件其實已經有了,只是唯獨“獨釣寒江雪”這個用戶將其曝光出來而已。這件事後,一些負責任的機構應該要考慮升級風控系統,如何來應對可能發生的更多這類事情。
此外,我們的個人隱私信息在網上相當透明,姓名、住址、身份證、銀行卡等這些信息其實都能被黑產所掌握,所以手機驗證碼差不多就是最後一道防線了,但是這個防線現在看來又是那麼的弱。而對於隱私的洩漏,這裡有我們自己的一份功勞,為了蠅頭小利,就主動上交各種私人信息,也有那些不負責任的服務商/APP,只管獲取信息卻不管安全。
個人現在有點懷念以前網銀時候的安全機制,那就是使用U盾,從安全效能上來說,是最為安全的方式,但在手機銀行、移動支付橫行的當下,顯然不夠便捷。最後,希望大家都能對自己的安全重視起來。 最後奉上前面提到大牛說的攻擊原理,直接見下圖。
