今年開始,一種彷彿是“黑魔法”的新詐騙手段叫人人心惶惶:受害者只是睡了個覺,醒來就看到手機顯示數百條在各大購物網站、手機銀行甚至借貸網站的消費轉賬記錄。受害者什麼也沒做,就彷彿手機成了精,趁主人熟睡時瘋狂買買買。
原來,這種新的詐騙形式綜合了“GSM劫持”和“短信嗅探”的技術來讀取用戶短信,包括驗證碼。不過這裡有個好消息:近期阿里通信推出的號碼認證服務,對手機驗證流程進行革新,從源頭上防範竊取短信驗證碼的詐騙形式。
首先我們看看盜取手機驗證碼詐騙的原理。
簡單來講,我們的手機需要通過基站來進行短信收發,罪犯使用一種GSM劫持設備,來竊取某個基站區域內的手機所收到的所有短信,偷看你的短信如入無人之地,又不會在你的手機裡留下“把柄”。
目前,短信驗證碼已經成為互聯網金融、電商服務驗證的主要形式,一旦短信驗證碼被竊取,最後一道安全屏障就被突破了。許多驗證短信附加的那句善意提醒“勿向他人洩露”、“注意保密哦”也就成了空談。再利用從短信中順藤摸瓜收集到的其他信息如身份證號、姓名、銀行賬號等,騙子就能很容易地登陸各類電商平臺。更有甚者,還以受害人的名義進行網上借貸,讓受害人一夜之間不僅散盡千金還背上債務。
由於這項“短信嗅探”的技術是針對GSM網絡制式的,在國內的潛在打擊面很廣。三大運營商中,移動和聯通都是採用這個制式。目前許多反詐騙文章介紹的保護手段,一種是告誡用戶在犯罪高峰時期(夜晚)開啟飛行模式、保護好個人賬號等,但這畢竟治標不治本,無法徹底避免風險,也增加了用戶的使用負擔。一種是向運營商呼籲不再使用GSM網絡制式等,恐怕很難在短時間內實現。
但是現在,一個治本的、可立即投入商用的技術已經出現了。阿里通信推出的“號碼認證服務”,不走短信驗證碼的"明路",採用無感知的驗證方式。
在登陸的時候,手機機主不需要再填寫驗證碼,直接點擊一鍵登陸!
有兩種體驗形式。以優酷某活動中的流程為例:
1、登陸系統自動讀取手機號碼,點擊按鈕一鍵登陸,不需要輸入驗證碼。
2、或者自行手動輸入手機號碼,仍然點擊按鈕一鍵登陸,也不需要輸入驗證碼。
號碼認證服務使用“網關認證”的技術,用戶發送請求驗證的需求,就通過網關將用戶的手機號和網關設備信息加密之後傳輸到賬號平臺,賬號平臺進行解密後,在後臺操作驗證通過。
由於整個驗證流程是通過後臺的加密數據包進行的,沒有短信收發流程,就像是轉到暗處打地道戰,“短信嗅探”也就劫持不到了。
現在這項技術已經在阿里雲的網站上線,面向各類企業進行銷售(https://www.aliyun.com/product/dypns?utm_content=m_1000014098)。阿里通信也是第一家打通三網提供此項技術的公司。我們也建議各個涉及財產安全、隱私信息的網站、APP能夠及早升級驗證方式,避免真正的黑科技入侵。
魔高一尺,道高一丈。阿里通信會繼續以技術為武器,與通信詐騙鬥智鬥勇,為用戶保駕護航。
閱讀更多 科技圈裡事 的文章
