精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當手機中的應用越來越多、綁定的服務也越來越多時，誰會想到一條短信引發的連鎖反應，能讓一個人在一夜間傾家蕩產？近日，北京許先生的遭遇《中國移動，請你告訴我，為什么一條短信就能騙走我所有的財產？》在網上引起軒然大波，中國移動、中國銀行、中國工商銀行、招商銀行、支付寶、百度錢包紛紛牽扯其中。

當《IT時報》記者通過許先生描述的被騙經過，試著重走幕后黑手攻擊之路后才發現，這根鏈條風譎云詭、環環緊扣，國內地下數據交易市場的猖獗使用戶信息嚴重泄露；銀行批量發卡、辦卡審核不嚴的同時，網銀系統在線驗證身份信息薄弱；第三方支付在方便人們生活的同時也被攻擊者大肆利用……當銀行、第三方支付、互聯網企業越來越依賴手機短信來驗證“你是你”時，一個精通各項業務環節的騙子粉墨登場，利用運營商網上自助換卡，把自己變成用戶，開始一場肆無忌憚的掠奪。

復盤一：遠程可自助換卡 備卡或從內部流出

4月8日，許先生在下班路上收到一條10086發來的短信，提示他開通了某雜志半年的手機報服務，在許先生回復退訂無效后，又收到一條類似于官方號碼發來的退訂需輸入“取消＋驗證碼”的短信和10086發來的USIM驗證碼短信。為了退訂業務，許先生沒多想就回復了6位驗證碼。之后，手機的SIM卡就一直處于無服務狀態。

許先生哪里會想到，這是騙子精心設下的局，自己的號碼訂了增值業務是真的，10086第一次發來的退訂信息和驗證碼也是真的，但都是騙子進入自己網廳后提出的請求。那條輸入“取消＋驗證碼”的短信是假的，這時騙子正在遠程申請SIM卡業務的“備卡激活”，短信驗證碼就是確認換卡的關鍵步驟。

在接下來的幾個小時里，騙子用許先生的SIM卡接收短信驗證碼，相繼攻破他的郵箱、支付寶及網銀，并為用戶綁定了百度錢包，盜取其資金。

在這場連環騙術中，除了騙子對中國移動網上營業廳自助訂閱業務、業務退訂、網上自助換卡、139郵箱收發短信等業務精通程度令人咋舌外，中國移動網上自助換卡業務流程設計也成為眾矢之的。

“在整個騙局中，騙子利用了正當的業務規則，外加受害人對相關業務不熟悉騙取驗證碼，行騙手段具有可復制性，但如果運營商對業務規則進行修改，加強認證，騙子無法獲取驗證碼，則攻擊就會失敗。”360天眼實驗室的工作人員告訴《IT時報》記者。

如何才能異地自助換卡？中國移動北京公司的客服人員告訴《IT時報》記者，辦理人需在網站上申請一張備卡，登記郵寄地址后送卡到家，但地址僅限于北京，外省市不可享受此項服務。但據記者了解，此次事件中，騙子的IP地址在海南海口，而且網上申請備卡除需填寫申請姓名、手機號、收貨地址外，依然需要短信驗證碼，既然此前許先生并未收到過申請備卡的短信驗證碼，那騙子的備卡是從哪來的呢？

“騙子可能通過內部渠道拿到了備卡，也可能是網購渠道的備卡。”一位不愿具名的業內人士告訴《IT時報》記者。據該人士透露，在手機卡未嚴格執行實名制前，不用本人的身份證也可以領卡。

記者在淘寶頁面中輸入“USIM卡”，出現了浙江移動、上海移動等地的4G USIM卡，這些備卡均可用于短信自助換卡，店主告訴《IT時報》記者：“雖是短信換卡的備卡，異地網上自助換卡也可以試試，但不保證成功。”

復盤二：手機驗證碼可修改網銀密碼

“這是社會工程學詐騙的一種，也是欺騙性攻擊，利用補卡換卡，騙子在與許先生做心理上的較量，此外，騙子對許先生做過調查，已經掌握了他的銀行卡、身份證號、手機號、中國移動網上營業廳的登錄密碼等大量信息，只缺最關鍵的一步，就是短信驗證碼。”國內安全團隊Keen Team成員呂禮勝告訴《IT時報》記者。

短信驗證碼有多重要？以登錄支付寶為例，正常情況下，若有人在用戶不常用設備上登錄支付寶，用戶會收到短信提醒。即使不知道登錄密碼，但已經給用戶換卡成功的騙子，可以通過短信驗證碼、證件號碼來重置密碼。

在此次事件中，因為已經擁有許先生的SIM卡，收到異常登錄短信提醒的是騙子自己，另從許先生的手機支付寶依然與騙子保持同步登錄狀態來看，騙子并未利用手機短信驗證及其他身份信息重置登錄密碼和支付密碼，這也就說明，許先生的支付寶號及密碼可能早已泄露，被騙子掌握。

記者又嘗試以找回登錄密碼的方式登錄銀行網銀，雖然有些銀行要求找回登錄密碼必須拿銀行卡和身份證至銀行柜臺辦理，但有的銀行的網銀依然可以通過追加網銀賬號（在網銀中添加的銀行卡號）、身份證號碼、查詢密碼和手機驗證碼進行網銀重置。還有的銀行會提示用戶密碼是6至8位的數字、字母和數字字母組合，并可以連續嘗試輸入10次。在這樣的驗證機制下，騙子完全有機會根據用戶泄露的信息和技術手段對網銀登錄密碼進行重置。

值得注意的是，對各項業務了如指掌的騙子還利用手機接收短信驗證碼的方式攻破了許先生的163郵箱，用163郵箱關聯支付寶并下載支付寶的數字證書。這是用于用戶在新電腦上使用支付寶而安裝的證書，安裝過程依然需要輸入隨機驗證碼及短信驗證碼，而被騙子關聯的百度錢包，有2小時內轉賬的超級轉賬功能且轉賬不收手續費。在百度錢包里添加銀行卡，需要的依然是銀行卡信息、姓名、身份證號、手機號、驗證碼。如果登錄密碼忘記，還可以通過短信驗證碼找回。

短短幾個小時里，對各項業務流程都掌握得爐火純青的騙子在與許先生搶錢，到最后，許先生什么也沒搶回來。

復盤三：余額1000元的支付寶賬號密碼可賣80元

“這個案例的關鍵點不僅在于用戶如何在騙子的誘導下泄露關鍵信息，還有一些地下黑庫信息的推波助瀾。”360天眼實驗室的工作人員向《IT時報》記者介紹，日常生活中，用戶信息泄露的渠道很多。比如訂酒店提供的姓名、身份證號、手機號，如果該酒店管理不嚴或系統存在漏洞，用戶會在一瞬間泄露三個關鍵信息。此外，某省市的社保及新生兒信息也會被黑產人員通過論壇、貼吧、QQ群等進行販賣、收購，形成隱蔽而龐大的市場，這早已不是秘密。

菠菜、面單、料主包養、攔截馬、大小額通道這些表面上看起來與信息買賣無關的名稱，實際均是用于信息買賣的QQ群，為了增加隱蔽性，群頭像有時是一堆美女、有時則會標注隱晦的“穩賺計劃”、“注冊有禮”等。

在記者加進的一個QQ群中，信息被稱為“料”，相較于售價幾毛錢的身份證、手機信息，兜售支付寶余額“料”和各大銀行“料”的人是群里的“大戶”。比如支付寶“料”，就包括了用戶的登錄密碼、支付密碼、手機號、身份證號和快捷賬號，余額1000元以下的支付寶售價80元、1000至3000元售價150元，額度越高，售價越高，大家均默契地先付款后拿“料”，拒絕做數據測試。當被記者追問為什么不自己操作時，一個賣主回答：“風險太高，一個IP操作多了會被查。”

在這個講究“十年打工一場夢，人無橫財不富裕，馬無夜草不肥”的群里，快遞面單信息、手機改號軟件、邊境背包人員接取款、黑錢還信用卡等服務一應俱全，大家都等著靠做偏門生意成富翁。

“換卡攻擊沒有什么技術難度，關鍵就是要拿到用戶大量個人信息。”呂禮勝說。據呂禮勝介紹，黑客拖庫、網站出售、各類電商訂單等渠道都可以成為用戶信息遭泄露、販賣的源頭，免費WiFi竊取、木馬釣魚盜號、通過偽基站發送釣魚短信等方式則可以作為不法分子盜取用戶信息的手段。

在《2015中國網站安全報告》中，據補天平臺統計顯示，補天平臺中的泄露信息漏洞，共有4個漏洞可以造成1億條以上的個人信息泄露，可能泄露個人信息量在6000萬到1億之間的漏洞共有11個。

2015年共有1410個漏洞可能造成網站上的個人信息泄露，這些漏洞共涉及網站1282個，可能或已造成泄露的個人信息量高達55.3億條。

行業對比方面，從平均每個漏洞泄露的信息量來看，醫療衛生行業排在首位，平均每個泄露信息漏洞可能導致961萬條個人信息泄露，但醫療衛生和教育培訓類網站的泄露信息漏洞修復率卻極低。

記者觀察

不能把安全只建立在手機驗證碼上

“經濟發達地區往往會成為通信網絡詐騙的重災區，但通訊詐騙不是單方面某一人的責任，現在市面上依然有未實名的手機卡，銀行業務員為了業績批量發卡、違規辦卡都為破案增加了難度。”某市公安局反通信網絡詐騙中心的工作人員告訴《IT時報》記者。2015年，該市通信網絡詐騙案件2萬余起，涉案金額近4億元，同比上升達21%。為打擊電信詐騙，該市成立了反通信網絡詐騙中心，三大運營商及六大商業銀行均參與其中，每單位派駐3人在公安局值班。

除了誰該為通訊詐騙負責外，建立在手機驗證碼沙灘上的互聯網安全大廈的安全性也成為討論的焦點。“人們一聽到通訊詐騙，總是會把矛頭對準運營商。許先生的遭遇，中國移動確實存在管理及業務流程設計上的疏忽，但銀行的實名制要比手機卡實名更具天然優勢，也能控制得更好，在這種情況下，用比自己安全性低的短信驗證碼來作為保障用戶資金安全的關鍵屏障，實際是在降低安全性。” 獨立電信分析師付亮說。

如今，因為手機卡實名制、手機多屬于個人使用等因素促使越來越多的互聯網企業將手機短信驗證碼作為自己的安全屏障，可當手機短信驗證碼可以登錄、修改密碼等操作出現在直接或間接與資金相關聯的應用時，大家似乎忽略了，操作手機甚至是使用SIM卡接收驗證碼的人不一定就是用戶本人。

“各大銀行網上銀行、網上商城、團購網站、票務公司等企業使用短信驗證，確實是依賴于手機卡實名制，能大大降低非法注冊，但我們也曾遇到有人持假身份證成功辦卡的情況。在我們的設備識出假身份證向后臺發布‘身份錯誤’指令時，有黑客攻擊系統，將錯誤指令改成正確指令，這個人就成功利用假身份證完成實名登記并辦理了相關業務。”某虛擬運營商的高管告訴《IT時報》記者。

但對于手機驗證碼成為與資金相關聯應用的安全性問題，該高管頗為無奈地說：“目前，除了短信驗證碼，你認為還有什么其他可以大范圍應用的驗證方式嗎？”

據了解，截至4月13日，支付寶已先行賠付了許先生在其平臺上流失的一萬多元資金，百度錢包承諾賠付但仍需提交材料走流程，被涉及的招商銀行、中國工商銀行、中國銀行依然沒有任何進展。其中一家銀行相關負責人在接受媒體采訪時表示：“該用戶的網上銀行轉賬功能在此之前已由本人開通，后因泄露包括銀行卡密碼在內的主要個人信息導致賬戶資金受損。”銀行稱會全力配合警方處理。

中國移動的調查結果則顯示，自助換卡業務辦理流程正常，會積極配合相關部門，提供相關證據，進行后續查證。