日前,微博网友“公交姬”爆料自己因“短信保管箱”业务而遭遇一场离奇的银行卡被盗经历。据悉,近几年这类案件已经发生过多次。
据这名网友表示,7与初他意外收到一条“短信保管箱”业务的订购短信,虽然立即联系客服取消了这项业务,但之后他的手机又再次收到了“短信保管箱”业务的订购短信。无奈之下,他修改了自己的10086账号密码。紧接着,他就收到了数十条来自各个消费网站发来的短信,里面是各种“短信验证码”,同时网友“公交姬”发现银行卡被不法分子盗刷,损失超过1万元。
“短信保管箱”究竟是什么?据调查,“短信保管箱”是一种源自功能机时代的短信托管服务。功能是可以把手机上收到的短信自动同步到运营商的服务器上备份,手机用户也可以通过运营商网站查看这些短信。
未开通“短信保管箱”业务时,手机用户在网站注册或消费时,网站会通过通信网将验证码发送到用户手机中,是一种将密码验证与短信验证码结合起来的“双因子认证”方法。而开通“短信保管箱”业务后,网站发来的验证码短信,一方面经过通信网发送到用户手机,另一方面则同时备份到Web端,通过攻击Web端即可窃取验证码,无需直接接触用户手机。
智能手机时代,网购、转账等对短信验证码的依赖程度更高,不法分子也意识到验证码在移动支付方面的重要作用,通过多种方式窃取手机用户短信验证码并进行盗刷银行卡等犯罪行为。目前,不法分子主要通过三种方式窃取短信验证码:通过在手机植入木马窃取验证码、诱骗手机用户登陆钓鱼网站填写验证码是最主要的两种作恶手段,而通过恶意利用短信托管服务窃取验证码则成为今年威胁最大的验证码攻击手段。(记者/叶丹)