国家应急广播 > 应急广播

验证码攻击防不胜防 教您四招为安全保驾护航

2016-12-04 11:00-12:00 责编:王仁宏

00:00 00:00

主持人:11点36分,进入我们今天的第一调查,为了保证个人财产和信息安全,越来越多的平台开始启用了验证码,好像办一个什么手续或者说验证一个什么东西要手机收发短信,甚至是语音的验证,你会觉得特别的麻烦,但是心里还真是挺踏实的,可您知道吗?这验证码也可能惹来破财之灾。北京的小许是一名刚刚参加工作不久的大学生,提起这验证码他真是有一肚子的苦水要跟我们分享,一起来听听他是怎么说的。

“因为一条短信,一夜之间,我的支付宝所有的银行卡信息都被攻破,所有的银行卡资金全部被转移,那是一种一无所有的绝望。”这篇万余字的长文配发一系列截图证据,描述了当事人遭遇的全过程。文章在微博、微信平台上持续发酵,阅读转发超过780万,留言评论不断。经过多方联系,记者找到了当事人小许,一名参加工作不久的大学毕业生,漂在北京辛苦挣来的所有积蓄说没就没了,至今令他心有余悸。

(当事人)小许:一夜之间你所有钱都都一无所有,你能明白那种恐怖和崩溃的心理吗?都不是说难过是恐惧和崩溃,我觉得我之前做的所有努力都是白费的。

傍晚挤在北京晚高峰的地铁里,小许连续收到了几条来自中国移动官方号码的短信,短信称他已经成功订阅了一项手机报半年包服务,并且实时扣费,造成了手机余额不足。

小许:我这时候就纳闷了,因为我根本没有订阅的这个服务,紧接着就是非常诡异的接着又发了一条短信,显示是只要回复取消加验证码,在三分钟之内退订免费。

当小许正在琢磨验证码到底是什么,他又收到了一条来自中国移动客服电话10086的短信。

小许:上面写着您好您的UIM卡的验证码为六位数,然后就没了,就句号。这时候我我就想着那我就要退订这个业务,他也没有跟我说那个验证码是什么,然后我就按照常规的思维就取消加验证码发给他了。

原以为成功避免了一次手机用户经常碰到的自费业务,但小许却惊讶地发现自己的手机突然彻底瘫痪了。

小许:重启了大概N次手机,然后它还是显示无服务。到家之后就有wifi的时候再充值,去充了大概150块钱进去,它还是没反应,然后这时候就着急了,因为我手机是无服务状态,我也打不了10086的客服。

这只是麻烦的开始,当天晚上八点左右,小许的手机在无线网络下接连收到了支付宝的转账提示,这意味着竟然有人在另一个终端上操作他的支付宝账户。

小许:这不是诈骗,这种感觉是在抢钱,就我眼睁睁的看着他把我钱一笔一笔又一笔的转移,而且不是我个人操作。

由于手机无法呼出挂失,情急之下小许只能通过操作客户端解除了支付宝与三张银行卡的绑定,并且委托亲友拨打支付宝客服电话,冻结账号。

小许:因为你知道打客服是个非常缓慢的过程,它有一步步各种各样的验证,当我挂失成功完成之后,发现我的支付宝没钱了,就他不断攻克了我的支付宝,还在网银里发生跨行转账,就后来发现我每一张银行卡里余额都是零。

更令小许感到恐惧的是,冻结支付宝账户并没有使自己的银行卡摆脱被截的命运,他第二天才发现自己名下的招商银行、工商银行两张储蓄卡,在他完全不知情的情况下被人绑定在另一个在线支付平台百度钱包上,加上小许原本在百度钱包绑定的另一张中国银行卡,三张卡里的钱全部转入了两个陌生账号,这意味着,就连他的银行账号也被攻破了。一条短信让他一夜之间变得身无分文。

主持人:小许的这段遭遇可以用一句流行语来说,就是你已经被我的眼神给锁定了,但是这样验证码在平时的操作当中不能不用,面对这样的用短信验证码展开的精准诈骗,怎样才能躲避陷阱防范攻击呢?我们来听听信息安全专家为大家支的招。

专家提示,从电脑到手机都面临着木马病毒、钓鱼网站等黑客技术的安全威胁,如果只靠一个简单的静态密码无法保证安全,因而首先一定要保证静态密码足够复杂,并妥善保管防止泄露。其次,攻击者经常利用各种手段对短信进行伪装,并千方百计的对攻击对象进行误导甚至恐吓,所以一定要对运营商、银行等身份的手机短信和来电进行认真甄别,冷静应对。

专家:每个人手机上可能都会出现过各种的干扰信息,如果在我们这种风险意识并不是很强的情况下,很容易被这种干有信息所误导,就会产生后续的一系列的损失。

另外,如果手机通讯出现瘫痪,一定要马上查清故障原因,如非手机本身或信号故障,要立刻挂失手机卡并及时冻结第三方支付和银行账户,避免攻击者趁用户处于信息孤岛时,冒名顶替机主身份窃取账户。最最重要的是短信验证码不要告诉任何人,电信运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过短信或电话进行所谓回复验证码的操作。