围绕支付宝账号被盗,各种方法层出不穷,其中一条线,是盯手机业务的更改,来绕过各种多重认证的。
去年爆出的是通过短信转移的方式来盗取支付宝。案例见《短信“被转移”支付宝被刷千元》(2011-08-25):
http://www.china.com.cn/economic/txt/2011-08/27/content_23294617.htm
http://tech.sina.com.cn/i/2011-08-25/14015979437.shtml
然后中国移动出公告了:“从2011年12月15日零点起,短信转移(包月版/日租版)业务将不再转移特服号码(如10086、1065XXXX、95XXX、125**等)发送的短信,特服号码发送的短信将下发给原被叫号码”(http://www.bj.10086.cn/index/products/voice/64449/ )。
到了今年,各位猜怎么着?犯罪分子盯上了手机语音验证码了。因为支付宝是可以通过手机号登录的,同样也可以通过手机号找回密码。现存比较早提到此问题的微博如下:
@Wahui_花卉:今后大家千万别用淘宝支付宝主号去用那些刷红包的软件,我的几个主号都在6月8日02点45分左右被修改密码,有手机验证码的,他们能够将你手机弄呼叫转移到其他手机,收取语音验证码。
6月9日17:53 来自新浪微博
http://weibo.com/1773290210/yn6xNqZ7m
今天听闻某朋友的同事又因为类似的方式——通过某种方式(未考究)在网上营业厅恶意设置手机呼叫转移——从而被改掉支付宝密码了,真心觉得郁闷啊......当手机业务被更改时,双通道认证就真over了?
一刀终情 (麻麻说,签名要长…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………) | 2012-08-29 15:58
感谢1wb,最感兴趣,灰色、黑色产业;逻辑漏洞
xsser (十根阳具有长短,世上人多心不齐) | 2012-08-29 16:13
嗯,之前各大数据库泄漏导致互联网安全的基础认证失败,接下来是手机
horseluke (微碌) | 2012-08-29 16:22
@xsser 突然想起Android智能手机感染短信僵尸病毒(Android.Troj.SMSZombie.a)这类篡改手机短信内容,这个问题在终端;而上述则是逻辑业务问题......不知道@Claud 有什么看法
px1624 | 2012-08-29 16:53
这么看来什么数字证书都是浮云啊、、
疯狗 (谁淫荡啊谁淫荡) | 2012-08-29 17:07
目前的信任底线啊,越过了这个信任底线的话。。。
现在双因素便捷的还是手机,令牌成本高。
Xhm1n9 | 2012-08-29 20:00
方便用户的功能到头来反害了用户-,-!!
Claud | 2012-08-30 08:41
@horseluke 至少在Android上,短信不是一个可信的通信通道。拦截、读取、篡改、伪造,都可以做到。我在很多会议和交流时都强调过这一点,但没什么人重视。多来点攻击吧,免得总要我们喊狼来了。。