围绕支付宝账号被盗,各种方法层出不穷,其中一条线,是盯手机业务的更改,来绕过各种多重认证的。

去年爆出的是通过短信转移的方式来盗取支付宝。案例见《短信“被转移”支付宝被刷千元》(2011-08-25):

http://www.china.com.cn/economic/txt/2011-08/27/content_23294617.htm

http://tech.sina.com.cn/i/2011-08-25/14015979437.shtml

然后中国移动出公告了:“从2011年12月15日零点起,短信转移(包月版/日租版)业务将不再转移特服号码(如10086、1065XXXX、95XXX、125**等)发送的短信,特服号码发送的短信将下发给原被叫号码”(http://www.bj.10086.cn/index/products/voice/64449/ )。

到了今年,各位猜怎么着?犯罪分子盯上了手机语音验证码了。因为支付宝是可以通过手机号登录的,同样也可以通过手机号找回密码。现存比较早提到此问题的微博如下:

@Wahui_花卉:今后大家千万别用淘宝支付宝主号去用那些刷红包的软件,我的几个主号都在6月8日02点45分左右被修改密码,有手机验证码的,他们能够将你手机弄呼叫转移到其他手机,收取语音验证码。

6月9日17:53 来自新浪微博

http://weibo.com/1773290210/yn6xNqZ7m

今天听闻某朋友的同事又因为类似的方式——通过某种方式(未考究)在网上营业厅恶意设置手机呼叫转移——从而被改掉支付宝密码了,真心觉得郁闷啊......当手机业务被更改时,双通道认证就真over了?


一刀终情 (麻麻说,签名要长…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………) | 2012-08-29 15:58

感谢1wb,最感兴趣,灰色、黑色产业;逻辑漏洞

xsser (十根阳具有长短,世上人多心不齐) | 2012-08-29 16:13

嗯,之前各大数据库泄漏导致互联网安全的基础认证失败,接下来是手机

horseluke (微碌) | 2012-08-29 16:22

@xsser 突然想起Android智能手机感染短信僵尸病毒(Android.Troj.SMSZombie.a)这类篡改手机短信内容,这个问题在终端;而上述则是逻辑业务问题......不知道@Claud 有什么看法

px1624 | 2012-08-29 16:53

这么看来什么数字证书都是浮云啊、、

疯狗 (谁淫荡啊谁淫荡) | 2012-08-29 17:07

目前的信任底线啊,越过了这个信任底线的话。。。

现在双因素便捷的还是手机,令牌成本高。

Xhm1n9 | 2012-08-29 20:00

方便用户的功能到头来反害了用户-,-!!

Claud | 2012-08-30 08:41

@horseluke 至少在Android上,短信不是一个可信的通信通道。拦截、读取、篡改、伪造,都可以做到。我在很多会议和交流时都强调过这一点,但没什么人重视。多来点攻击吧,免得总要我们喊狼来了。。

摘自:http://zone.wooyun.org/content/897