手機動態口令認證為大多數網銀賬戶構筑起堅實的防線而為業界奉若神明。但如果遭遇頂尖黑客,手機驗證碼建立的整套安防體系可能被瞬間秒殺。黑客動作嫻熟,麻利似庖丁解牛,完成從廢立證書、接管賬戶到轉走資金只消20分鐘,如探囊取物。如此短時間,用戶根本來不及反應和做保護性操作……
午夜2點睡夢中賬上錢款去無蹤
春節假期還沒有休完,2月8日,北京某產業報記者楊菁(化名)發現自己支付寶中的400多元余額被轉入一個名叫于少龍的人的賬戶,她意識到:支付寶賬戶被盜了。
從楊記者提供的支付寶消費記錄截圖不難看出,這名竊賊十分狡黠,不僅善于把握作案時機,并且熟諳支付寶安全機制。轉走錢款的時間是春節長假前的月末(臘月廿八,1月31日),多數人此時的心思都已提前放假,容易放松警惕。作案具體時間也選擇在夜間和凌晨,在當日午夜2時起,到凌晨5點之間,受害人還在睡夢中,錢款就不翼而飛了。選擇這個時間作案無疑經過精心策劃。竊賊分四次作案,前面三筆轉走的匯款金額都是99元,每次間隔大約1小時,最后一筆100多元。由于許多用戶習慣設置100元轉賬上限,達到該限度,系統將給關聯的手機發送短信確認,盜賊將立即露餡,轉款不會得逞。盜賊之所以很有耐心,每次間隔1小時再轉款而不是連續轉賬,也是為了回避激活支付寶系統的安全預警。支付寶系統如果監控到用戶賬戶異動,可能采取包括暫時性凍結賬戶等臨時管制措施,以保護用戶安全。
楊記者事后發現,轉入戶主于少龍經過了支付寶實名認證。換言之,支付寶是掌握了此人身份信息的。雖然實名認證也可能作假(例如通過假身份證注冊和通過認證),但是支付寶畢竟掌握了包括注冊手機號碼、開戶銀行賬戶、交易發生地點和IP地址等等關鍵信息,騙子不可能不留下任何蛛絲馬跡。通過向公安部門提供這些信息,抓獲騙子就多了一分把握。遺憾的是,支付寶客服拒絕提供對方信息,理由冠冕堂皇:用戶隱私信息只能向公安部門提供。在試圖向網監處報案未果的情況下,2月11日下午,楊記者來到戶口所在地轄區派出所報案,一個年長警官興趣盎然地聽完了她的講述并作了詳細記錄,但表示能否立案要領導定,并稱“這件事情不像看起來那么簡單”。楊記者事后在微博上合理地表達了失望:花了半小時給警官普及支付寶交易知識,幾乎忘記是來報案的。
得不到警方立案支持,自然也就寸步難行了。作為一名普通公民,遭遇如此普通的網銀賬戶被竊案件,不了了之是唯一明智的選擇。罪犯巧妙地躲在層層技術和體制的堅實壁壘保護后面,你明明知道他就在“那里”,卻全然無能為力。
事后得知,楊記者申請和安裝了個人證書,登錄密碼和交易密碼還特別做到了差異化,但她未開通關聯手機認證,這就為黑客攻擊留下了一道虛掩之門。賬戶登錄第一層防線被木馬攻破后,作廢證書或重置密碼等進一步操作需要手機確認,如果沒有設置第二道防線,竊賊就會很感謝你的合作。
退一步講,是不是開通了手機認證就萬事大吉了?你這樣想就錯了。
安防武裝到牙齒不敵犯罪手段高
楊記者只損失了400元錢還算走運,淘寶上另外一位五皇冠賣家則不然,他的遭遇一度引起了廣大淘友關于支付寶安全的普遍恐慌,一時成為討論熱點,留言多達百余頁。這不僅僅是因為損失巨大,更重要的是此君防護森嚴幾乎無懈可擊,居然還是讓黑客得手——“近乎完美”的犯罪手段沉重地打擊了淘友的信心。
根據這位網民的回憶,去年2月的一天,他偶然發現淘寶上莫名其妙冒出來6筆訂單記錄,且全部都是購買手機充值卡的,總金額高達14256元。起初他并不在意,以為是系統錯誤,但事后查對,不禁嚇出一身冷汗,認識到賬戶被盜。由于賬戶“異動”已被系統關閉,支付寶賬戶管理權被系統接管,但是為時已晚,竊賊已完成數筆大額交易。幸虧由于盜賊貪心過大,急于求成,啟動了一單9900元的巨額充值消費,引起手機充值卡賣家的警覺,后者不相信這筆天上掉下來的大單,及時關閉了交易,才避免了五皇冠賣家最大的一筆損失,盡管如此,他的損失還是高達4356元。
作為淘寶網上五皇冠級別的資深賣家,淘寶和支付寶的整套交易規則、安全機制、黑客攻略可以說他都了如指掌,全套軟件防護手段無一遺漏。既然如此,竊賊又是怎樣得手的呢?經過深入不懈的追蹤,結果令人震驚,問題竟然恰恰出在貌似最安全的手機認證環節,這一案例也給傳說中“牢不可破”的手機支付安全神話敲響了警鐘。
作為支付寶安全認證的一種二次確認手段,支付寶引入了業界成熟并廣為采用的手機短信確認機制。其假定前提和技術原理是:每個手機號碼指向一個合法用戶(依靠身份證件作為背書),在個人賬戶若干關鍵操作環節,除采用證書、口令、提問等一般性保護措施外,更引入手機二次激活確認,如果黑客攻破第一道防線,進一步操作的時候就會自動激活用戶事先設置好的短信確認,如果不是事主自己在操作,就會起到報警作用。應該說這在相當大程度上有效地發揮了最后屏障作用,保證了絕大多數用戶的賬戶安全。記者一次在交易中即遭遇釣魚,賬戶被盜而不自知。但是由于事先設置了手機關聯,竊賊轉賬金額超過了設置上限,激發短信通知,本人警覺,及時重置密碼并關閉了交易,避免了一宗損失。但是如果遇到楊記者遭遇的狡猾的黑客,善于化整為零,耐心細致地制造多筆小額交易,轉走余額,無須交易確認,且盜賊懂得適可而止,并不擴大戰果,例如修改密碼或作廢證書,用戶還是難免中招。
經查實,這位淘寶五皇冠賣家遭遇的黑客手段更加詭秘。他回憶,賬戶被盜這段時間,自己的手機提示SIM卡顯示無服務,這通常是由于SIM卡接觸不良或者SIM卡被注銷。他意識到,自己的手機卡可能被克隆了。他立即來到營業廳核實,發現當天下午3點許,犯罪嫌疑人在浙江省臺州市黃巖區橫街東路某營業廳,進行了換卡操作。后經進一步查實線索清楚了,嫌犯使用假身份證,到該營業廳辦理了SIM注銷和換卡手續,登錄淘寶網的IP地址在海口,可能是異地聯動作案。盜賊利用支付寶的手機確認機制,找回支付寶的登錄和支付密碼,同時注銷并重新申請新的用戶數字證書,找回淘寶登錄密碼,再用你淘寶綁定的手機號全權接管和控制你的淘寶與支付寶,瘋狂洗錢,購買充值卡,一切操作直如探囊取物。到此,淘寶利用手機驗證碼建立的整套安全防御體系被竊賊瞬間秒殺。黑客動作嫻熟麻利,操作行云流水,完成全部交易只用了20多分鐘,這么短時間,用戶根本來不及反應和做保護性操作。
用戶在注冊淘寶和支付寶賬號的時候,填資料以及綁定手機所用信息99%是一樣的。比如綁定手機號,絕大多數用戶為了省事不會去用兩個不同的號碼,有人甚至登錄口令和交易密碼都是一樣的;再如綁定的郵箱,十之八九就是支付寶賬號。竊賊最喜歡“懶人”,隨手設置可能為黑客入侵所利用。淘寶資料是公開的,交易雙方可以輕易得知對方的郵件和手機號碼,再加上不完善的審查機制,這就給黑客留下了充分的作案空間。
網絡交易已經成為黑客作祟重災區。來自中國反釣魚網站聯盟一項調查:針對網絡交易和金融證券類的釣魚網站占到了全部釣魚欺詐的86.38%,有38%的網友在網購過程中遭遇過釣魚類欺詐。支付寶會員已超過1.5億戶,作為最大的網購支付平臺自然首當其沖。最近在某安全網站開展的一項針對支付寶用戶的調查結果顯示,認為很不安全和不太安全的用戶占到了調查人數的71%,只有不到5%的用戶感到安全,可以放心使用。面對用戶的損失,商家傾向于把全部責任推給用戶,報警也常常枉費工夫。任何人只要花5塊錢即可查詢到其他人的身份證信息,造假技術足以以假亂真。安全人士表示,現有法律法規和機制不健全,個人隱私被濫用現象普遍,尚找不到萬全解決之道。對于普通用戶而言,除了首先充分使用支付寶提供的所有安全防護手段外,盡量不要圖省事,在支付寶中存糧多多,而應該只將其作為銀行賬戶網絡交易的接口和臨時“錢包”,多一層銀行防護就多一分安全。