一张图,不多说,诸多技术手段老实说我也不是很了解,但是只想说,短信验证码绝对不安全。
其实很多时候验证码泄露并没有想象的那么难,就跟我文章刚开始说的一样,业务风险方向的很多黑产是基于最简单的流程漏洞和人的心理,利用社会工程学很有可能就捞到验证码信息。
这里举一个曾经非常有名的利用社会工程学窃取G行网银用户验证码的案例:G行网银里的余额转移到贵金属账户里面是不需要短信验证码的,黑产利用盗窃到的账户密码(不要问我怎么盗取到的,有多少人一条密码走天下?)将余额转到贵金属账户,然后伪装G行客服给客人电话说他的账户涉及xx操作,客人去登录自己的G行账户确实发现余额变少了(账户余额看不到贵金属的金额),当时就急了呀,这时客服又适时的来电话说我帮你操作可以把余额转回来,需要你提供下发到你手机上的验证码,其实这个时候收到的验证码可能就是转账或者消费的验证码了,但是这个时候客户心理着急啊,哪想得到那么多,收到验证码之后就给骗子报过去了,于是,贵金属账户里面的余额就真的拜拜了。这一起案例到底有多少G行客户收到影响、金额是多少至今我没有拿到有效数据,但是从我与G行人员的接触来看,这批案件已经惊动到了G行总行高层,所以金额不会少。
让我们继续说说王小明,上个月王小明家里没油的时候小区门口有个xxx送温暖进小区的活动,刷卡9.9送一桶油,但是活动主办方说为了保证活动用户真实性,需要每个人带着自己身份证登记刷卡的卡号、手机号、身份证号,王小明作为一个单纯的宝宝深信不疑,并从内心表示深深的感恩xx品牌;双11晚上,作为单身狗的王小明寂寞难耐,打开了手机某个小H网的地址排解心中的寂寥,于是,基于以上种种,王小明这个月只能吃土了。