网易易盾

网易易盾官方号

273篇博客

还有人不认识通讯诈骗,短信验证码带你认识一下

网易易盾2018-09-03 22:04

首先进行一下自我介绍,短信验证码本码。


短信验证码:网站或者客户端应用需要接入短信验证码(手机验证码)的功能,可以实现注册用户的手机号码正确性校验,确保用户填写的手机号码的真实性。现在已经完全融入了大家的日常生活,成为其中不可或缺的一部分。


实现原理:发送短信的服务一般是由第三方短信服务商提供的,系统先生成一个验证码,调用第三方服务商的短信接口,发送到手机方,手机方输入验证码,再由系统去校验是否符合,符合则说明手机真实有效。


技术核心是:后台下发一条随机码X,网页客户端通过算法将用户信息和随机码X合并,生成一条字符串Y,并返回给后台;后台用同样的算法处理这条随机码X和后台存储的用户信息,得到一条字符串Z。后台比对来自客户端的字符串Y和自己生成的字符串Z,如果两者一致,则确认用户身份。

在了解了短信验证码本码之后,带你去看看相关的通讯诈骗。很早之前豆瓣网友一篇《这下一无所有了》疯传网络。




就想问问这是怎么“肥四”???

下面短信验证码带你看看是怎们个事:


伪基站实施“GSM劫持+短信嗅探”的网络身份攻击的技术。


“伪基站”即假基站,设备一般由主机和笔记本电脑或手机组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,利用2G移动通信的缺陷,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。


“短信嗅探”涉及的关键技术缺陷是GSM通信协议采用的单向鉴权方式,鉴权弱、明文传输的弊端,很容易被劫持,目前中国移动与中国联通的短信仍然是通过2G的GSM网络制式传输,而中国电信采用的是CDMA网络,由于CDMA网络会对每一次通话、短信的过程进行鉴权,鉴权的过程相当复杂,且秘钥只在网络核心侧和基站侧之间传输,不法分子无法获取,也无法通过鉴权拦截用户的短信。


骗子的实施步骤如下:


  1. 骗子通过特种设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码;

  2. 骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息;

  3. 骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。


然后一觉醒来,你就会是“一无所有了”。


值得注意的是,这种技术主要针对2G的GSM信号,但骗子狡猾之处就在于,他们会干扰附近的手机信号,使4G变为2G信号后,再窃取你的短信信息。


另外,该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来手机里就是莫名奇妙的上百条验证码短信。


是不是我们对于这种情况无能为力?我们普通人应该做好防护措施。


1. 睡觉前关机,把手机调成飞行模式,或者只连接家里的WiFi,防止骗子在后半夜进行操作,掏光你的钱;
2. 看到奇怪的验证码和短信,有意识的想到自己是否受到劫持,要马上联系短信所属的移动应用和网站服务提供商,并可考虑暂时关机;
3. 如果自己的手机信号忽然从4G降到2G,可能会被骗子攻击,请马上启动飞行模式或关机。

对于GSM网络存在单向鉴权和短信内容无加密传输等局限性,还建议各移动应用、网站服务提供商优化用户身份验证措施,选用一种或采用多种方式组合,比如通过短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式,加强安全性。


网易云易盾的行为验证码便采用了短信上行验证方式(感知威胁的终极验证方式,需发送随机数字至指定平台方可验证成功)。


下行短信:通过运营商发给用户短信。


上行短信:用户给运行商的信息。


当然没骗你,这种方式更加的安全有效。


可以去感受一下啊,网易云易盾的行为验证码,除了短信上行验证方式,还有其他的方式,比如,智能无感知、滑动拼图、图中点选等。


点击免费体验网易云易盾的验证码