手机动态口令认证为大多数网银账户构筑起坚实的防线而为业界奉若神明。但如果遭遇顶尖黑客,手机验证码建立的整套安防体系可能被瞬间秒杀。黑客动作娴熟,麻利似庖丁解牛,完成从废立证书、接管账户到转走资金只消20分钟,如探囊取物。如此短时间,用户根本来不及反应和做保护性操作……
午夜2点睡梦中账上钱款去无踪
春节假期还没有休完,2月8日,北京某产业报记者杨菁(化名)发现自己支付宝中的400多元余额被转入一个名叫于少龙的人的账户,她意识到:支付宝账户被盗了。
从杨记者提供的支付宝消费记录截图不难看出,这名窃贼十分狡黠,不仅善于把握作案时机,并且熟谙支付宝安全机制。转走钱款的时间是春节长假前的月末(腊月廿八,1月31日),多数人此时的心思都已提前放假,容易放松警惕。作案具体时间也选择在夜间和凌晨,在当日午夜2时起,到凌晨5点之间,受害人还在睡梦中,钱款就不翼而飞了。选择这个时间作案无疑经过精心策划。窃贼分四次作案,前面三笔转走的汇款金额都是99元,每次间隔大约1小时,最后一笔100多元。由于许多用户习惯设置100元转账上限,达到该限度,系统将给关联的手机发送短信确认,盗贼将立即露馅,转款不会得逞。盗贼之所以很有耐心,每次间隔1小时再转款而不是连续转账,也是为了回避激活支付宝系统的安全预警。支付宝系统如果监控到用户账户异动,可能采取包括暂时性冻结账户等临时管制措施,以保护用户安全。
杨记者事后发现,转入户主于少龙经过了支付宝实名认证。换言之,支付宝是掌握了此人身份信息的。虽然实名认证也可能作假(例如通过假身份证注册和通过认证),但是支付宝毕竟掌握了包括注册手机号码、开户银行账户、交易发生地点和IP地址等等关键信息,骗子不可能不留下任何蛛丝马迹。通过向公安部门提供这些信息,抓获骗子就多了一分把握。遗憾的是,支付宝客服拒绝提供对方信息,理由冠冕堂皇:用户隐私信息只能向公安部门提供。在试图向网监处报案未果的情况下,2月11日下午,杨记者来到户口所在地辖区派出所报案,一个年长警官兴趣盎然地听完了她的讲述并作了详细记录,但表示能否立案要领导定,并称“这件事情不像看起来那么简单”。杨记者事后在微博上合理地表达了失望:花了半小时给警官普及支付宝交易知识,几乎忘记是来报案的。
得不到警方立案支持,自然也就寸步难行了。作为一名普通公民,遭遇如此普通的网银账户被窃案件,不了了之是唯一明智的选择。罪犯巧妙地躲在层层技术和体制的坚实壁垒保护后面,你明明知道他就在“那里”,却全然无能为力。
事后得知,杨记者申请和安装了个人证书,登录密码和交易密码还特别做到了差异化,但她未开通关联手机认证,这就为黑客攻击留下了一道虚掩之门。账户登录第一层防线被木马攻破后,作废证书或重置密码等进一步操作需要手机确认,如果没有设置第二道防线,窃贼就会很感谢你的合作。
退一步讲,是不是开通了手机认证就万事大吉了?你这样想就错了。
安防武装到牙齿不敌犯罪手段高
杨记者只损失了400元钱还算走运,淘宝上另外一位五皇冠卖家则不然,他的遭遇一度引起了广大淘友关于支付宝安全的普遍恐慌,一时成为讨论热点,留言多达百余页。这不仅仅是因为损失巨大,更重要的是此君防护森严几乎无懈可击,居然还是让黑客得手——“近乎完美”的犯罪手段沉重地打击了淘友的信心。
根据这位网民的回忆,去年2月的一天,他偶然发现淘宝上莫名其妙冒出来6笔订单记录,且全部都是购买手机充值卡的,总金额高达14256元。起初他并不在意,以为是系统错误,但事后查对,不禁吓出一身冷汗,认识到账户被盗。由于账户“异动”已被系统关闭,支付宝账户管理权被系统接管,但是为时已晚,窃贼已完成数笔大额交易。幸亏由于盗贼贪心过大,急于求成,启动了一单9900元的巨额充值消费,引起手机充值卡卖家的警觉,后者不相信这笔天上掉下来的大单,及时关闭了交易,才避免了五皇冠卖家最大的一笔损失,尽管如此,他的损失还是高达4356元。
作为淘宝网上五皇冠级别的资深卖家,淘宝和支付宝的整套交易规则、安全机制、黑客攻略可以说他都了如指掌,全套软件防护手段无一遗漏。既然如此,窃贼又是怎样得手的呢?经过深入不懈的追踪,结果令人震惊,问题竟然恰恰出在貌似最安全的手机认证环节,这一案例也给传说中“牢不可破”的手机支付安全神话敲响了警钟。
作为支付宝安全认证的一种二次确认手段,支付宝引入了业界成熟并广为采用的手机短信确认机制。其假定前提和技术原理是:每个手机号码指向一个合法用户(依靠身份证件作为背书),在个人账户若干关键操作环节,除采用证书、口令、提问等一般性保护措施外,更引入手机二次激活确认,如果黑客攻破第一道防线,进一步操作的时候就会自动激活用户事先设置好的短信确认,如果不是事主自己在操作,就会起到报警作用。应该说这在相当大程度上有效地发挥了最后屏障作用,保证了绝大多数用户的账户安全。记者一次在交易中即遭遇钓鱼,账户被盗而不自知。但是由于事先设置了手机关联,窃贼转账金额超过了设置上限,激发短信通知,本人警觉,及时重置密码并关闭了交易,避免了一宗损失。但是如果遇到杨记者遭遇的狡猾的黑客,善于化整为零,耐心细致地制造多笔小额交易,转走余额,无须交易确认,且盗贼懂得适可而止,并不扩大战果,例如修改密码或作废证书,用户还是难免中招。
经查实,这位淘宝五皇冠卖家遭遇的黑客手段更加诡秘。他回忆,账户被盗这段时间,自己的手机提示SIM卡显示无服务,这通常是由于SIM卡接触不良或者SIM卡被注销。他意识到,自己的手机卡可能被克隆了。他立即来到营业厅核实,发现当天下午3点许,犯罪嫌疑人在浙江省台州市黄岩区横街东路某营业厅,进行了换卡操作。后经进一步查实线索清楚了,嫌犯使用假身份证,到该营业厅办理了SIM注销和换卡手续,登录淘宝网的IP地址在海口,可能是异地联动作案。盗贼利用支付宝的手机确认机制,找回支付宝的登录和支付密码,同时注销并重新申请新的用户数字证书,找回淘宝登录密码,再用你淘宝绑定的手机号全权接管和控制你的淘宝与支付宝,疯狂洗钱,购买充值卡,一切操作直如探囊取物。到此,淘宝利用手机验证码建立的整套安全防御体系被窃贼瞬间秒杀。黑客动作娴熟麻利,操作行云流水,完成全部交易只用了20多分钟,这么短时间,用户根本来不及反应和做保护性操作。
用户在注册淘宝和支付宝账号的时候,填资料以及绑定手机所用信息99%是一样的。比如绑定手机号,绝大多数用户为了省事不会去用两个不同的号码,有人甚至登录口令和交易密码都是一样的;再如绑定的邮箱,十之八九就是支付宝账号。窃贼最喜欢“懒人”,随手设置可能为黑客入侵所利用。淘宝资料是公开的,交易双方可以轻易得知对方的邮件和手机号码,再加上不完善的审查机制,这就给黑客留下了充分的作案空间。
网络交易已经成为黑客作祟重灾区。来自中国反钓鱼网站联盟一项调查:针对网络交易和金融证券类的钓鱼网站占到了全部钓鱼欺诈的86.38%,有38%的网友在网购过程中遭遇过钓鱼类欺诈。支付宝会员已超过1.5亿户,作为最大的网购支付平台自然首当其冲。最近在某安全网站开展的一项针对支付宝用户的调查结果显示,认为很不安全和不太安全的用户占到了调查人数的71%,只有不到5%的用户感到安全,可以放心使用。面对用户的损失,商家倾向于把全部责任推给用户,报警也常常枉费工夫。任何人只要花5块钱即可查询到其他人的身份证信息,造假技术足以以假乱真。安全人士表示,现有法律法规和机制不健全,个人隐私被滥用现象普遍,尚找不到万全解决之道。对于普通用户而言,除了首先充分使用支付宝提供的所有安全防护手段外,尽量不要图省事,在支付宝中存粮多多,而应该只将其作为银行账户网络交易的接口和临时“钱包”,多一层银行防护就多一分安全。
