今年开始,一种仿佛是“黑魔法”的新诈骗手段叫人人心惶惶:受害者只是睡了个觉,醒来就看到手机显示数百条在各大购物网站、手机银行甚至借贷网站的消费转账记录。受害者什么也没做,就仿佛手机成了精,趁主人熟睡时疯狂买买买。
原来,这种新的诈骗形式综合了“GSM劫持”和“短信嗅探”的技术来读取用户短信,包括验证码。不过这里有个好消息:近期阿里通信推出的号码认证服务,对手机验证流程进行革新,从源头上防范窃取短信验证码的诈骗形式。
首先我们看看盗取手机验证码诈骗的原理。
简单来讲,我们的手机需要通过基站来进行短信收发,罪犯使用一种GSM劫持设备,来窃取某个基站区域内的手机所收到的所有短信,偷看你的短信如入无人之地,又不会在你的手机里留下“把柄”。
目前,短信验证码已经成为互联网金融、电商服务验证的主要形式,一旦短信验证码被窃取,最后一道安全屏障就被突破了。许多验证短信附加的那句善意提醒“勿向他人泄露”、“注意保密哦”也就成了空谈。再利用从短信中顺藤摸瓜收集到的其他信息如身份证号、姓名、银行账号等,骗子就能很容易地登陆各类电商平台。更有甚者,还以受害人的名义进行网上借贷,让受害人一夜之间不仅散尽千金还背上债务。
由于这项“短信嗅探”的技术是针对GSM网络制式的,在国内的潜在打击面很广。三大运营商中,移动和联通都是采用这个制式。目前许多反诈骗文章介绍的保护手段,一种是告诫用户在犯罪高峰时期(夜晚)开启飞行模式、保护好个人账号等,但这毕竟治标不治本,无法彻底避免风险,也增加了用户的使用负担。一种是向运营商呼吁不再使用GSM网络制式等,恐怕很难在短时间内实现。
但是现在,一个治本的、可立即投入商用的技术已经出现了。阿里通信推出的“号码认证服务”,不走短信验证码的"明路",采用无感知的验证方式。在用户端的体验就是:确认用手机号码进行验证,一两秒后就通过了网关。极简体验的背后,却有更高的安全度。
号码认证服务使用“网关认证”的技术,用户发送请求验证的需求,就通过网关将用户的手机号和网关设备信息加密之后传输到账号平台,账号平台进行解密后,在后台操作验证通过。
由于整个验证流程是通过后台的加密数据包进行的,没有短信收发流程,就像是转到暗处打地道战,“短信嗅探”也就劫持不到了。
现在这项技术已经在阿里云的网站上线,面向各类企业进行销售(链接)。阿里通信也是第一家打通三网提供此项技术的公司。我们也建议各个涉及财产安全、隐私信息的网站、APP能够及早升级验证方式,避免真正的黑科技入侵。
魔高一尺,道高一丈。阿里通信会继续以技术为武器,与通信诈骗斗智斗勇,为用户保驾护航。
阿里云官网号码认证产品详情页地址:https://www.aliyun.com/product/dypns
