新闻动态

关注动态 了解欣易辰

短信验证码的漏洞有哪些?如何正确的选择短信平台和接口服务商

发布时间:2019-01-24 11:05:12 点击率:

短信验证码的漏洞有哪些


您有2000积分可兑换,请登录手机网www.xxxx.com查询兑换,逾期失效【中国建设银行】”“尊敬的旅客,您乘坐的4月15日ZH9471北京-福州8:30航班出现故障不能起飞,收到信息请及时联系专线18504931234或登录www.xxxx.com网站办理变更或退票手续【深圳航空】”


“尊敬的车主,您的车尾号594有新的违章记录,扣6分罚200元,请您及时处理查询网站cxwz.xxx.cn【北京交通管理局】”

……目前这种带链接的网络诈骗方式已经没办法群众了,骗子们于是又想出了各种各样的新方式。你的手机不是绑定了各种宝,各种包,各种信的银行卡么,我就骗你手机号,骗你的验证码。一码到手,万事皆有!

7c1bff19ff4e7a375f1fcb2415377a29.png

等等,短信验证码不是保护信息安全的么,怎么反而变成骗子手中的利器了。小编就带你剖析一下验证码是个什么鬼,怎么能不让骗子的阴谋得逞!


解密验证码原理


验证码是保障网络安全的一道有效屏障。设计验证码的初衷是为了区别机器和人类。计算机会生成一个问题,但是必须只有人类才能解答。由于计算机无法解答的问题,所以回答出问题的用户就可以被认为是人类(from 维基百科)。


目前网络中常用的认证方式就是“双向认证”的过程。用户与服务提供商之间互相认证对方的身份。服务提供商获取用户的部分真实信息(比如用户手机号、身份证号、邮箱等),用户则需要通过短信或邮箱验证来确认信息的有效性。经常用到的就是手机短信验证这种方式了,因为绑定了手机就等于绑架了用户。

14a5936bffa052867707e049e5e3723d.png

需要绑定手机的事件一般多多少少都与钱有关,比如某宝账户注册、绑定银行卡、更换USIM卡等等。关键就在于“手机号+验证码”是否在同一个人手里。用户与服务提供商绑定的过程中任何一个环节出现漏洞都可能导致用户信息泄露,自己的账号变成别人的账号,卡里的钱也会哗哗的溜走……骗子们也通常都会在这些关键环节上下功夫。以一个某宝绑定手机注册为例:

1、网站输入手机号,并点击“获取验证码”按钮;


2、生成验证码,并通过网站绑定的SP,接入到用户所在的运营商网络短信中心,将用户手机号和验证码告知短信中心


3、短信中心找到用户,并将验证码以短信形式发送到用户手机上:

Send Routing Info(SMC-HLR)找到用户所在的MSC/VLR;

MT Forward Short Message(HLR-MSC/VLR)将短信发送到用户所在的MSC/VLR;

Paging-Cp Data(MSC/VLR-UE)寻呼并找到用户后,将短信发送到用户手机上,其中鉴权/加密的过程是否进行根据网络设定。

3b29393e463bcb17ff7632b6ec7bc308.png

4、用户收到验证码,将验证码输入到网站相应位置,并提交,网站认证用户提交的验证码与其发送的验证码一致,审核通过,手机号绑定成功;

5、用户在该网站用户及相关信息的变动均可发送至用户绑定的手机号上。

 

漏洞在哪里?


在这个验证码层层下发的过程中,任何一个过程出错都可能导致晚节不保。小编就带你逐个分析一下哪个环节可能会泄露信息吧。

611e7d7f2ae4f94d6e23c82599a58173.png

运营商网络


1、无线侧:目前无线侧只有GSM网络不加密,3/4G网络信息均有加密处理,无法在空中接口这一侧获得原始信息,所以2G网络慎入!


2、网络侧:网络侧是可以解析出原始的信息的,在上图标注SMS的地方就会带短信的原始信息(也就是验证码)。但是不攻破运营商网络或者大量监听线路也是无法获得的,这个成本和代价都比较高。除非运营商内部员工监听,不过我们通信er们还是有自己的职业操守的!


用户 

 

1、用户本人:本人在被骗的时候存在泄露验证码的可能,就好比把自己银行密码写在一张纸上递给了骗子。

2、用户终端:手机被盗或者被安装了木马/病毒,短信可能会被别人截获;

3、用户卡:原始的SIM卡容易被复制,目前网络侧还没有识别的好办法。USIM卡是无法被复制的,但是可能存在被替换的可能,比如下面的例子;


服务提供商


SP内部信息泄露这个事情屡见不鲜,各种用户信息、身份证、密码都存在泄露的可能,这种漏洞只能靠服务商们的运营和监管制度来保证了。

 

真相只有一个!

379d890427ab14d6f4b551eee2c4f724.png

上面这位小盆友很不幸中招了,骗子用一连串的骗术从各个角度击破,终于成功卷走了他所有的钱。小编带你剖析一下这些神秘的骗术都是什么:


1、骗子的SP1:给用户发了一条“中广财经”的短信,让用户相信自己有这个业务;

2、骗子的伪基站/号码变换:模拟100XX给用户又发送了提示开通和余额不足的短信,让用户再次确认真的有这个业务;

3、骗子的SP2:又发送业务开通的活动,关键是包括了退订方式“取消+验证码”的短信,在骚扰用户的同时让用户想抓紧取消这个业务;

4、骗子的USIM卡:骗子在网站上尝试登录,并点击获取验证码给用户;

5、用户将自己的验证码发送给骗子的SP平台;

6、骗子收到验证码后在网络侧验证成功,USIM卡成功掌握在自己手中,逐步开始后续的犯罪活动。


利用了用户对验证码保密性了解不足,简单几步就攻陷了心理防线,将自己的账户变成了别人的账户还浑然不知。真的一点点都不高科技,好么~


安全防范


验证码就是你自己的银行卡密码。如果把验证码发给别人,尤其是不认识的人,可能就会钱包不保。因此保护个人信息安全不仅仅是运营商、银行、业务提供方的责任,更是自己的责任。这个世界总是防不胜防,保护好自己从不转发验证码做起。


网站运营中不可避免的要用到手机短信接口,主要用于注册、登录中的手机短信验证,订单流程中的订单短信提醒和物流短信提醒,交易流程中的账户变动短信提醒,安全设置中的手机二次验证等,但在选择了不好的短信平台服务商之后网站本身会有很多困惑如何正确选择短信平台和网站短信接口服务商


1. 手机短信不能及时收到,通常延迟要在3分钟以上。

2. 用户收到短信的特服号经常变,不能固定。

3. 用户有问题不能回复上行短信,不能进行基于短信的互动客服。

4. 用户收到短信后的签名岳缀是一个和自己不相关的签名,很容易给用户误解。

5. 不能对外宣传公司专用的短信通道,因为不固定。

6. 特服号太长,通常超过15位,不易记不易宣传。

欣易辰成立于2009年,总部位于深圳市南山科技园“清华信息港”,作为国际领先的智慧通信服务提供商,为企业提供高质量的云通信服务!核心业务覆盖短信、 流量、视频、语音、国际SMS、RCS融合通信、物联网、大数据等方面!欣易辰是国内三大运营商核心合作伙伴,与国内32个省份的运营商均建立了密切的合作关系,并和国外通信巨头保持良好的合作势头,保障国内外信息通道畅通无阻。独享三大运营商网络及号码资源,全球五大洲,国内21省市密集的资源网,运营商接入、资源落地、一站式服务。


客服

在线商务咨询

电话

业务热线:0755-21535320