近期，央視多個節目集中報道了不法分子通過地下黑色產業鏈，盜取用戶銀行卡信息，攔截用戶驗證碼短信，進而盜取用戶錢財、盜刷用戶銀行卡。節目收視率很高，分析深刻、嚴謹縝密、觸目驚心!

《震驚!5分鐘網上買到上千銀行卡信息幾乎全部正確》

《起底“電信詐騙術”之“驗證碼”騙局》，

經分析，不法分子正是抓住了目前銀行“用戶名口令+短信驗證碼”偽雙因素認證的漏洞，利用地下黑產勾結合作，輕易的實施了銀行卡盜轉盜刷。

步驟一、我沒告訴他，壞人怎么知道我的賬號密碼?

黑客干壞事，首先要獲得的是銀行卡信息，包含了銀行賬號、用戶名、賬號口令等等。銀行卡信息的盜取主要有以下四種方法：

方法1：拖庫撞庫

近年來發生了大量知名網站拖庫撞庫事件，用戶名密碼泄露嚴重。不法分子可以先通過網絡上已泄露的用戶名密碼等，嘗試驗證用戶信息。很多用戶的銀行賬號口令與郵箱口令等常用密碼一樣，而有的銀行為了方便，直接使用用戶手機號作為手機銀行登錄賬號，這使得黑客可以從用戶常用密碼，推知銀行密碼，登錄網上銀行、手機銀行。

方法2：偽基站釣魚短信

犯罪分子利用偽基站，給用戶發送含有釣魚網站的短信，用戶點擊后跳轉至虛假網頁中，但界面與銀行網站完全相同。用戶會被要求填寫賬號、密碼、身份證號、預留手機號等各種信息。僅360平臺上監控的釣魚網站，半天時間就有超過1億次點擊。

[[170298]]

方法3：免費WIFI竊取個人信息

不法分子改裝WIFI并免費對外提供，用戶一旦接入，所有互聯網的數據都可以被黑客監聽或竊取。以下是315央視報道的免費WIFI竊取賬號信息。

方法4：改裝POS機提取銀行卡信息

使用非法改裝后的POS機，誘使用戶刷卡。改裝POS機中增加模塊，可以提取用戶卡號及密碼。

步驟二、手機在我手，短信去哪了?

即便銀行卡信息被盜，轉賬付款時還有第二道安全閘門“短信驗證碼”來確認用戶身份，但現有的短信驗證碼安全機制薄弱，雖然手機沒有丟，可黑客輕松地攔截竊取短信，進而盜取用戶錢財。

短信驗證碼攔截主要有以下四種方法：

方法1：通過手機木馬APP攔截短信驗證碼

黑客向用戶手機里發送木馬，木馬通常會偽裝在一些正版手機軟件中，成為仿冒軟件，只要受害者安裝后，手機短信內容就會被犯罪分子攔截甚至直接在短信收件箱內刪除。受害者的手機既收不到消費提醒也收不到驗證碼。

方法2：干擾手機信號，通過空中接口攔截

由于手機短信是明文方式在網絡中發送，通過特殊的接收設備對手機信號進行干擾，該設備便能從基站廣播的空中接口截獲該短信內容，唯一限制是該設備與受害者距離需要在一定范圍以內，距離太遠是不行的。

方法3：利用運營商短信保管箱，平臺側攔截

運營商為用戶提供短信保管箱增值服務，幫助用戶將短信在運營商平臺側實時自動備份。然而該業務方便用戶的同時，也為不法分子帶來了可乘之機。黑客通過撞庫進入用戶的短信保管箱，即可拿到短信驗證碼。2015年7月份網絡瘋傳的《我與工行+10086的撕逼大戰》事件中，黑客就利用了這個漏洞。

[[170299]]

方法4：利用運營商空中換卡漏洞，復制SIM卡

運營商為方便用戶更換4G卡，提供了遠程自助換卡流程。然而有不法分子利用手機業務定制和退訂的功能騙取受害人的短信驗證碼，通過電信運營商自助換卡業務復制受害人手機SIM卡，轉移和竊取用戶資金。

步驟三、錢怎么到別人碗里去了?

獲得了用戶的賬號、口令、短信驗證碼，萬事俱備只欠東風。接下來黑客直接登錄手機銀行、網上銀行，發起轉賬，用短信驗證碼確認轉賬交易，或者通過短信驗證碼，將銀行卡掛在第三方支付賬戶下開通快捷支付，通過快捷支付進行購物、資金轉移。

短信驗證碼、快捷支付雖然都有交易上限的風險控制，但黑客一般在用戶未發覺前，用螞蟻搬家的方式，逐步清空各個賬戶。

這一系列事件對整個金融行業和信息安全產業帶來了很大震動，在社會上造成了惡劣影響。

目前銀行的用戶認證體系中，“用戶名口令”驗證你知道什么(what you know)，而“短信驗證碼”驗證你有什么(what you have)，共同構成雙因素認證。用戶名口令被盜是當前業界普遍問題，從之前互聯網企業頻繁被拖庫撞庫也可以看出，基于密碼的驗證不能作為唯一手段。然而，銀行短信驗證碼作為OTP(One Time Password)一次一密口令，從其生成、發送、到保存，各個環節都是明文，任何一個環節被攔截(如運營商、基站空口傳輸、手機本地保存等)，都會造成盜轉盜刷銀行卡的巨大風險。因此，提高短信驗證碼的安全性，確保驗證短信不被攔截，或攔截后黑客不可用，成文解決該問題的關鍵因素。

思考：我們怎么保護自己的財產!

短信驗證碼目前已經成為大家公認的方便快捷、使用最廣泛的認證手段之一，短期內不可能消失或替代。面對黑色產業鏈的來勢洶洶，有沒有一種手段，能夠在不改變用戶體驗的前提下，解決上述問題?

芯盾安全認證系統是由北京芯盾時代科技有限公司研發的用戶認證安全產品。

利用獨有的設備指紋、生物指紋、大數據指紋技術，該產品對現有身份驗證方式進行革命性的創新，為金融、政府、互聯網及各行各業提供更安全、免密、智能、低價的身份認證服務。

該產品通過芯盾安全認證、短信驗證碼加密、軟件動態令牌等多種解決方案，可防范短信驗證碼攔截帶來的風險，確保用戶身份安全，有效防止銀行卡盜轉盜刷問題。在芯盾安全認證系統的保護下，即使用戶銀行卡信息已經泄露、短信驗證碼被壞人截獲(木馬截取、空中接口攔截、平臺攔截、甚至用戶被騙后主動告知壞人)，該系統也能夠有效識別，確保不法分子無法進行盜轉盜刷。而且更關鍵的是，合法用戶仍可按原有方式使用驗證碼，完全無感知。

芯盾安全認證系統通過獨有專利技術進行設備識別及綁定，建立用戶、設備與業務等多維度的對應關系。使用SSE(Soft-SE)、HOTP認證算法、設備指紋、大數據等關鍵技術，確保相關信息的存儲及運行時安全性，面向移動終端支付、認證等業務提供端到端安全保護。

該產品通過國家信息技術安全研究中心(N&A)的安全測評，已在南京銀行正式上線，并在恒豐銀行、山東城商行聯盟、寧波銀行、江蘇銀行、吳江農商行、華泰證券等地完成POC測試，即將上線。

芯盾Trusfort，隨心而動，秉信而行。