360官网 - 360安全软件 - 360智能硬件 - 360智能家居 - 360企业服务
360安全卫士
拦捆绑，反欺诈，十年“卫”生活
浏览器/杀毒
全面防护，性能出众
360智能硬件
安全从身边做起，保护更加全面像是短信验证被劫持，支出成本高等问题，有什么办法可以保障我们的信息安全呢？_百度知道
像是短信验证被劫持，支出成本高等问题，有什么办法可以保障我们的信息安全呢？
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
获赞数：290
擅长：暂未定制
我觉得短信验证那些问题，现在的免密登录就挺好的呀。不但支出成本低，而且不易被劫持，在登录验证上一步到位呢。验证过程中把我们的信息加密发送，即使被劫持，对方也是无法获取里面内容呢，关键是2秒内就能完成了呢。
为你推荐：
其他类似问题
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。　　电信诈骗案屡禁不止、防不胜防，使得银行和银行客户都成了受害者。　　那么不法分子到底是如何神通广大，获取客户信息的？而客户又该如何保护自己的信息安全，防范盗刷之手伸向自己？显然唯有厘清细节，见招拆招，才能保护好自己的资金安全。　　对此，招商银行(600036,股吧)除配合好公安部门，合力打击包括“伪基站”在内的电信诈骗案外，也积极研究诈骗分子各种新招，不断提升风险防范能力，并做好客户风险宣教工作。　　针对近期出现的诈骗案例，招商银行再次支招，回应媒体和客户关切，提醒客户防止信息泄露是预防银行卡被盗刷的关键。　　记者：招商银行网上银行转账需要哪些条件？　　答：招商银行网上银行转账，客户需携带卡片、开户证件到网点签署协议或通过UKEY专业版开通转账功能。转账时需验证客户卡号、密码和手机短信验证码。银行系统会向客户预留手机号发送短信验证码，完成短信验证之后才会授权交易通过。也就是说，完成短信验证，是成功交易的必要条件之一。　　记者：不法分子如何获取个人信息进行交易的？　　答：当前电信诈骗猖獗，不法分子会通过多种渠道窃取用户信息。更有甚者，手机卡被不法分子在异地控制并使用，以致相关盗刷交易自己无法收到动态验证码。出现这种情况主要是因为客户手机系统中病毒或被劫持，验证码短信被“拦截”或窃取，导致客户交易信息泄露，资金被盗刷。　　记者：客户如何保护个人信息安全，防范电信诈骗？　　答：注意个人信息安全，防止信息泄露是预防银行卡被盗刷的关键。在日常生活中，不要随意点击收到的短信链接或图片，不要随意下载安装未经验证的软件APP，妥善保存卡号、密码等个人信息。请给您的手机和电脑安装杀毒软件，避免病毒或流氓软件。对于来路不明或涉及银行账户信息的电话和短信，请及时拨打我行官方客服电话95555咨询。　　记者：在应对欺诈交易方面，招行有哪些应对措施呢？　　答：招行多次向客户发送风险提示短信，强调保护个人银行卡信息，切勿以任何人以任何方式透露密码或验证码；通过手机银行APP、一网通主网站、大众版界面、专业版界面、营业网点等多个渠道发布安全提示信息；在多家媒体及官方微博发布《一条验证码引发的诈骗，不得不看的防骗贴士》、《双11招行教你如何防盗刷》、《防电话诈骗必看，他们如何让骗子们空手而归》等安全教育文章；此外，招行也在加快生物识别等技术的应用，不断提升风险防范能力，努力打造安全便捷的网络交易环境。
相关文章推荐后使用快捷导航没有帐号？
短信验证码不安全 两步验证App急需普及
摘要: 不知从何时开始，手机号成了注册各种账号的必要信息，短信验证码也成了各种敏感操作的验证方式。大家都知道只要不把验证码告诉别人，自己的账号安全就能得到保障。毕竟手机在自己手里，贼总不能来抢我的手机吧？但事 ...
不知从何时开始，手机号成了注册各种账号的必要信息，短信验证码也成了各种敏感操作的验证方式。大家都知道只要不把验证码告诉别人，自己的账号安全就能得到保障。毕竟手机在自己手里，贼总不能来抢我的手机吧？但事实并非如此，短信验证码的安全隐患比想象中大的多，所以抛弃短信验证码势在必行。▼短信验证码权限极大目前，短信验证码已被广泛应用于社交媒体、网站、论坛、游戏、银行金融和医疗等平台上。短信验证码可以帮助用户进行修改密码、修改绑定邮箱等敏感操作。短信验证码也能让用户不输账号密码直接登陆。所以短信验证码的权限很大，一旦被不法分子利用后果不堪设想。不知道用户名和密码照样可以用短信验证码登陆▼短信验证码的头号天敌：SIM卡劫持SIM卡劫持可以通过多种方式实现（比如SIM卡克隆），是一种可以完全控制一个手机号的技能。可怕的是这种技能的学习门槛和实现难度都不高。比较低级的SIM卡劫持方法甚至可以在网上随便搜到教程。越高级的方法需要的“原料”越少。2017年黑帽大会上曾演示了只需一个手机号码就在一分钟之内劫持SIM卡的方法。网上的破解SIM卡视频教程一旦SIM卡被劫持，你的手机就会立刻没网。这时不法分子可以随心所欲使用你的手机号。比如窃取你的隐私，诈骗亲戚朋友，或者通过手机短信验证码来盗取你的社交媒体账号和资金财产。手机硬件发展迅速，但SIM卡的科技等级非常“古老”从本人搜集的国内外十几个案例来看。从不法分子获得SIM卡控制权，到从银行偷钱平均也就15分钟左右。也就是说，一旦被劫持，等你打通银行客服，钱很可能已经被偷了。▼更安全的验证方式：基于APP的两步验证短信验证码一直是使用最广泛的两步验证方法。但正如上文所述，短信验证码的安全隐患很多。所以银行业很早就开始使用动态口令卡（比如网银U盾）——一种类似于U盘的专门显示动态验证码的设备。但想使用动态口令卡必须将其随谁携带，便利性不佳。所以现在不少平台都启用了依赖于手机APP的两步验证，相当于把动态口令卡集成在了手机中。动态口令卡使用手机两步验证APP时，用户需要首先安装并设置好APP，包括对需要验证的账户的绑定。绑定完成后再登陆这些账号时，两步验证APP就会推送动态验证码。用户必须在登陆界面输入该验证码才能完成登陆。当然，两步验证APP不仅可以用来登陆，也可用来验证其它敏感操作。大部分两步验证APP基于TOTP机制，不需要任何网络连接（包括Wi-Fi），也不需要短信和SIM卡，验证码完全在手机本地生成。所以APP两步验证几乎免疫了SIM卡劫持。谷歌验证器还支持安卓手表为什么说几乎呢？那是因为在首次安装两步验证APP时，用户需要通过短信进行一些初始设置的验证。但只要确保这时SIM卡不被劫持就安全了。两步验证APP的验证码另外必须要说的是两步验证APP只是绕开了短信验证码，并没有解决SIM卡劫持的根本问题。也就是说你的SIM卡还可以被劫持。只不过不法分子不能在通过你的SIM卡威胁你的网络和财产安全了。▼两步验证APP的现状两步验证APP主要分两类：“独占类”和“开放类”。独占类指只支持自家账户登录的两步验证，比如新浪微盾。开放类则是一个纯粹的两步验证APP，支持绑定第三方应用。这样一个APP就能变成很多账户的验证器，比如Authy 2-Factor Authentication。Authy 2-Factor Authentication支持很多账号国外的优质开放类两步验证APP很多，都在这两年流行了起来。主要是因为它们支持很多常用账号，包括主流社交媒体、游戏、银行、教育和医疗等平台。国内的两步验证APP基本都是独占类。这样一来每个账户都需要单独装一个APP，所以用的人很少。▼结语基于TOTP机制的两步验证APP有着比短信验证码高得多的安全性和相媲美的便利性，是一种能保障用户财产安全的工具，非常值得推广。希望国内会有信誉可靠的大公司推出开放类的两步验证APP，允许用户绑定各种第三方账户，抛弃短信验证码。这样才能把SIM卡劫持的危害降到最低。
小编推荐：欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术，请
注册黑基账号，公开课频道价值万元IT培训教程免费学，让您少走弯路、事半功倍，好工作升职加薪！
本文出自：https://3w.huanqiu.com/a/0a1d90/7EVBsistmY8?agt=20
免责声明：本文由投稿者转载自互联网，版权归原作者所有，文中所述不代表本站观点，若有侵权或转载等不当之处请联系我们处理，让我们一起为维护良好的互联网秩序而努力！联系方式见网站首页右下角。
刚表态过的朋友 ()
上一篇：下一篇：通付盾：短信验证码被轻易劫持 账户安全谁来保障
今年4月初，一条“用户因为回复退订短信，导致三张银行卡内数万元存款在三小时内陆续被转走”的新闻刷屏网络。短信验证码的安全问题被推上了舆论的风口浪尖。 案件还原： 4月的某天，用户收到订阅短信，回复TD提示指令错误；几分钟过后，用户再次收到订阅短信，提示余额不足；紧接着，用户收到运营商发来的短信USIM卡验证码；以及一条提示回复取消+验证码，取消订阅的短信；用户按要求输入后，用户手机无信号，接下来，支付账户内余额及三张银行卡内数万元存款在三小时内陆续被转走。
图1. 退订短信引发银行卡盗刷案案件过程还原
1、被泄露的账户信息——严峻的账号安全形式 信息泄露是移动互联时代最大的信息安全威胁，2015年，我国相继发生几大邮箱账密泄露事件，大量用户数据被窃取。其中最严重的泄露数据更是超过5.4亿条，引发了社会公众对个人信息泄露的大面积恐慌。同年，各大网站的账户系统漏洞，均造成了逾千万的信息泄露，包括身份证、社保参保、财务、薪酬、房屋、旅行行程等信息均在此列。 “报告显示2015年国内数据泄露50亿+，人均8条”通付盾产品部总经理刘伟博士在6月23日的银行系统IT技术交流会上对此表达了深刻的忧虑。在巨大经济利益的驱使下，不法分子不惜铤而走险，使用撞库、盗用、欺诈等方式进行数据窃取和数据贩卖，盗取用户个人信息。 用户个人信息（包括姓名、身份证号码、银行卡号、手机号码、支付账号等）一旦泄露，在支付的关键环节，动态的身份认证方式的可靠性，将直接影响用户的资金安全。 2、一条短信验证即可确认转账——短信验证码之殇 短信验证码作为动态的身份认证方式是否可靠？分析一下本文开头提到的“退订短信引发的银行卡盗刷”案件，不难发现，在收到退订短信之前，用户的个人信息已经完全泄露，这是不法分子发起的、针对个人信息已经泄露的用户，进行的恶意短信验证码劫持攻击。 不法分子依托从黑市交易得来的用户个人信息，利用短信验证码身份认证可轻易被劫持的漏洞，使用银行卡快捷支付绑卡和手机号码密码找回功能，发起了资金窃取和资金转移。
图2. 短信验证码进行身份认证的单向流程示意
事实上，短信验证码身份认证是很多银行和支付平台常用的移动身份认证方式。诚然，短信验证码具有用户体验好，成本相对较低的优势，但其以短信发送单次密码的方式，安全风险显而易见，由于业务系统与用户手机短信之间单向的信息传递，极易发生短信通道被劫持、手机盗用、山寨钓鱼网站和手机中木马病毒的问题，进而引发验证码劫持、中间人攻击、非授权访问等安全威胁，引起账户资金盗用。
图3. 短信验证码身份认证的安全风险汇总
总的来说，当前银行系统常用的身份认证方式主要包括短信验证码、令牌和U盾。从安全性的角度考虑，U盾的安全性优于令牌，而令牌优于短信验证码。与之相对的便捷性则恰恰相反，在用户体验方面，短信验证码优于令牌，而令牌又优于U盾。也就是说，短信验证码作为身份认证方式的安全级别是最低的，但出于用户体验考虑，在身份认证领域仍然被广泛应用。 3、技术与技术博弈——账户安全何去何从 “通付盾一直在探讨一种能够通过技术手段兼顾安全与便捷的身份认证方式。”在通付盾产品部总经理刘伟看来，能够对抗黑产和不法分子花样百出的账号盗用方式的，只有技术创新。 “多因子认证是通付盾采用软件（移动APP）模拟硬件U盾，使用手机实现前后端双因素认证。”据刘伟介绍，从技术的角度讲，通付盾多因子认证整合前台应用加固、安全控件等多项安全技术，以及后台设备指纹等移动身份认证方案，实现准U盾级别的安全认证。通过PIN码、生物特征等多种身份认证方式，内置设备指纹及应用保护模拟硬件存储硬件ID，远程获取密钥生成OTP，能够解决所有U盾能够解决，而短信验证码无法解决的安全威胁。 账户安全，安全是第一位的，但用户体验也同样重要。通付盾多因子认证集安全与便捷于一身，在实现准U盾级认证方式的同时，用户通过安全信道，以手机为终端确认账户登录、转账等关键操作，便捷性甚至不输短信验证码，实现极致的用户体验。
图4. 通付盾多因子认证集安全性与便捷性于一身
在账号盗用情况日益猖獗、黑产技术水平不断升级的未来，通付盾多因子认证的市场表现将越发值得期待。 本文根据通付盾产品部总经理刘伟博士在6月23日由《金融科技时代》杂志主办的银行系统IT技术交流会上发表的演讲整理而成。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点