7月30日晚,@美年達文西的支付寶、京東賬號被盜刷,除了賬號中的現金損失,還有被「盜」開通的小額借貸的損失。
本次盜刷成功,除了攻擊者獲得了被盜人的私人資訊外,還有乙個很關鍵的因素,那就是攻擊者通過技術手段,獲得(攔截)了盜刷過程中所需要的簡訊驗證碼。
其實準確的講,「私人資訊+驗證簡訊」這一類的多因子認證,應該被稱為「偽多因子認證」。因為在「私人資訊+驗證簡訊」這類多因子認證大行其道的今天,攻擊者完全可以通過其他途徑和手段(如地下黑產的資料庫交易市場)先行完成攻擊所需的「私人資訊」的準備,從而將多因子驗證變為單因子(驗證簡訊)驗證。這時攻擊者只要能攔截到驗證簡訊,則就可以完成對被攻擊目標的攻擊。
案發後,人們普遍的擔心的是明天一覺起來,同類攻擊降臨到自己頭上。官方的推薦方法的是保護好自己的私人資訊。但這好像是廢話,因為誰又會把自己的私人資訊滿世界告而廣之的?但是有誰又能拍著胸部講自己的私人資訊沒有出現在地下黑產的資料市場上?。安全專家則是在此案的被盜過程的分析的基礎上,給出了防盜秘笈。
在當下網際網路應用已經深入到百姓生活的方方面面的情況下,沒有人能保證自己的私人資訊不被他人所收集。唯一的區別就是在某種網路應用的攻擊中,攻擊所需的私人資訊完整還是不完整。在@美年達文西被盜案中,按安全專家給出的案情回放的情景推斷,@美年達文西之所以被攻擊成功,就是因為攻擊者獲得了攻擊所需的完整的私人資訊。而@美年達文西「身邊」的其他人,之所以沒有被攻擊,是因為攻擊者沒有完整的其他人的私人資訊。但問題是7月30日的攻擊者沒有@美年達文西「身邊」人的完整的私人資訊,誰又能保證明年的7月30日,攻擊人手中還是沒有@美年達文西「身邊」人的完整的私人資訊?
驗證簡訊的攔截,並非只有如@美年達文西案中多位專家分析的那樣採用偽基站的裝置進行攔截這一種攔截方法。在手機端、在伺服器端、在伺服器同簡訊閘道器之間的路由器上、在簡訊伺服器上、在移動網上等多個地方,只要能植入盜號病毒,就可攔截驗證簡訊。在伺服器端到手機端,這長長的驗證簡訊的傳輸路徑上,有著太多太多的盜號病毒的植入點,只要盜號病毒被植入,經過這個點的驗證簡訊,都會被攔截。在這眾多的植入點中,手機端是人們唯一可以干預防止盜號病毒植入的植入點。其他的點對於支付寶、京東、銀行等網路服務**商和他們的使用者而言,目前毫無防守之力。
從@美年達文西本人的案情描述看,基本上可以排除手機端被植入盜號病毒的可能性。因為如果是手機端被植入了盜號病毒,從而使得驗證簡訊被攔截,則盜號病毒會在獲得了驗證簡訊中的驗證碼後,刪除攔截到的驗證簡訊。如果是這樣,則@美年達文西不可能在第一時間發現的手機上的100多條的驗證簡訊,從而馬上確認自己的支付寶、京東賬號被盜。
類似案件其實在網上搜一下,還是很多的。同@美年達文西案最為接近和類似的案件就是2023年2月16日發生的@
聶小剛支付寶賬號被盜刷案。
從2023年2月16日@
聶小剛支付寶賬號被盜刷,到
2023年7
月30日@美年達文西支付寶、京東賬號被盜刷(注1),作為盜刷案的當事方之一的支付寶,顯然將此類案件發生,當做偶然事件,並未在技術上進行深入的分析,並找出解決辦法。這樣自然也就無法實現從安控措施上杜絕類似案件的再度發生。從這兩起案件被害人的首篇吐槽支付寶的微博文章上看,支付寶的後台開始顯然不認為這是兩起案件是被盜案件。同時也說明了,這兩個案件所表現出來的攻擊模式,顯然不在他們安控模型的防範範圍之內。
如果2023年第一次碰到這樣的案件,不認識這種攻擊型別尚且可以理解支付寶後台的表現,2年半後的今天支付寶的後台,在第一時間還是無法確認此類案件的性質,並確認該案件為被盜案件,則似乎說明對未來支付寶或採用同樣「私人資訊+驗證簡訊」驗證方案的網際網路應用的賬號安全,就都不要抱太高的期望了吧。
不過對比兩個案件的處理時間,支付寶對@美年達文西案的處理時間和乾脆程度,顯然比@
聶小剛案的處理時間和乾脆程度要有明顯的進步。從兩案的最後結果看,被盜人除了花時間同支付寶後台扯皮並搞了一肚子氣外,顯然沒有什麼資金上的損失。反正支付寶有錢,這些小錢人家估計也不在乎吧!沒有辦法,有錢就是任性。只是不知道@美年達文西案中,通過其他渠道被盜刷的工行賬號上的資金,工行會不會像支付寶和京東那樣爽快的就給他賠付?
難道網路服務**商和其使用者,就真的沒有辦法,來有效對抗「私人資訊的盜用+攔截驗證簡訊」這種攻擊模式對「私人資訊+驗證簡訊」這種偽多因子驗證模式的攻擊嗎?答案顯然也是否定的。
可有效對抗「私人資訊的盜用+攔截驗證簡訊」這種攻擊模式的多因子驗證模式是「私人資訊+驗證簡訊+iccid驗證」的驗證模式。
在「私人資訊+驗證簡訊+iccid驗證」的驗證模式中,iccid驗證的技術含義是,手機終端在上報驗證簡訊中的驗證碼或登入密碼時,同時上報sim卡上的iccid碼。伺服器在比對驗證碼或登入密碼時,同時需要驗證手機終端上報的sim卡上的iccid碼。驗證碼或登入密碼和iccid碼都相同時才確認驗證通過。否則需啟動iccid碼同手機號碼同一性的驗證流程。注1
: 兩個案件的詳細過程分別見《支付寶使用者發文講述追回盜刷款
官方回應》(
)和《支付寶、京東深夜被盜,維權不能》(
下乙個更大的數
1 問題描述 兩個不重複元素的陣列 nums1 和 nums2,其中nums1 是 nums2 的子集。在nums2相應位置找到nums1所有元素的下乙個更大數字。nums1 中數字 x 的下乙個更大元素是指 x 在 nums2 中對應位置的右邊的第乙個比 x 大的元素。如果不存在,對應位置輸出 1...
下乙個更大的元素
給定乙個迴圈陣列 最後乙個元素的下乙個元素是陣列的第乙個元素 輸出每個元素的下乙個更大元素。數字 x 的下乙個更大的元素是按陣列遍歷順序,這個數字之後的第乙個比它更大的數,這意味著你應該迴圈地搜尋它的下乙個更大的數。如果不存在,則輸出 1。示例 1 輸入 1,2,1 輸出 2,1,2 解釋 第乙個 ...
陣列的下乙個排列
給乙個陣列,想象一下它的全排列,求出這個陣列在全排列中的下乙個排列 程式設計思路 1 順序是按從小到大排序的,即把index 記錄下來,pair x1,y1 x2,y2 xn,yn 2 新建乙個變數pos pair 1 1,也就是最後乙個小大順序的第乙個位置 pair列表裡的最後乙個列表代表的arr...