通信人家园

标题: 手机验证码成网络犯罪"背锅侠",我来为电信运营商鸣个冤!  [查看完整版帖子] [打印本页]
时间:  2020-10-20 22:13
作者: 苏阿阿     标题: 手机验证码成网络犯罪"背锅侠",我来为电信运营商鸣个冤!

手机验证码成"背锅侠",我来为电信运营商鸣个冤!

近日一篇名为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引起了极大关注,文中以为ID为"信息安全老骆驼"的信安老兵详细记录了其夫妻二人在手机丢失后与黑产对抗的每一步。



对抗的结局是黑产最终"技高一筹",最终导致美团借贷产生5000元贷款,ETC信用卡产生各类买卡、充值等消费记录。

为什么一个信安老兵都在跟黑产的对抗中败下阵来呢?几乎所有的分析文章都把矛头指向一个关键点——手机短信验证码。显然,按照舆论导向,这个锅感觉要电信运营商背了。



果不其然,针对这个问题,工信部今天发表消息,称已于 10 月 12 日约谈了涉事电信企业相关负责人,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为。同时,工信部也提醒广大用户及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。

从现实情况来看,当前"短信验证码"已经成为了所有人网络空间身份认证的主要渠道,使用手机号+验证码就可以完成很多重要操作,比如快捷登录、更改密码、转账、支付、申请贷款等等操作。但是,在很多案件中,短信验证码完全没有起到身份认证的作用,反而成为了黑产有机可乘的漏洞,造成用户财产损失。

这样看来,电信运营商背这个锅也不是太冤枉,至少短信验证码作为事实上的认证工具,其安全性似乎没达到承载人们财产安全这样的高度。

但是,作为通信行业从业者,我还是想为电信运营商鸣下冤,因为我认为手机验证码没有必要、没有义务给用户身份认证背书!

大概在2015年底开始,由于网信办发布的《互联网用户账号名称管理规定》,要求某些场景下互联网用户需实名,从此,中国互联网企业纷纷开始使用短信验证码的方式进行用户鉴权,这是现成的最便捷的手段了。中国互联网开始建立一个基于"短信验证码的身份认证"实名制网络空间,虚假账号、仿冒账号等等乱象得到了整治。可以说,短信验证码在维护互联网秩序做出了巨大贡献。



但需要指出的是,这是短信验证码的价值发挥,而非义务所在!凭什么手机号码就可以验证个人信息,什么时候赋予手机号码这个职能了?验证码就能替代口令与用户意志的话,还要身份鉴证作什么?

短信验证码虽然能充当身份认证手段,但其实并不能做到实人、实名、实证,只能做到实名、实证。前两个问题可以通过技术手段弥补,最后一个问题却是短信验证码技术的天然缺憾。由此也引发了很多黑产犯罪事件。

事实上,我们的互联网企业、尤其是互联网金融企业,应该与时俱进地去更新自己系统的身份可信认证工具,比如,涉及借贷这类高风险的业务,为什么不能引入动态刷脸验证呢?在目前已公布的金融科技创新应用中可以看到大量有关可信身份认证与大数据风控相关的应用。

都互联网时代了,很多人的思想还停留在2G时代!

附. 普及一下手机PIN码的设置流程吧。

SIM卡设置PIN码后,手机开机时(比如换卡后重新开机)会要求输入PIN码,输入错误三次之后卡将会被锁住,相当于是增加了一道门槛。那SIM卡的PIN码如何设置呢?

以小米手机为例(系统为MIUI12),首先点开设置>点击【密码与安全】>点击【系统安全】,这时候在"SIM卡锁定方式"这一栏的下方就会出现你手机的电话卡,点击进去就可以设置锁定你的SIM卡了,同时可以进行PIN码的修改,默认的PIN码一般是"1234"。

时间:  2020-10-20 22:44
作者: 马云的云

比如,涉及借贷这类高风险的业务,为什么不能引入动态刷脸验证呢
~~~
老兵那篇文章里已经说了,互金APP有刷脸验证,还有活体检测,但都被基于AI实时合成的视频攻破了。

作者根本就没仔细看那篇文章嘛。
时间:  2020-10-21 00:02
作者: aspireG

楼主,由SIM卡背面的数字能得出PUK码吗?
时间:  2020-10-21 00:08
作者: hal19980813

aspireG 发表于 2020-10-21 00:02:22 楼主,由SIM卡背面的数字能得出PUK码吗?

能啊能啊   puk码=iccid+∞/250+360+pukmjs987654321  很简单的小学数学题目
时间:  2020-10-21 08:43
作者: ddcczz001


非蠢即坏
时间:  2020-10-21 09:15
作者: ggwjgg

这是一个全局性的问题,但电信运营商也不是毫无瑕疵;
比如:提供PUK码过于随意,特别是解挂失过于随意。
时间:  2020-10-21 09:24
作者: maybeonly

hal19980813 发表于 2020-10-21 00:08
能啊能啊   puk码=iccid+∞/250+360+pukmjs987654321  很简单的小学数学题目

无穷除以有限值就是无穷了,加减有限值还是无穷……
时间:  2020-10-21 10:29
作者: zhshlcom

资金被盗应该是互联网企业和银行企业的锅,他们请的保卫“短信认证”本就不是安全的认证方式。
时间:  2020-10-21 12:04
作者: wenbinyu

马云的云 发表于 2020-10-20 22:44
比如,涉及借贷这类高风险的业务,为什么不能引入动态刷脸验证呢
~~~
老兵那篇文章里已经说了,互金APP有 ...

你没有看后续,根本不是刷脸验证被攻破,是用原手机登录没有触发验证规则而已。
时间:  2020-10-21 12:21
作者: 马云的云

本帖最后由 马云的云 于 2020-10-21 12:22 编辑
wenbinyu 发表于 2020-10-21 12:04
你没有看后续,根本不是刷脸验证被攻破,是用原手机登录没有触发验证规则而已。

如果是这样,所谓「比如,涉及借贷这类高风险的业务,为什么不能引入动态刷脸验证呢」这种论调也不对啊,不是没引入,只是没启用。
时间:  2020-10-21 12:24
作者: 马云的云

zhshlcom 发表于 2020-10-21 10:29
资金被盗应该是互联网企业和银行企业的锅,他们请的保卫“短信认证”本就不是安全的认证方式。

短信认证是便捷性与安全性的一个平衡,足够安全的话,你得天天出门带U盾。
时间:  2020-10-21 12:25
作者: 马云的云

本帖最后由 马云的云 于 2020-10-21 12:26 编辑
zhshlcom 发表于 2020-10-21 10:29
资金被盗应该是互联网企业和银行企业的锅,他们请的保卫“短信认证”本就不是安全的认证方式。

天天带U 顿?
时间:  2020-10-21 12:26
作者: dejoy

作者混淆视听。从来没有说短信验证码不该有,反而是要加大优化推广。有问题的是app拿到短信码后的验证使用机制不完善需要改进。
时间:  2020-10-21 13:41
作者: wenbinyu

马云的云 发表于 2020-10-21 12:21
如果是这样,所谓「比如,涉及借贷这类高风险的业务,为什么不能引入动态刷脸验证呢」这种论调也不对啊, ...

启用的规则是多方面判定的。类似进出大门规定要刷卡,但是保安看是认识的熟人也就放行了,这种熟人也不是百分百保险,有人通过易容来混。。
时间:  2020-10-21 13:42
作者: scnc001

把邮箱作为验证的一环也不能把手机作为验证的一环。。。
时间:  2020-10-21 14:10
作者: 亮骚小D

那根本不是手机验证码的问题,是挂失后能解挂的骚操作,更骚的是,挂失解挂十几次还可以挂失的骚操作
时间:  2020-10-21 15:19
作者: 4409070

亮骚小D 发表于 2020-10-21 14:10
那根本不是手机验证码的问题,是挂失后能解挂的骚操作,更骚的是,挂失解挂十几次还可以挂失的骚操作

是的,中国电信居然能SB到那种程度,还有就是苏宁金融,居然啥也不验证就直接放款了.
时间:  2020-10-21 15:49
作者: 树凉儿

好好好好好
时间:  2020-10-21 19:49
作者: 南博兔

我可不敢设置pin
时间:  2020-10-21 20:17
作者: scnc001

亮骚小D 发表于 2020-10-21 14:10
那根本不是手机验证码的问题,是挂失后能解挂的骚操作,更骚的是,挂失解挂十几次还可以挂失的骚操作

极度怀疑是发现电信这个bug之后,策划的一个案子。正常的骗子谁敢反复这么搞
时间:  2020-10-21 21:06
作者: dpo138

没有一片雪花是无辜的
时间:  2020-10-22 14:08
作者: mintiscool

微信支付宝等快捷支付不验证身份是主要问题,快捷支付应该验证银行卡密码,就没问题了
时间:  2020-10-27 18:01
作者: peterqiuy

我专门打电话问过,手机号挂失后,CMCC是不可以通过电话解挂的
而CTC是可以通过电话、公众号自行解挂

CUC不清楚,家里没人用



通信人家园 (https://www.txrjy.com/) Powered by C114