近日,工行E支付存在漏洞,儲戶存款被盜的新聞被各大媒體廣泛報道。在這些資金被盜的案件中,手機支付短信驗證碼成為各方關注的焦點,就是因為這個驗證碼的泄露讓用戶資金遭遇盜刷。
對此,騰訊手機管家安全專家陸兆華表示,手機支付短信驗證碼作為一種傳統(tǒng)的支付、轉賬驗證方式目前正在遭遇安全挑戰(zhàn),是時候采取更為先進、更加安全的驗證方式,否則資金被盜案件將會越來越多。
短信驗證碼很容易被竊取
在工行E支付的相關報道中,都說工行E支付存在漏洞,騰訊手機管家安全專家陸兆華則認為,這并非工行漏洞,而是短信驗證碼太容易被獲取。
目前,幾乎所有的手機銀行都采取登錄密碼、支付密碼和短信驗證碼三重防護,這看起來已經(jīng)很強大了。其實,黑客和詐騙分子,只要通過詐騙短信+釣魚網(wǎng)址的方式就可以輕松攻破所有防護。
比如,最常見的工行密碼器失效詐騙短信,通過偽基站冒充95588發(fā)送詐騙短信,要求用戶登錄一個釣魚網(wǎng)址,登上后用戶發(fā)現(xiàn)頁面設計與工行完全一樣,于是放松警惕在該釣魚網(wǎng)頁上輸入了賬號、密碼、支付密碼等內(nèi)容。
與此同時,用戶手機被偷偷安裝了一個手機支付病毒,可以竊取用戶短信內(nèi)容。利用釣魚網(wǎng)頁上竊取來的賬號密碼登上網(wǎng)銀,然后發(fā)起轉賬,再通過手機支付病毒攔截短信驗證碼,并將驗證碼立即發(fā)送到黑客手機,利用該驗證碼輕松完成轉賬。
呼吁銀行采取更安全的驗證方式替代短信驗證
對于盜取用戶短信驗證碼的行為,陸兆華一方面建議用戶安裝騰訊手機管家,通過騷擾攔截功能攔截詐騙短信,識別釣魚網(wǎng)址,同時查殺手機支付病毒。此外,還奉勸手機用戶千萬不要在手機上點開陌生網(wǎng)址。
同時,陸兆華呼吁各大銀行盡快研究更安全、可靠的驗證方式替代短信驗證碼。比如,目前呼聲較高的指紋驗證,隨著手機開始具備指紋功能,指紋驗證也是一個非常安全的驗證方式。
此外,還有語音驗證碼、人臉識別技術等,目前也有許多公司致力于研發(fā)新型驗證技術,以替代短信驗證碼這種古老且不安全的驗證方式。