利用短信验证码盗刷账户财产 | 看MIUI如何防范

7月30日凌晨, 一位来自深圳的用户起来发现, 自己的手机莫名其妙收到 100 多条验证码短信. 很快她便发现自己的支付宝, 余额宝和关联银行卡的钱都被转走了, 而京东账号也被开通金条和白条功能, 借款1万多.

近日, 通过获取用户手机短信验证码盗刷账户财产的事件屡见不鲜. 面对不法分子花样频出的诈骗手法, 已经让很多移动互联网用户产生恐慌. 对于这种颇有技术含量的盗取财产手段, 我们先来了解下背后的技术原理. 骗子在整个过程中主要用到 'GSM 劫持' 和 '短信嗅探' 两种技术, 能够在用户完全不操作的情况下获得手机号码, 验证码甚至身份证信息等核心资料, 从而盗取用户手机账户财产.

目前, 大部分短信都是通过 2G 网络的 GSM 通信协议进行传输的, 而这种通信协议并不安全, 只要一部嗅探设备 (通常是一部改装手机) 就可以监听. 然后, 骗子再利用伪基站 (通常是改装的手机或笔记本电脑) 来收集周围的手机卡信息. 如此一来, 就同时拿到了手机号和短信验证码. 此时骗子已经可以通过查询网站反推出号码的主人身份信息, 甚至可以拿到身份证号和银行卡号. 有了上述信息, 不法分子会选择深夜用户熟睡的情况进行资产转移, 小额贷款等操作, 成功盗刷用户财产.

作为手机厂商, 如何保护用户财产, 防范于未然? 记者通过小米MIUI安全中心工程师处了解到, 目前MIUI系统主要从骚扰拦截, 诈骗号码拦截, 伪基站短信识别, 拒连伪基站, 短信URL识别和支付安全扫描六方面入手, 全面保障用户使用手机的账户安全.

举例说明, MIUI是最早支持来电号码识别功能, 拦截诈骗号码的手机操作系统, 用户可以自行对骚然电话进行标记, 一旦发现超过50人对同一号码标记为诈骗, 系统就会自动帮用户进行挂断拦截; 另外, 当小米手机用户收到银行, 运营商发来的短信时, 小米均会针对短信进行安全检查, 一旦发现伪基站短信, 会立即进行提醒; 部分小米手机还支持了 '防连伪基站' 功能, 开启后, 将从芯片层面判断伪基站, 从根本上杜绝连接伪基站; 对于短信验证码, MIUI系统默认禁止所有第三方应用读取验证码短信, 防止用户因为验证码短信泄露而造成财产损失; 当用户点击短信中的网址时, 小米会针对网址进行安全监测, 一旦发现危险网址, 会立即提示用户, 防止打开钓鱼网址受骗; 最后当用户通过小米手机进行支付时, MIUI会扫描用户当前的系统与网络环境, 一旦发现恶意软件或虚假WiFi, 立即提示用户停止支付行为.

移动互联网诈骗一直都是厂商和不法分子间的一场博弈. MIUI作为安卓系统的领跑者, 对于防范花样百出的诈骗手法从未松懈, 希望通过自身的不断完善和改进, 给用户打造真正放心, 省心的移动互联网环境. 记者也希望能够看到更多手机厂商能够在这方面加大投入, 净化移动互联网环境, 为用户安全使用手机保驾护航.


7月30日凌晨, 一位来自深圳的用户起来发现, 自己的手机莫名其妙收到 100 多条验证码短信. 很快她便发现自己的支付宝, 余额宝和关联银行卡的钱都被转走了, 而京东账号也被开通金条和白条功能, 借款1万多.

近日, 通过获取用户手机短信验证码盗刷账户财产的事件屡见不鲜. 面对不法分子花样频出的诈骗手法, 已经让很多移动互联网用户产生恐慌. 对于这种颇有技术含量的盗取财产手段, 我们先来了解下背后的技术原理. 骗子在整个过程中主要用到 'GSM 劫持' 和 '短信嗅探' 两种技术, 能够在用户完全不操作的情况下获得手机号码, 验证码甚至身份证信息等核心资料, 从而盗取用户手机账户财产.

目前, 大部分短信都是通过 2G 网络的 GSM 通信协议进行传输的, 而这种通信协议并不安全, 只要一部嗅探设备 (通常是一部改装手机) 就可以监听. 然后, 骗子再利用伪基站 (通常是改装的手机或笔记本电脑) 来收集周围的手机卡信息. 如此一来, 就同时拿到了手机号和短信验证码. 此时骗子已经可以通过查询网站反推出号码的主人身份信息, 甚至可以拿到身份证号和银行卡号. 有了上述信息, 不法分子会选择深夜用户熟睡的情况进行资产转移, 小额贷款等操作, 成功盗刷用户财产.

作为手机厂商, 如何保护用户财产, 防范于未然? 记者通过小米MIUI安全中心工程师处了解到, 目前MIUI系统主要从骚扰拦截, 诈骗号码拦截, 伪基站短信识别, 拒连伪基站, 短信URL识别和支付安全扫描六方面入手, 全面保障用户使用手机的账户安全.

举例说明, MIUI是最早支持来电号码识别功能, 拦截诈骗号码的手机操作系统, 用户可以自行对骚然电话进行标记, 一旦发现超过50人对同一号码标记为诈骗, 系统就会自动帮用户进行挂断拦截; 另外, 当小米手机用户收到银行, 运营商发来的短信时, 小米均会针对短信进行安全检查, 一旦发现伪基站短信, 会立即进行提醒; 部分小米手机还支持了 '防连伪基站' 功能, 开启后, 将从芯片层面判断伪基站, 从根本上杜绝连接伪基站; 对于短信验证码, MIUI系统默认禁止所有第三方应用读取验证码短信, 防止用户因为验证码短信泄露而造成财产损失; 当用户点击短信中的网址时, 小米会针对网址进行安全监测, 一旦发现危险网址, 会立即提示用户, 防止打开钓鱼网址受骗; 最后当用户通过小米手机进行支付时, MIUI会扫描用户当前的系统与网络环境, 一旦发现恶意软件或虚假WiFi, 立即提示用户停止支付行为.

移动互联网诈骗一直都是厂商和不法分子间的一场博弈. MIUI作为安卓系统的领跑者, 对于防范花样百出的诈骗手法从未松懈, 希望通过自身的不断完善和改进, 给用户打造真正放心, 省心的移动互联网环境. 记者也希望能够看到更多手机厂商能够在这方面加大投入, 净化移动互联网环境, 为用户安全使用手机保驾护航.

2016 GoodChinaBrand | ICP: 12011751 | China Exports