梁先生的遭遇,到底是哪个环节泄露了信息,比较难判断。更大的可能,是黑客在网上获取了受害者的手机服务密码等信息后,登录运营商的系统为其开通“短信保管箱”业务。这样就能通过网站查看受害人的短信,达到非法转账的目的。
在设计服务的时候,经常会碰到安全性与便捷性的矛盾。比如,上海移动一开始推出“短信保管箱”服务,就把金融类短信排除在保存范围之外。“对有些有特殊需求的客户而言,方便性可能下降了,但安全性提升了。”
马继华认为,“短信保管箱”本身是便民利民的好业务,也是运营商尝试提供云存储服务的探索,和现在流行的号码簿存储的原理其实一样,只是因为短信使用的场景特殊而具有了敏感的属性,最有可能成为犯罪分子攻击的对象。
移动互联网时代,运营企业需要在技术手段上有更严密的管理措施,要保证不出现连锁反应和持续漏洞。比如,即便提供这种短信保管箱服务,在用户开通和关闭方面制定更严格的审核流程,或者对关闭与开通进行非对称的管理,比如,关闭业务可远程办理而开通此业务必须本人到营业厅办理等,以保护安全为第一要务,必要的时候可以牺牲用户办理的便捷性。
随着移动互联网的普及,手机越来越“聪明”,承担的功能越来越多,浏览网页、购物、支付都可一键搞定。作为互联网上账户注册与网上支付的验证手段,短信必不可少。当用户在网上银行支付时,银行会给用户预留的银行的手机号发验证码,以此保证是客户本人在操作。可以说,短信对于网络安全起到了关键的作用。
网络安全专家李峰认为,简单说,身份认证有三个方式:你知道的、你持有的、你固有的。一般的口令密码之类算第一类(你知道的),持有令牌通行证之类算第二类(你持有的),指纹虹膜等生物特征算第三类(你固有的)。由于获取或伪造的难度不同,一般认为第一类的安全性比第二类差,第二类又比第三类差;但如果只有其中一种都算是弱认证,必须独立使用两种甚至三种才算是强认证。
但如果验证码被黑客攻击,后果不堪设想。现在有一种常见手法是,通过收集网络上已泄露的用户名及密码信息到其他网站尝试批量登录,得到一批可以登录的用户账号及密码,并由此盗取更多的个人信息。还有的用户上网时被诱导安装了木马软件,该木马软件就会在用户手机的后台持续运行,并监听来自银行的支付验证码短信。一旦用户手机收到来自银行的支付验证码短信,该木马就会截取短信,并将该短信转发到不法分子指定的手机号上,从而实现对用户信用卡的盗刷。
本报记者 叶薇
