网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　新京报记者实测上述两个信用卡平台发现，在获取验证码的情况下，均可以用他人手机号进行注册，并绑定银行卡。验证手段也是姓名、银行卡号、身份证号码、手机验证码。

　　“他们手段太多，我怕合作后，越陷越深，最后失控。”谭亮告诉新京报记者，他一直都是自己嗅探、查资料、“洗料”，什么都懂一点，但懂得不多。“我自己没有洗料通道，出不了钱，所以也就不可能盗刷很多钱。我只会充Q币，包括最多的那笔5000元，也全充了Q币。”

　　谭亮还告诉新京报记者，由于盗刷需要到各类平台查询事主各类信息资料，也衍生出了一些人专门帮忙查信息。

　　“还有人可能会通过黑产社工库等违法手段获取受害者的信息。”周正告诉新京报记者。地下“社工库”掌握着众多网站和网民的数据和信息。

　　不过，谭亮表示，据其了解，在目前的短信嗅探盗刷案件中，利用这类数据库进行查找用户信息的较少，主要还是利用各类网站、APP本身的漏洞和缺陷。

　　有待提高的验证手段

　　8月14日-16日，新京报记者调查发现，许多平台已经提升网络安全系数。开通支付宝借呗需要人脸识别，开通京东金条需要上传身份证正反面。“京东金条的开通，我是十几天前（注：采访日期为8月15日）才听说开始需要上传审核资料的。”谭亮告诉新京报记者。

　　在李天明被盗刷的7月6日，犯罪嫌疑人轻易就开通了他的京东金条进行借款，“从短信验证码看，是凌晨4点48分申请，4点49分就审核通过了，5点08分借款到账。这肯定没有人证合一的审核。”

　　新京报记者发现，相对来说，微信在非常用设备上登录时的验证是最复杂的，需要“回答安全问题”、原设备“扫二维码验证”、“邀请好友辅助验证”。此外，多个银行的APP系统也在近期升级，登录验证难度较高。

　　不过，新京报记者实测也发现，不少APP在非常用设备上登录、修改密码时，验证手段依然不够安全。比如，支付宝在账户非常用设备上登录、修改登录密码、修改支付密码，进而进行转账、付款、提现，都可以通过“短信验证码+身份证号+银行卡号”实现。

　　在京东商城APP则可以通过“短信验证码+历史收件人姓名”进行登录，并通过“短信验证码+银行卡号+身份证号”重置支付密码。苏宁易购也可以通过手机验证码直接登录，并使用“身份证号码+手机验证码”重置支付密码。

　　在银行APP方面，中国银行、招商银行，也是采用姓名、银行卡号、身份证、验证码的不同组合即可在非常用设备上登录。

　　这就意味着，如果犯罪嫌疑人嗅探到用户验证码，并利用多个手段获取身份证号、姓名、银行卡号，即可在支付宝、京东、苏宁易购等平台上进行消费。

　　不过，在网络信息安全专家洪禾看来，目前国内各大银行APP，以及支付宝、京东、微信等平台，安全级别还是很高，应用本身并不存在危及用户资金安全的明显漏洞。“但是，加入一定的使用场景，情况就比较复杂了。比如，手机系统本身被破坏、短信被嗅探，或者别的渠道泄露信息，那这些APP本身再安全也可能面临风险。”

　　事实上，短信嗅探带来的网络安全问题，已经引起了业内的注意。今年2月11日，全国信息安全标准化技术委员会组织专家论证，发布《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》，指出由于2G网络存在单向鉴权和短信内容无加密传输等局限性，且短信截获攻击呈现工具化和自动化趋势，使利用此类威胁实施攻击的门槛大幅降低，基于短信验证码实现身份验证的安全风险显著增加。

　　对此，上述技术指引建议，“各移动应用、网站服务提供商优化用户身份验证措施，选用一种或采用多种方式组合，比如通过短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式，加强安全性。”

　　其中，短信上行验证是由用户手机主动发送指定短信内容到各类应用平台进行身份验证；常用设备绑定是指原则上支付、转账等敏感操作只能通过绑定的设备执行；生物特征识别是人脸识别、指纹识别等。

　　龙岗警方提醒，如果手机收到来路不明的验证码，有可能嫌疑人正在攻击手机，这时候要立即关机，或启动飞行模式;睡觉时尽量关机或采用飞行模式。尽量关掉网站APP上的免密支付功能，或者降低每日、每笔最高限额。此外，如果看到银行等金融机构发来的验证码，但不是本人操作，除了关闭手机，还要尽快冻结银行卡，减少损失。

　　新京报记者 陈景收 实习生 李想俣 张一川