Riesgos de seguridad de los códigos de verificación por SMS

Hoy en día, casi todo el mundo utiliza un teléfono móvil. Mientras utilices un teléfono móvil, no habrá nadie que no conozca el código de verificación por SMS. A medida que los teléfonos móviles se actualizan cada vez más rápido, también nacen aplicaciones importantes. Generalmente, el uso de la APLICACIÓN requiere autenticación de inicio de sesión y la más común es utilizar un número de teléfono móvil como autenticación de identidad. Debido al elevado uso de teléfonos móviles, los números de teléfono son únicos.

Si calculas bien, cada uno de nosotros puede tener muchas cuentas vinculadas a nuestros propios números de teléfono móvil. Como Alipay, WeChat, Tencent Video, etc. , cuantas más cuentas vinculadas, más información personal quedará expuesta. Creo que todo el mundo está familiarizado con la forma en que se presentan los códigos de verificación por SMS. Generalmente, al registrar una cuenta, recibirá un mensaje de texto con un código de verificación aleatorio, que generalmente dice: "Estimado cliente, se ha registrado en un sitio web determinado y el código de verificación es xxxxxx. Úselo dentro de media hora y no será válido al caducar."

Cuando completa el código de verificación, pasa el registro. Si el código de verificación no se completa dentro del tiempo especificado, puede hacer clic en el botón "Enviar código de verificación" nuevamente y el sistema enviará otro mensaje de texto para una segunda verificación para determinar la propiedad del número de teléfono móvil del usuario.

En el entorno actual del mercado de la telefonía móvil, los códigos de verificación por SMS suelen aparecer en nuestra vida diaria, entonces, ¿existen peligros ocultos en los códigos de verificación por SMS?

Sin duda. En la actualidad, las amenazas de los códigos de verificación SMS incluyen principalmente varios aspectos:

En primer lugar, los troyanos SMS en plataformas de teléfonos inteligentes. En la primavera de 2014 aparecieron numerosos troyanos, principalmente basados ​​en la plataforma Android. Una de las formas más importantes por las que los troyanos ingresan a los teléfonos móviles es a través de mensajes de texto de phishing. Especialmente ahora que los clientes tienen que acudir a empresas e instituciones para hacer negocios, los comentarios de seguimiento se basan básicamente en mensajes de texto, como notificaciones de bancos, empresas de pagos y agencias gubernamentales. Este tipo de confianza dará espacio para que se muestren los mensajes de texto de phishing. Los mensajes de texto de phishing siempre enviarán contenido en varios tonos oficiales y contendrán enlaces. Después de que el usuario sea inducido y haga clic para ingresar, se descargará un APK y se le pedirá que lo instale. Una vez instalado, el teléfono será atacado por un caballo de Troya.

Además, el troyano se propaga muy rápidamente y envía en secreto varios mensajes de texto de phishing a los contactos del teléfono para expandirse.

Muchos casos se pueden ver en el informe de análisis de Alipay Thief. Un caballo de Troya se utiliza ampliamente en el fraude de Alipay. Los delincuentes utilizan códigos QR para engañar a las víctimas para que descarguen e instalen troyanos y luego restablecen las cuentas de Alipay y Taobao de las víctimas para robar dinero. Este tipo de troyano ha formado una cadena industrial muy completa: desde los fabricantes de caballos hasta la venta y alquiler de caballos, pasando por la pesca, las trampas, el lavado de cuentas y las transferencias.

En segundo lugar, ataque de sustitución de tarjetas y ataque de clonación. El código de verificación por SMS en realidad se basa en el número de teléfono móvil (tarjeta SIM/servicio de operador), no en el dispositivo de teléfono móvil. Siempre que tenga la misma tarjeta, naturalmente podrá recibir el código de verificación y restablecer la cuenta. El operador dijo que para reemplazar la tarjeta, debe proporcionar su tarjeta de identificación y la contraseña del servicio. Si olvida su contraseña de servicio, también deberá proporcionar registros de sus últimas cinco llamadas telefónicas. El eslabón débil aquí es que los operadores en algunas áreas no son lo suficientemente estrictos en la verificación de identidad del personal de reemplazo de tarjetas. En los primeros años, cuando la estructura de la tarjeta SIM era simple, incluso se podía clonar una tarjeta directamente. Pero en los últimos años, con el desarrollo de la tecnología, la gestión en este ámbito se ha vuelto cada vez más estricta.

En tercer lugar, la monitorización radiofónica. De hecho, monitorea a los usuarios a través de pseudoestaciones base para obtener el contenido de los mensajes de texto y luego realizar actividades de robo.

Actualmente, para estos tres aspectos, el sistema Android ha reforzado los permisos de mensajes de texto, y los operadores también han reforzado la conciencia de seguridad en el mantenimiento, y ahora la gestión es cada vez más estricta.