短信保管箱何以成了犯罪分子獵物?

前些天,有關(guān)工商銀行和中國移動的一起用戶投訴鬧得沸沸揚(yáng)揚(yáng)。據(jù)說,一用戶被黑客遙控開通短信保管箱業(yè)務(wù),從而多次從其銀行卡上將錢取走,由此引來各方面的關(guān)注。

近日,工商銀行發(fā)表了聲明,認(rèn)為自己的網(wǎng)銀安全可靠沒有任何問題,主要問題出在運(yùn)營商提供的短信保管箱業(yè)務(wù)被黑客攻破,從而使網(wǎng)銀里的錢丟失。至今,有關(guān)運(yùn)營商還未發(fā)布調(diào)查結(jié)果,但有報(bào)道說廣東的三家運(yùn)營商已經(jīng)陸續(xù)取消的短信保管箱業(yè)務(wù)。

很多人也許并不了解所謂的短信保管箱,因?yàn)檫@個(gè)業(yè)務(wù)并不普及,用戶也不多。短信保管箱是運(yùn)營商推出來的替用戶保管發(fā)送與接受到的短信,當(dāng)用戶的短信丟失或更換手機(jī)之后,這些短信依然可以取回。

也許有人會說,運(yùn)營商替客戶保管短信,真是腦子有病。其實(shí),我們可以把這種業(yè)務(wù)理解為一種初級的云服務(wù),確實(shí)有一些客戶有需求。以前的用戶手機(jī)和SIM的存儲能力都很小,而短信輝煌時(shí)期的用戶發(fā)送量與接收量都很大,經(jīng)常造成短信無法存儲的情況,一些重要的通知和事項(xiàng)也許會遺漏造成損失。至今,一些功能機(jī)用戶也還有這樣的需求,只是因?yàn)槎绦湃諠u離開我們的視野,每個(gè)人的使用量都在大幅減少,短信保管箱的實(shí)際用途越來越小。

因?yàn)樯婕暗接脩舻碾[私,所以這個(gè)短信保管箱業(yè)務(wù)需要用戶的主動申請才能開通,客戶也可以隨時(shí)取消。當(dāng)然,按照運(yùn)營商此前發(fā)展業(yè)務(wù)的模式,開通這個(gè)業(yè)務(wù)的用戶需要每月支付一定的使用費(fèi)用。

雖說現(xiàn)在老百姓使用短信的次數(shù)越來越少,可是作為溝通商家與用戶之間的紐帶,特別是作為互聯(lián)網(wǎng)上賬戶注冊與網(wǎng)上支付的驗(yàn)證手段,短信還是必不可少。我們都有這樣的經(jīng)歷,當(dāng)你在網(wǎng)絡(luò)上注冊了一個(gè)賬戶,網(wǎng)站往往會給用戶發(fā)一個(gè)短信驗(yàn)證碼,只有當(dāng)用戶用自己的手機(jī)接收到驗(yàn)證碼并輸入到網(wǎng)站驗(yàn)證碼欄目進(jìn)行驗(yàn)證之后才是注冊成功。在網(wǎng)上銀行進(jìn)行支付的時(shí)候,銀行也會給用戶預(yù)留的銀行的手機(jī)號發(fā)驗(yàn)證碼,以此保證是客戶本人在使用網(wǎng)上銀行??梢哉f,短信對于網(wǎng)絡(luò)安全起到了關(guān)鍵的作用。

短信業(yè)務(wù)是電信運(yùn)營商的核心業(yè)務(wù)之一,電信級的安全防護(hù)水平非常高,如果不是有用戶的手機(jī)在手,基本不可能有機(jī)會獲取到由電信運(yùn)營商處下發(fā)的短信驗(yàn)證碼。但是,相比短信,短信保管箱業(yè)務(wù)卻是互聯(lián)網(wǎng)級的應(yīng)用,屬于一種云存儲服務(wù),更容易受到黑客的攻擊,也更容易攻擊得手。

我們試想一個(gè)場景,當(dāng)網(wǎng)站通過電信運(yùn)營商的網(wǎng)絡(luò)下發(fā)短信給用戶的時(shí)候,用戶收到短信驗(yàn)證碼的同時(shí),短信保管箱里也存了一份。犯罪分子在不用拿到用戶手機(jī)的情況下,只要掌握了用戶的手機(jī)號碼并攻破短信保管箱的數(shù)據(jù)庫,那就輕而易舉的可以獲得驗(yàn)證碼,從而進(jìn)行網(wǎng)站上的一切操作,后果極其嚴(yán)重。

當(dāng)然,本次事件的最后調(diào)查結(jié)論還未得出,我們也還不能將責(zé)任都推給短信保管箱,但短信保管箱業(yè)務(wù)本身可能面臨的風(fēng)險(xiǎn)卻是實(shí)實(shí)在在存在的??梢哉f,在這個(gè)推出的時(shí)候,運(yùn)營商就應(yīng)該預(yù)見到這樣的風(fēng)險(xiǎn),對其的安全防護(hù)應(yīng)該是極高的重視,以保證萬全。

不過,即便用上任何的手段,在互聯(lián)網(wǎng)時(shí)代也不能保證百分之百的安全。俗話說,不怕賊偷,就怕賊惦記,道高一尺,魔高一丈,任何防守嚴(yán)密的堡壘也都有被攻破的可能。這就需要相關(guān)運(yùn)營企業(yè)能夠在技術(shù)手段之上還要有嚴(yán)密的管理措施,至少能保證不出現(xiàn)連鎖反應(yīng)和持續(xù)漏洞。比如,即便提供這種短信保管箱服務(wù),在用戶開通和關(guān)閉方面制定更為嚴(yán)格的審核流程,或者對關(guān)閉與開通進(jìn)行非對稱的管理,或者要求關(guān)閉業(yè)務(wù)可遠(yuǎn)程辦理而開通此業(yè)務(wù)必須本人到營業(yè)廳辦理,以保護(hù)安全為第一要?jiǎng)?wù),必要的時(shí)候可以犧牲用戶辦理的便捷性。

短信保管箱本身是一個(gè)便民利民的好業(yè)務(wù),也是運(yùn)營商當(dāng)時(shí)嘗試提供云存儲服務(wù)的探索,和現(xiàn)在流行的號碼簿存儲的原理其實(shí)一樣,只是因?yàn)槎绦攀褂玫膱鼍疤厥舛哂辛嗣舾械膶傩裕钣锌赡艹蔀榉缸锓肿庸舻膶ο?。短信保管箱沒有錯(cuò),錯(cuò)的本質(zhì)在犯罪分子,我們在分析業(yè)務(wù)問題的時(shí)候,也不可忽略了問題的核心所在,保護(hù)網(wǎng)絡(luò)業(yè)務(wù)安全人人有責(zé),而犯罪分子應(yīng)該人人喊打,不可被忽略。

【每日一文,堅(jiān)持十年,歡迎業(yè)界讀者溝通交流,請微博 @馬繼華 或加微信公眾號“北國騎士”】

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2015-07-26
短信保管箱何以成了犯罪分子獵物?
前些天,有關(guān)工商銀行和中國移動的一起用戶投訴鬧得沸沸揚(yáng)揚(yáng)。據(jù)說,一用戶被黑客遙控開通短信保管箱業(yè)務(wù),從而多次從其銀行卡上將錢取走,

長按掃碼 閱讀全文