【技术动态】短信身份验证，你是否中过这些套路？

    可是，如今的短信安全正处于危险的状态，虽然之前就有人提议不要再继续使用短信作为身份验证的因子，但对于很多的服务商来说，出于各方面的考虑还是在继续使用短信形式的第二身份验证因子。而短信的不安全性是大家都知道的，那可以绕过短信验证的方法有哪些？

1. 号码转移

    手机号转网对于一些容易的国家就非常容易遭受攻击，攻击者只要在收集到目标的凭证时解析目标用户的手机号码，然后联系运营商就可以轻易的将号码控制起来。直到所有的双因子身份验证码都被攻击者截获，目标用户都无法察觉。等到他们发觉手机已经停止服务后申请找回，在业务处理的时间段内，可能攻击者已经利用完号码进行转账或其他非法用途。

2. 移动运营商端拦截

    移动运营商端拦截手段是一种新型攻击方式，通常攻击者都是利用移动运营商的客户群体来截取2FA的验证码。所以说为什么要设置不同的密码？可能有些用户因为懒惰或者密码太多不易记等原因，将电子邮件和移动账户都设置为相同的密码。如果你也是这样，那么“恭喜你”，你已经为攻击者打开方便之门，他们只要登录用户的移动账户就可以在短信当中获得2FA的验证码，然后重置银行口令，就可以清空你的账户了。

3. 恶意软件截获

    恶意软件这是一个屡试不爽的方法了，早前就已经有专门定制好的恶意软件，利用它就可以获取受感染手机上的短信的2FA验证码。这种恶意软件有时是银行木马的一部分，有时只是单纯的将2FA的验证码转发给攻击者。一般这种问题都是在安卓系统中，苹果系统几乎没有发生过。

4. 重置密码

    时代更迭，现在很多人会同一时间拥有好几个电话号码，一个用于工作，一个当做私人号码，还有的我也不知道你们干啥的。号码多了，大家也就不在意了，有些人可能因为到外地发展就把旧的手机号换掉，在当地又买了新的号码；或者有些人手机丢了号码也懒得补，就直接换掉。这时候就会需要把所有用到短信身份验证系统的所有服务都进行重置账户和更新手机号码。如果这个时候攻击者已经入侵了目标用户的电子邮件账户，那他们进行重置、更新或者干脆直接绕过2FA系统，完成攻击。如果你查看了遗失手机和密码重置页的访问日志，一定会惊讶于它们被访问的次数及访问时间点。

5. 社会工程

这个手段一般是针对特定组织或者个人进行攻击的，攻击者会给目标用户致电，声称自己是你某业务的客户经理，正在对其账户进行检查，需要获取实时的身份验证码。如果此时目标用户傻乎乎的就把验证码报出去，在他们唠嗑的时候其账户就已经被攻陷，目标用户还无所察觉。

虽然有这么多威胁存在，但是就目前而言双因子身份验证和多因子身份验证依然是大家用于防御的必选项，小心使得万年船，只要大家在使用的时候多放个心眼总是不会错的。