冰山一角
------茶余饭后(关于棱镜项目)------
上期留下关于棱镜的饭后话题,有几位路人的观点值得思考。
路人A:
七十亿个漏洞是指:七十亿人。
看了社会工程学教材后,才反思过来,机构与体制,本身就是类似计算机系统的东西。可笑的是,人们对安全并不警惕。
学过社会工程学与密码学后,再看见google搜索框也会有不同的感受。而对一些搜索引擎无法抓取内容的社交类网站的内部搜索框,也格外珍视。
强盗丙:
有着急打酱油的路人没有仔细看标题,说我文不对题。显然你不是打酱油的,而且说出了我的一个心声,希望你能继续 第二天早上,周晨一开机,就收到这样一条短信:支付宝在8月5日0:00时消费元。周晨这下才知道,自己的支付宝被盗刷了。此后经过查询,周晨一共被盗刷了两笔共1元。根据查询,这1元全部被用于向一家网络公司充值。
周晨的支付宝账户内并没有存钱,之所以被盗刷1元,是因为他选择了支付宝的快捷支付服务。根据支付宝快捷支付规定,当用户第一次使用支付宝“快捷支付”时,通过银行卡资料验证和手机动态口令校验即可完成支付。之后再次购物时,只要输入支付宝支付密码,绑定银行卡的“快捷支付”便可以直接付款,而无需重新输入银行卡资料,或者跳转到网上银行。
在密码和手机校验码这样的双重保障下,为何账号还是会被盗?在多方查询后,周晨终于弄清了账户被盗的整个流程:支付宝密码被盗,盗用者从其账户内找到绑定的手机号码,由于周晨的手机网上营业厅与支付宝密码相同,盗用者登录网上营业厅,并开通短信转移业务,这便是周晨收到的那条莫名短信。此后在短信转移业务尚未关闭的几分钟内,利用转移到盗用者手机上的校验密码短信,盗用者迅速利用快捷支付盗刷了1元。
看到这里之后,如果你的思路还停留在,社工库拿来查密码不错啊的阶段,建议你反复阅读本文遍,每天10遍。
这个案例严肃点讲,是个业务漏洞,也可以说,这个漏洞,本身就是个业务,这个漏洞,本身就是个业务,如果要完全修补,就得干净利落地把业务一刀切,如果业务方是个只懂“三个合伙人”的大老粗,那这个漏洞就会一直存在,而想股沟这样的,直接就手起刀落了。