在歷經(jīng)時代的變遷，最早人們都是使用短信功能進(jìn)行日常的溝通，但是微信等及時通訊軟件的出現(xiàn)已經(jīng)慢慢取代了短信。雖然短信的溝通方式被取代，卻并不意味著短信業(yè)務(wù)就此走向衰敗。在中國的商業(yè)市場上，業(yè)務(wù)級的短信收入正呈增長趨勢，現(xiàn)在的短信基本上都被商家的活動消息、服務(wù)驗證碼等等業(yè)務(wù)級給承包。這主要是因為短信功能作為雙因子認(rèn)證的便易性。

可是，如今的短信安全正處于危險的狀態(tài)，雖然之前就有人提議不要再繼續(xù)使用短信作為身份驗證的因子，但對于很多的服務(wù)商來說，出于各方面的考慮還是在繼續(xù)使用短信形式的第二身份驗證因子。而短信的不安全性是大家都知道的，那可以繞過短信驗證的方法有哪些？

1. 號碼轉(zhuǎn)移

手機(jī)號轉(zhuǎn)網(wǎng)對于一些容易的國家就非常容易遭受攻擊，攻擊者只要在收集到目標(biāo)的憑證時解析目標(biāo)用戶的手機(jī)號碼，然后聯(lián)系運(yùn)營商就可以輕易的將號碼控制起來。直到所有的雙因子身份驗證碼都被攻擊者截獲，目標(biāo)用戶都無法察覺。等到他們發(fā)覺手機(jī)已經(jīng)停止服務(wù)后申請找回，在業(yè)務(wù)處理的時間段內(nèi)，可能攻擊者已經(jīng)利用完號碼進(jìn)行轉(zhuǎn)賬或其他非法用途。

2. 移動運(yùn)營商端攔截

移動運(yùn)營商端攔截手段是一種新型攻擊方式，通常攻擊者都是利用移動運(yùn)營商的客戶群體來截取2FA的驗證碼。所以說為什么要設(shè)置不同的密碼？可能有些用戶因為懶惰或者密碼太多不易記等原因，將電子郵件和移動賬戶都設(shè)置為相同的密碼。如果你也是這樣，那么“恭喜你”，你已經(jīng)為攻擊者打開方便之門，他們只要登錄用戶的移動賬戶就可以在短信當(dāng)中獲得2FA的驗證碼，然后重置銀行口令，就可以清空你的賬戶了。

3. 惡意軟件截獲

惡意軟件這是一個屢試不爽的方法了，早前就已經(jīng)有專門定制好的惡意軟件，利用它就可以獲取受感染手機(jī)上的短信的2FA驗證碼。這種惡意軟件有時是銀行木馬的一部分，有時只是單純的將2FA的驗證碼轉(zhuǎn)發(fā)給攻擊者。一般這種問題都是在安卓系統(tǒng)中，蘋果系統(tǒng)幾乎沒有發(fā)生過。

4. 重置密碼

時代更迭，現(xiàn)在很多人會同一時間擁有好幾個電話號碼，一個用于工作，一個當(dāng)做私人號碼，還有的我也不知道你們干啥的。號碼多了，大家也就不在意了，有些人可能因為到外地發(fā)展就把舊的手機(jī)號換掉，在當(dāng)?shù)赜仲I了新的號碼；或者有些人手機(jī)丟了號碼也懶得補(bǔ)，就直接換掉。這時候就會需要把所有用到短信身份驗證系統(tǒng)的所有服務(wù)都進(jìn)行重置賬戶和更新手機(jī)號碼。如果這個時候攻擊者已經(jīng)入侵了目標(biāo)用戶的電子郵件賬戶，那他們進(jìn)行重置、更新或者干脆直接繞過2FA系統(tǒng)，完成攻擊。如果你查看了遺失手機(jī)和密碼重置頁的訪問日志，一定會驚訝于它們被訪問的次數(shù)及訪問時間點。

5. 社會工程

這個手段一般是針對特定組織或者個人進(jìn)行攻擊的，攻擊者會給目標(biāo)用戶致電，聲稱自己是你某業(yè)務(wù)的客戶經(jīng)理，正在對其賬戶進(jìn)行檢查，需要獲取實時的身份驗證碼。如果此時目標(biāo)用戶傻乎乎的就把驗證碼報出去，在他們嘮嗑的時候其賬戶就已經(jīng)被攻陷，目標(biāo)用戶還無所察覺。

雖然有這么多威脅存在，但是就目前而言雙因子身份驗證和多因子身份驗證依然是大家用于防御的必選項，小心使得萬年船，只要大家在使用的時候多放個心眼總是不會錯的。

以上為個人觀點，僅供參考。

歡迎關(guān)注小星（ID：DBXSJ01）