最近,一則關於新型的利用“GSM網絡劫持+短信嗅探”的新聞引起人們的高度關注——8月1日,有用戶在豆瓣上發帖稱,30日凌晨被手機震動聲吵醒,起來一看,手機收到100多條各式各樣的驗證碼和銀行通知短信,一查之下,包括支付寶、微信和關聯的銀行卡中的存款全部被提取了,甚至連開通了金條功能的京東上都被透支了1萬多塊錢。
經技術分析,該用戶被犯罪份子用“GSM劫持+短信嗅探”的方式,把上述金融機構平臺中用戶的錢盜刷或轉移了。具體的實現方法是:首先,犯罪份子基於GSM通信協議進行惡意的人為的修改,組裝起便攜式的短信嗅探設備;然後,通過傳統的偽基站收集一定地理位置範圍內的用戶的手機號碼,然後利用這些號碼嘗試登陸支付寶等支付平臺,選擇“短信驗證碼登錄”等方式觸發平臺發送驗證短信,這時犯罪分子手中的短信嗅探設備就能嗅探到這些短信,獲取到驗證碼;登錄到這些支付平臺後,犯罪分子就能查詢到目標手機號碼所對應的用戶名和實名信息,利用這些實名信息,進而通過政務、醫療、交通等系統等漏洞獲取到用戶的身份證號碼,並通過網上銀行或者網上的黑色產業鏈獲取用戶的銀行卡號。至此,犯罪分子一步一步獲取到了用戶互聯網生活的“四大件”:手機號碼、身份證號碼、銀行卡號、短信驗證碼。
掌握了這“四大件”,犯罪分子將無所不能,包括實施各類與支付或借貸等資金流轉相關等註冊/綁定/解綁、消費、轉賬、透支、貸款、信用抵扣等金融行為,捲走用戶各類支付平臺和銀行卡中的積蓄就是分分鐘的事情。
值得注意的是,短信嗅探技術只能獲取短信,並不能攔截髮至用戶手機的短信,因此,犯罪分子一般都會在深夜裡作案,因為這時候大部分都在酣睡中,不會發覺到異常短信而中斷其不法行為。
這整個過程中的一個最關鍵的節點在於“驗證短信的獲取”,所以公眾一旦發生類似的詐騙事件,第一時間會責難電信運營商,當然,這個“鍋”,運營商肯定是甩不掉的,畢竟運營商本身肩負著給用戶提供安全可靠的網絡服務的責任,這個網絡被輕易攻破了,才給了犯罪分子犯罪的條件。
但是,其實這些年來運營商在打擊偽基站上可以說已經盡心盡力,聯合公安機關開展了多輪針對偽基站的打擊行動,也取得了一定的效果。至於針對此案件中利用“GSM劫持+短信嗅探”方式的新型犯罪手法,這算是GSM協議中的“天然漏洞”,在技術層面,運營商能做的工作其實並不多。
有用戶提出是落後的GSM網絡導致了這一切,要求運營商全面升級網絡,以及停用2G網絡。此話確實不假,因為在3G、4G網絡中這樣的漏洞是不存在的,犯罪分子根本無機可趁。但“2G、3G、4G並存”是中國網絡發展現狀,運營商不可能在一朝一夕中棄用2G(GSM)網絡,畢竟2G網絡在很多地方、很多場景下還是語音業務的主要承載網絡,網絡升級演進是一件系統工程,預計volte全面取代2G的話音業務估計還要3-5年。
以上是關於運營商能做的事情的一些討論,但是問題的另外一側是,這些互聯網金融平臺、這些“技術高超”的互聯網企業,為什麼一直以來都如此固執又堅定地依靠短信驗證碼來確認用戶行為信息呢?
答案其實很簡單,因為幾乎所有的用戶都有至少一個手機號碼,這是與用戶達成聯繫的最直接的渠道,而隨著近年來運營商用戶實名制的推行,手機號碼幾乎就等同於用戶的身份標識,所以互聯網企業非常樂於通過短信驗證碼來進行鑑權。
但是,互聯網企業不能把鍋完全就拋給了運營商,互聯網企業,尤其是涉及用戶金融安全的互聯網企業,其在考慮用戶金融安全體系建設時就必須考慮到網絡側可能出現的漏洞,並提供切實可行的補鍋方案,畢竟,用戶的錢是放在你的平臺裡,也是通過你的渠道被轉移或盜刷,無論如何,這些金融類的互聯網企業都是第一責任人。
閱讀更多 小錢運營 的文章
