犯罪團伙不碰你的手機
也能盜取你的銀行密碼
你什麼都沒做
沒丟手機也沒丟卡
沒掃二維碼也沒點鏈接
一覺醒來
網銀裡的錢竟然不翼而飛?
案件回顧
受害者的手機在半夜連續接到了100多條驗證碼,醒來發現自己支付寶等賬號被盜,損失很慘重。
據廣州警方通報,近期多地警方陸續接報一類蹊蹺案件,很多人早上起床後發現手機收到很多驗證碼和銀行扣款短信,甚至網上銀行APP登錄賬號和密碼也已被篡改。
該團伙大多選擇凌晨作案,再加上無需直接與事主接觸,因此大部分事主對資金被盜毫無察覺,一覺醒來積蓄已飛走,只有手機裡莫名其妙出現的驗證碼……
案件分析
我們的手機是怎麼被劫持的?
這種手法利用了一種新型技術
“GSM劫持+短信嗅探技術”
偽基站主要
利用GSM通信網絡,就是傳統的2G信號中的漏洞,實現不接觸你的手機就能獲得你手機所接收到的驗證短信。
如今不少網站都是使用手機驗證碼登錄。
第一步:不法分子首先通過偽基站獲取一定範圍內潛在的手機號碼。
第二步:再利用GSM嗅探技術,窺探用戶短信中的驗證碼信息,以便完成密碼重置、身份驗證等步驟。
第三步:通訊網絡是信號,通過接入點就可以劫持到這些信號。目前來說,劫持對象主要針對那些2G的GSM信號,有時不法分子也會干擾附近的手機信號,使之變為2G信號來竊取短信信息。
第四步: 再通過登陸其他一些網站,從中碰撞你的身份信息,稱為“撞庫”。
第五步:將你的身份信息匹配出來,包括身份證、銀行卡號等,繼而在一些便捷支付平臺開通賬號並綁定事主的銀行卡,冒充事主消費或套現。
如何防範短信驗證漏洞?
銀行、支付寶等機構會選擇使用短信驗證碼這個機制,而這個機制為什麼不夠安全,那麼我們普通用戶到底有什麼能防範的呢?
■ 短信驗證的漏洞
但隨著智能手機的普及,入侵手機竊取短信已經變得比較容易。比如,很多APP都有讀取短信的權限。只要這些APP中的任意一個存在漏洞,或者乾脆本身就是惡意的,那你的短信也就危險了。
另外,對於用電腦訪問的業務來說,短信驗證碼是相對獨立的一個因子。但對在手機上訪問的業務來說,短信驗證碼就沒那麼獨立了。電腦淪陷後,短信可能還是安全的。但手機淪陷後,短信也很可能也會被攻擊者拿到。
雖然目前國內3G/4G已經普及,但大部分地區只是上網走3G/4G,短信還是通過不安全的GSM網絡在發送,而GSM是非常容易被監聽的 。
■ 如何防範?
為了能在靠不住的信息系統裡比較靠得住地進行一些重要操作,人們用了很多辦法,其中一個叫“雙因子驗證”(Two-factor verification)。
比如你要用電腦進行網銀轉賬。設計網銀安全體系的人就要假設你的賬號密碼早晚會被壞人竊取。在這種情況下怎麼防止壞人用你的賬號密碼登錄你的網銀呢?
大家比較熟悉的“U盾”就是一種解決辦法。這個設備是獨立於電腦而存在的。要在電腦上操作網銀,把你賬戶裡的錢轉給別人,就需要把這個設備連在電腦上。壞人沒有你的“U盾”,所以即使拿到了你的賬戶密碼,也動不了你的錢。在這裡,你的密碼是一個驗證因子,U盾是另一個驗證因子。需要密碼+U盾才能驗證身份登錄網銀轉賬,這就是雙因子驗證。
網警提醒
此類新型偽基站詐騙使用的方法是鑽了手機信號協議的空子。好在此類技術在具體實踐中受到硬件和原理的限制,暫時不能覆蓋過多的手機號,所以受害人較少。
雖然這種手法難以防範,但是大家也不用太擔心。
GSM協議的問題早已經被關注到,目前這方面的系統換代升級也在進行中。而驗證碼短信主要還是由於本身處於明文傳遞才導致洩露高風險。目前絕大多數支付類,銀行類app除了短信驗證碼往往還有圖片驗證,語音驗證,人臉驗證,指紋驗證等等諸多二次驗證機制。
此外,如果單單洩露驗證碼,問題是不大的,絕大多數中招的用戶是因為洩露了身份證號等其他重要身份信息,所以總體犯罪成功率並不高。GSM劫持防不了,其他信息洩露還是可防的!
對於這種“黑科技”,
普通人必須注意這些!
1、禁止手機終端連接GSM網絡,開通VoLTE,移動使用“僅4G”,聯通使用“僅3/4G”模式。
2、科學設定密碼。為避免一個平臺被盜引起多個平臺被盜的情況,不要使用自己的手機號、姓名全拼或首字母、生日縮寫。重要密碼不要與常用密碼相同或者相關,需要定期更換。
3.平時要做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人信息保護。
4.睡覺前關機或者設置飛行模式,或者關閉手機的移動信號,這樣能略微提高被嗅探的難度。
5.如果早上起來,看到半夜收到奇怪的驗證碼短信,要想到可能是遇到短信嗅探攻擊了,趕緊查看自己的銀行卡和支付應用。這時如果發現錢被盜刷了,火速凍結銀行卡,保留短信內容,報警。
6.如果突然發現手機信號變成2G,要立刻意識到自己可能正遭遇這種攻擊,並採取以上方式防禦!
此外
有些銀行APP安全功能可以對此進行防備。
比如開啟常用設備管理
設置夜間不可交易
▼▼▼
閱讀更多 克州網警巡查執法 的文章
