众所周知,个人信息泄露后最大的危险来自于电话或网络诈骗。当然,这一点在广泛的案例教育和各种渠道的宣传之下,普通大众已经开始关注自己的个人信息安全了。
然而,在安全领域一直就有个规律:道高一尺,魔高一丈!黑产行业一直在升级自己的技术。这不,自己的信息保护得很好的情况之下,侵害事件依然在发生。
8月1日凌晨,豆瓣网友“独钓寒江雪”发表了文章《这下一无所有了》,单其文章标题就让不少读者惊出一身冷汗。该网友称其在7月30日凌晨5点多醒来后发现手机一直在震,接收了来自支付宝、京东、银行等的100多条验证码,然后发现支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。
而更让人们心惊的是,该女士出问题的多个账户的信息确认并未泄露!
到底发生了什么呢?仅有的这些描述让人一头雾水,很难确定定攻击者采用了怎样的方式。
随着事件的进一步发酵,终于有技术大牛表示这是被攻击者通过无线监听窃取了验证码短信所至。
对,就是我们常见的短信验证码!
经过调查也证实,这是不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容,进而窃取用户信息、盗刷用户账户进行的网络诈骗。短信嗅探的原理是不法分子可以在伪基站范围内获取到用户收到的的所有短信,而与此同时用户却毫无知觉。基于短信嗅探技术的新型黑产网络诈骗已经危及到了部分用户的财产安全,导致用户在各大银行、互联网平台都受到了不同程度的资金损失。
为什么我们的手机短信这么容易被窃取?
在非智能手机时代,要入侵手机窃取短信是比较困难的——不是不可能,但比较困难。但随着智能手机的普及,入侵手机窃取短信已经变得比较容易。比如,很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞,或者干脆本身就是恶意的,那你的短信也就危险了。
此外,目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过不安全的GSM网络在发送,而GSM是非常容易被监听的。
因为在十几年前,如果要通过监听无线信号窃取短信,所用设备至少价值几十万元。但在今天,数千元就能买到同样功能的设备。如果要求不高并且愿意自己动手,花上不到一百元也能做出勉强可用的设备。
敲黑板,说重点:我们如何防范这种短信窃取技术呢?
网上有不少人说晚上睡觉前把手机关机就能防止通过无线监听窃取短信。这话只对了一半。因为即便是你关机了,发给你的短信也能发出来,也无法阻止攻击者在短信发送者附近窃取短信。我们要做的就是尝试开通VoLTE功能,让短信也通过3G/4G网络传输,增加通过无线监听窃取短信的难度。
当下,不一定所有运营商在所有城市都支持了VoLTE。如果对安全比较重视,建议单独准备一台手机,这台手机禁用WiFi,禁用移动网络,仅用于打电话发短信。所有重要的验证码都只用这台手机来接收。
至于运营商,为阻止通过无线监听窃取短信的攻击,应加快2G网络的淘汰,尽早让短信业务默认都使用VoLTE。手机厂商也应向用户提供关闭2G支持的选项。否则,即使运营商默认用了VoLTE,攻击者还是可能有办法让用户的通信降级到GSM。
閱讀更多 科普時報 的文章
