据澎湃新闻 2018-08-04报道:
不同于传统的伪基站只发诈骗短信的方法,新出现的伪基站诈骗使用的方法是利用GSM(2G网络)设计缺陷,能实现不接触目标手机而获得目标手机所接收到的验证短信的目的。
8月2日下午,南京江宁公安分局官方微博发布消息称,一种名为“GSM劫持+短信嗅探技术”的犯罪手法是近两年来出现的新型伪基站犯罪手段,多地警方已经有所发现。“不同于传统的伪基站只给你发诈骗短信的方法,这种新型手法实现不接触目标手机而获得目标手机所接收到的验证短信的目的。”
该消息还称,更危险的新技术则是重新定向手机信号,同时使用GSM中间人方法劫持验证短信,此类劫持和嗅探并不仅限于GSM手机,包括LTE,CDMA类的4G手机也会受到相应威胁。此技术在2016年后逐步被诈骗等黑色产业注意到并迅速将其用于实际操作。”
任何通信都会面临安全风险
在老百姓的眼里,视乎手机无线并不存在安全风险,无线的感觉就是无影无踪,而且速度很快,与传统的互联网不同,怎么也变成了诈骗工具了呢?
除非所谓的量子时代的真正来临,否则绝不能放松对信息安全防御的重视,任何通信手段都无法避免信息安全的风险。随着科技的发展,犯罪团伙中往往拥有高科技技术人才,黑客技术与高科技技术并行发展,互为攻防,可以说,科技有多高,黑客就有多厉害,犯罪分子也会有多疯狂!
骗子如何实现对GSM劫持
新闻报道中提及的“GSM劫持+短信嗅探技术”,是骗子使用自制的、特种设备对附近手机号码进行搜索,并拦截运营商、银行发送的短信,劫持的对象主要针对2G信号(GSM信号)。
骗子窃取机主短信信息后,再登录一些网站,从中碰撞机主身份信息,这样就有可能将机主的身份信息匹配出来,包括机主的身份证、银行卡号、手机号、验证码等信息,继而在一些支付平台上开通账号并绑定事主银行卡,冒充事主消费或套现。这中诈骗方式,无需直接与事主接触,而且骗子大多在半夜实施作案,所以大部分事主都无法及时察觉自己的资金被盗。
由于GSM网络(2G网络)存在单向鉴权和短信内容无加密传输等局限性,基于短信验证码实现身份验证的安全风险显著增加。也正是因为如此,目前大多数涉及资金的app应用在除了短信验证码之外,还增加有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制。在这种多因素认证的机制下,万一验证码泄露,风险也不是很多。
GSM关闭,NB-IOT将面临巨大安全风险
从安全防御的角度来讲,通过多因素认证的机制,基本可以扭转目前GSM劫持+短信嗅探技术的安全风险。但GSM的安全风险让安全技术人员感觉到,GSM逐步停用,NB-IOT正值兴起的时机,NB-IOT也正面临巨大的安全风险。
NB-IoT是IoT领域一个新兴的技术,支持低功耗设备在广域网的蜂窝数据连接,也被叫作低功耗广域网(LPWAN)。NB-IoT支持待机时间长、对网络连接要求较高设备的高效连接。据说NB-IoT设备电池寿命可以提高至至少10年,同时还能提供非常全面的室内蜂窝数据连接覆盖。
据运营商预计,今后物联网60%以上的应用将会采用NB-IOT的方式,这些应用通过NB-IOT实现数据的传输与应用指令的执行。由于NB-IOT是一种低功耗广域网络,传统的PKI证书体系无法在NB-IOT上发挥效用。那么,我们又如何去面对NB-IOT的安全风险呢?
IPK将为NB-IOT的安全应用保驾护航
引石科技首席科学家魏振华教授、密码专家李维刚博士及其团队一起提出了国有自主产权的IPK标识公钥体系,从技术实现及安全强度上完全满足了NB-IOT的安全通信要求,彻底解决了NB-IOT应用面临的非法攻击、劫持风险,保障NB-IOT应用的安全。
IPK适用于NB-IOT安全通信的主要特点如下:
- 认证无须第三方,支持宽带、窄带通讯。
- 接入简单、方便,实现节点终端间的交叉认证。
- 算法与系统自动升级,用户只需使用,无须维护
引石老王:从事信息安全工作20年,国内首批商业密码从业人员,国家商业密码应用的参与者与见证者。专注物联网、人工智能应用的远程控制指令的加固授权,致力于系统的反劫持防御与信息安全反黑。
关注引石老王,为您解读安全与高科技,提高安全意识,保障个人信息安全。欢迎关注交流、留言探讨,期待与您的互动!
閱讀更多 引石老王 的文章
