银行卡盗刷案件一直以来都挺吓人的,但最近数起光靠短信验证码就把受害人的钱全划走的案件才是让人细思极恐。
早前,一篇名为《实录|亲历网络诈骗,互联网是如何让我“生”无分文》的文章在各大社交媒体上广为传播,作者表示,他莫名奇妙地收到一条“订阅增值业务”的短信,根据提示回复了取消验证码后,噩梦之旅就此开启:手机号码失效,半天之内支付宝、银行卡上的资金被席卷一空。
如果说这是一场“偶然”也就罢了,科技君上网一查发现这种骗局不是孤例,近日就又有受害者在网上倒起苦水。
8月1日,豆瓣上有豆友发帖称,自己的手机在半夜连续接到了100多条验证码,醒来发现自己支付宝等账号被盗,支付宝、余额宝和关联银行卡上的钱全被转走了,损失惨重。
而郑州、南京等多地警方在8月初也发布通报称,有人早上起床后发现手机收到很多验证码和银行扣款短信,有的网上银行APP登录账号和密码被篡改,在毫无察觉的情况下银行账户被盗刷,更有被害人“半辈子积蓄就这样没了”
如此吊诡的骗局,不禁在科技君在三十几度高温下出了一身冷汗。
2G手机,小心了
不同于传统的伪基站只发诈骗短信的方法,此类新型伪基站诈骗使用的方法是利用GSM(2G网络)设计缺陷,能实现不接触目标手机而获得目标手机所接收到的验证短信的目的,对于普通用户来说基本上是无法防范。
那么,什么是“GSM劫持+短信嗅探技术”?
GMS是俗称的2G信号,利用上述技术可实时获取使用2G信号的用户手机短信内容,进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
甚至,有条件的嫌疑人,也会用干扰器将信号降至2G,这时他们就有了可乘之机。因此,如果用户的手机信号长时间处于2G状态时,就要格外小心了。
骗子通过特种设备自动搜索附近的手机号码,拦截如运营商、银行发送的短信,劫持对象主要针对2G信号(GSM信号),窃取短信信息后通过登录一些网站,从中碰撞机主身份信息,称之为“撞库”(即多个数据库之间碰撞),试图将机主的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息,继而在一些小众的便捷支付平台开通账号并绑定事主银行卡,冒充事主消费或套现,盗取事主银行卡资金。
据悉,这种团伙大多选择凌晨作案,无需直接与事主接触,因此大部分事主无法及时察觉资金被盗。这可真是现实版“眼睛一闭一睁吗,钱就花了”。
如何防范?
很遗憾,此类新型伪基站诈骗对于普通用户来说基本上是无法防范的,因为涉及到的网站APP银行极其众多。
有人说晚上睡觉前把手机关机就能防止通过无线监听窃取短信。这话只对了一半。
试想一下,给别人发短信的时候,如果对方手机关机了,短信是不是仍然可以发的出去?所以,睡觉前把手机关机也许可以防止攻击者到你的附近窃取短信,但无法阻止攻击者在短信发送者附近窃取短信。
但大家不必过于担忧,GSM协议的问题系统换代升级也在进行中。目前随着技术的更新迭代,绝大多数支付类、银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制,如果单单泄露验证码,问题是不大的。绝大多数中招的用户是因为同时泄露了身份证号等其他重要身份信。“GSM劫持防不了,其他信息泄露还是可防的。”
专业人士建议,由于手机会接收到一些信息,有的防范策略是晚上关机或者开启飞行模式。
但科技君对此就想吐槽了,这样实际上做的意义大吗?因为有的手机可能被劫持后本身已经无法接收到短信。较为明显的被攻击特征除了接收短信外,还有手机信号可能在4G和2G之间切换。而一旦你晚上关机或者开启飞行模式,也可能导致其他诈骗风险的上升或者重要事件时亲友无法联系你。
目前,在保证WiFi安全环境下,尽量关闭手机移动网络而,这样既能保持和大家的网络联系,也能略微提高被嗅探的难度。如遭遇此类诈骗务必立刻报警,保留好短信内容。
閱讀更多 IT科技精選 的文章
