这两天看到新闻提到一种新型诈骗方式,甚是让人提心掉胆:一觉醒来,辛苦攒下来的血汗钱,一夜之间被转走,手机上莫名收到100多条验证码。
短信验证码已被广泛应用于社交媒体、网站、银行金融等平台上。短信验证码可以帮助用户进行修改密码,也能让用户不输账号密码直接登陆。所以短信验证码的权限很大,一旦被不法分子利用后果不堪设想。
图1 半夜手机收到的验证码短信
据微博@江宁公安在线报道,这是一种新型伪基站诈骗。这种犯罪手法是近两年来出现的新型伪基站犯罪手段。多地警方已经有所发现。不同于传统的伪基站只给你发诈骗短信的方法,这种新型手法,实现了不接触目标手机而获得目标手机所接收到的验证短信的目的。此类劫持和嗅探并不仅限于GSM手机,包括LTE,CDMA类的4G手机也会受到相应威胁。此技术在2016年后逐步被诈骗等黑色产业注意到并迅速将其用于实际操作。
此类技术在具体实践中受到硬件和原理的限制,暂时(只是暂时)不能覆盖过多的手机号,所以受害人较少。
较为明显的被攻击特征除了接受短信外,还有手机信号可能在4g和2g之间切换。如果遭遇此类诈骗务必立刻报警,保留好短信内容。
伪基站已不是新技术了。笔者在前两年,就接收过伪基站发过来的钓鱼诈骗短信。短信号码显示就是10086。但笔者也不是那么容易被骗的,为了不要让更多人受害,就致电移动投诉。移动客服表示不是他们发出,而有罪犯用伪基站所发,表示会报案。经整治后,笔者也再没收到这类伪基站诈骗短信。
此次新型劫持"验证码"技术,是利用GSM通信协议漏洞,目前对普通用户来说没有办法防范。这里先呼吁电信部门尽快升级解决。
笔者在网上就查到怎么用设备和软件,实现嗅探和劫持(见下图)。
图2 网上晒出如何嗅探短信原文
图3 网上晒出如何劫持SIM卡方法
那么对于我们一般老百姓,最重要是知道怎么去预防。特别在移动没升级修复该漏洞前,这种犯罪方式势必会继续出现。
1、新型伪基站诈骗特性征是,只有纯短信验证码方式才能得手。这就让大家注意要使用安全性高的"双向验证"APP。除了短信验证码,要有图片验证、人脸验证、指纹验证等等诸多二次验证机制。如果单单泄露验证码,罪犯也是没法继教操作。
远离那些只须验证码,就一步就能转帐、登陆、修改密码等APP软件或金融平台。举例,微信就很好具备这种安全特性。当在不同手机登陆微信号时,会要求用其他方式验证。
2、不要泄露自己个人信息,如银行卡号、身份证等信息。根据警方所说,大部分受害者被劫持同时也泄露了自己个人信息。
3、笔者并不提倡, 晚上关机或者开启飞行模式,而实际上这样做的意义并不大。因为有的手机可能被劫持后本身已经无法接收到短信。还有亲属可能突发有急事联系不上也是个大问题。所以比较稳妥的办法是关闭手机的移动信号,只使用家中或者办公室的WIFI,这样既能保持和大家的网络联系,也能略微提高被嗅探的难度。
閱讀更多 圖釘智慧 的文章
