凌晨,突然發現手機信號從4G降為2G,接收來自銀行、支付寶和移動公司的各類短信驗證碼。隨後,銀行賬戶被轉空、支付寶餘額被轉走、手機自動訂購了一堆無用的增值業務……這並非科幻電影中的場景,而是現實世界中短信嗅探設備對手機用戶實施不法侵害。近期,全國多地發生利用短信嗅探技術竊取錢財的案件,有的涉案金額逾百萬元。
利用嗅探技術“隔空取物”
短信驗證碼也被劫取
今年8月,一位網友向警方和相關金融機構報案:凌晨2時~5時,手機先後收到100餘條來自支付寶、京東金融和銀行等金融機構的短信驗證碼,相關賬戶內的餘額及綁定銀行卡內的餘額全部“憑空蒸發”。
事後經安全技術專家鑑定,認為這是一起較為典型的利用短信嗅探技術實施財產侵害的案例。據中國電子技術標準化研究院技術專家何延哲介紹,短信嗅探技術是在不影響用戶正常接收短信的情況下,通過植入手機木馬或者設立偽基站的方式,獲取用戶的短信內容,這其中就包括來自銀行、第三方支付平臺和移動運營商的短信驗證碼。
一位業內人士介紹,除了盜取用戶金融賬戶內的資金外,短信嗅探技術還可以截獲移動運營商給手機用戶發送的驗證碼,用來辦理各類增值扣費業務,從而盜取手機用戶的話費。
公開報道顯示,近期,全國已有多地破獲相關案件:7月,河南新鄉公安機關破獲一起利用短信嗅探技術使用他人金融賬戶購買虛擬物品實施銷贓的案件,抓獲犯罪嫌疑人10名;8月,廈門警方破獲一起利用短信嗅探技術盜刷他人金融賬戶的案件,抓獲犯罪嫌疑人1名,涉案金額10餘萬元;同樣在8月,深圳警方打掉一個全鏈條盜刷銀行卡團伙,抓獲10名犯罪嫌疑人,查繳偽基站等電子設備6套,帶破同類案件50餘宗,涉案金額逾百萬元。
社交網絡售賣嗅探設備軟件
聲稱“包教包會”
這些非法設備從何而來?在互聯網和社交軟件搜索,發現大量嗅探設備交易帖和交流群。
在一個名為“嗅探吧”的百度貼吧中,不少賣家除了介紹嗅探功能,留下QQ、微信等聯繫方式外,還時常分享一些攔截短信成功的截圖,誘導他人購買相關設備。
根據一篇交易帖的指引,有相關人士添加了尾號為0960的QQ用戶。對方稱,只需要8500元即可買到盜取話費的全套設備軟件,盜取支付寶賬戶餘額的相關設備則需2萬元。為打消上述人士的顧慮,對方甚至還表示可以通過快遞公司“貨到付款”,在快遞網點開機現場驗證設備性能後再付款,並承諾將通過傻瓜式教程“包教包會”。
一位售賣設備的賣家表示,他們有一個專門的工作室,有人負責製作硬件,有人負責軟件編程。
有賣家提醒,要遵守“行規”。例如,在盜取他人話費時,一天盜取的話費上限不能超過3000元。
還有賣家給上述人士發來了大量的照片和視頻錄像,證明所售賣的設備真實可靠。在一段視頻影像中,嗅探設備正在運行,對方還演示瞭如何操作軟件,併成功截獲了一條發自銀聯的短信驗證碼。
運營商應加快淘汰2G網絡
金融機構完善更可靠校驗手段
何延哲表示,在2G通道下進行的短信和通話信息使用明文傳輸。為成功劫持信號完成短信嗅探,不法分子有時還會干擾3G和4G信號,強制讓用戶“降維”到2G網絡狀態。
業內人士建議,用戶可以要求運營商開通VoLTE功能(一種數據傳輸技術),讓短信通過4G網絡傳輸,防範無線監聽竊取短信。
在網絡安全領域存在一個“不可能三角”,即無法同時實現安全、便捷和廉價三個要素。從短信嗅探技術盜刷他人金融賬戶的案例來看,目前,被多數金融機構採用的基於賬戶登錄密碼和短信驗證碼的“雙因子安全認證”雖然方便,但在該環境下有失效風險。
何延哲等業內專家建議,通信運營商應考慮加快淘汰2G網絡技術,確保用戶的短信和通話內容不被他人截獲竊取。此外,有關專家建議,在“雙因子安全認證”出現漏洞的情況下,包括銀行和第三方支付平臺在內的金融機構應加強安全因子的多重驗證,推出更為完善可靠的校驗手段。