歡迎光臨
每天分享高質量文章

【每日安全資訊】“短信驗證碼”早已不安全,睡夢之中就能被盜刷

近日,國內各地都陸續發生了一些利用短信驗證碼冒用身份、竊取銀行賬戶、金融類 APP 財產的案件,受害者甚至莫名其妙“被網貸”,進而遭遇較大經濟損失。

根據@江寧公安在線 的分析,這種犯罪手法是近兩年來出現的新型偽基站犯罪手段,多地警方已經有所發現。具體說來,這是一種新型的“偽基站”技術。主要採用“GSM劫持+短信嗅探技術”,可實時獲取用戶手機短信內容,進而利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷,實現信息竊取、資金盜刷和網絡詐騙等犯罪。

實施詐騙的基本原理如下:

第一步,犯罪團夥基於2G移動網絡下的GSM通信協議,在開源專案OsmocomBB的基礎上進行修改優化,搭配專用手機,組裝成便於攜帶易使用的短信嗅探設備。

第二步,通過號碼收集設備(偽基站)獲取一定範圍下的潛在的手機號碼,然後在一些支付網站或移動應用的登錄界面,通過“短信驗證碼登錄”途徑登錄,再利用短信嗅探設備來嗅探短信。

第三步,通過第三方支付查詢標的手機號碼,匹配相應的用戶名和實名信息,以此信息到相關政務及醫療網站社工獲取標的的身份證號碼,到相關網上銀行社工,或通過黑產社工庫等違法手段獲取標的的銀行卡號。由此掌握標的的四大件:手機號碼、身份證號碼、銀行卡號、短信驗證碼。

第四步,通過獲取的四大件,實施各類與支付或借貸等資金流轉相關的註冊/系結/解綁、消費、小額貸款、信用抵扣等惡意操作,實現對標的的盜刷或信用卡詐騙犯罪。因為,一般短信嗅探技術只是同時獲取短信,並不能攔截短信,所以不法分子通常會選擇在深夜作案,因為這時,受害者熟睡,不會註意到異常短信。

但是,以上四步只是基本原理,攻擊者甚至還會幹擾附近的手機信號,使4G變為2G信號後,再竊取短信信息。目前更危險的新技術則是重新定向手機信號,同時使用GSM中間人方法劫持驗證短信,此類劫持和嗅探並不僅限於GSM手機,包括LTE,CDMA類的4G手機也會受到相應威脅。

根據 360 無線電安全研究院的分析,此類攻擊主要分為以下幾級:

1. 偽基站垃圾短信;

2. 嗅探 GSM 短信;

3. 將手機從 3G/4G 降級到 2G;

4. 3G/4G 中間人攻擊

難度從上到下依次加重。從這個 等級排序可以看出,一些老式手機或長期處於 2G 的手機最容易受到攻擊,此外,有些手機雖然長期處於 4G 但沒有開通 VoLTE,也無法阻擋短信嗅探。實施以上攻擊的前提是都需要靠近受害者,在一個基站的通信範圍內,暫時不能改寫過多的手機號,因此受害人範圍還未擴大。而且如果攻擊者沒有獲取受害者的個人身份證或銀行卡信息,只嗅探到短信驗證碼,也不會攻擊成功。

值得註意的是,此類新型偽基站詐騙使用的方法主要是鑽了手機信號協議的空子GSM劫持+短信嗅探的攻擊技術基本上沒有辦法防範,一旦中招,短信信息就會泄露無餘。另外,犯罪者大多選擇凌晨作案,且無需直接與受害者接觸,因此大部分受害者對資金被盜毫無察覺,一覺醒來只有手機里莫名其妙多出來的驗證碼……

據廣州警方通報,截至今年6月,廣州警方已陸續破獲多起此類案件。今年 7 月,鄭州警方也破獲了類似案件。

針對這一情況,普通用戶應當如何應對呢?根據一些安全研究員和@江寧公安在線的訊息,可以採取以下措施:

1. 盡可能更換 4G 手機並聯繫運營商開通 VoLTE 業務,提升手機防禦等級,增加攻擊難度;

2. 平時保護好個人信息(包括身份賬號、銀行卡號等敏感信息);

3.關閉手機移動信號,只使用家中或辦公室等安全的 WIFI 聯網;

4. 睡覺前關機或設置飛行樣式,讓手機無法接收短信(但這可能導致其他詐騙風險上升或者親友有重大事件無法聯繫)。

此外,警察蜀黍也補充道:目前運營商也針對GSM 協議的問題進行系統換代升級。而大多數支付了、銀行類APP 除了短信驗證碼之外,還有圖片驗證、語音驗證,人臉驗證,指紋驗證等等諸多二次驗證機制,如果單單泄露驗證碼,並不會造成損失。

據熱心網友表示,很多銀行還有可以自主設置的安全功能,例如中國銀行 APP 可以設定在某個時段不能進行消費交易;招行 APP 中有“常用設備管理”設置選項等。

最後,呼籲各大運營商和通信管理部門儘快採取有效技術手段,儘快解決此問題。一些安全機制不完善的銀行和金融類app可以考慮採用其他雙向驗證輔助手段提高安全效率。當然,一旦遇到此類詐騙,一定要保留好短信內容,立刻報警。

參考自:微博@江寧公安在線;騰訊“守護者計劃”等,作者:AdlerI,來自 FreeBuf.COM

更多資訊

◈ 報告:上半年手機App越界獲取用戶隱私比例大幅降低

http://t.cn/RDhomjs

◈ 中美俄成加密貨幣黑客攻擊的首要標的

http://t.cn/RDhourN

◈ 通用推出漏洞懸賞計劃 重視自動駕駛時代的汽車網絡安全

http://t.cn/RDho3kp

◈ 台積電突遭電腦病毒入侵 三大產線受到影響

http://t.cn/RDhoBL0

(信息來源於網絡,安華金和搜集整理)

赞(0)

分享創造快樂