原标题:睡一觉醒来钱没了 新型盗刷手法该咋防?
没丢手机也没丢卡,没扫二维码也没点链接,什么都没做,一觉醒来钱就没了?!这是最近发生在广州等地的新型电信网络诈骗方式。这种网络侵财手段是如何得逞的,该怎么防?它说明了哪些问题必须引起有关方面的关注?
>>新闻事件
“GSM劫持+短信嗅探技术”盗刷银行卡
据《广州日报》7月27日报道,近期警方陆续接报同类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行App登录账号和密码也已被篡改,损失惨重。
7月26日凌晨5时,越秀警方经过研判,对一使用特种设备高科技电信诈骗团伙实施收网行动,抓获疑犯3人。该团伙通过劫持GSM短信信息,用短信嗅探技术对受害人银行卡实施盗刷。自6月份以来,已作案16宗。
这是一种最新的犯罪手法,骗子通过“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容,进而利用各大银行、网站、移动支付App存在的漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
今年7月,河南郑州警方也破获了类似案件。
>>实验演示
有个伪基站就能收集短信
■实验时间:2018年8月6日
■实验地点:西安四叶草信息技术有限公司
■实验人员:CloverSec实验室安全研究员余俊峰、王明星,华商报记者
■实验设备:软件无线电平台、GSM测试手机、笔记本电脑
■实验顾问:国内知名网络安全专家、四叶草公司CEO马坤,西安电子科技大学网络与信息安全学院教授、博士生导师杨超
什么叫短信嗅探?安全研究员余俊峰和王明星给记者做了现场演示。
一套连着天线的特殊无线电设备、一台笔记本电脑以及实验用的手机,就是实验设备。王明星在电脑上操作了一会儿,便抓到了一些手机用户的通信信息,都是满屏不断变化的数字,看起来很复杂。但王明星操作了几下,便可以看到几个手机用户收到的短信内容,这些内容完全是明文的,内容一目了然。
余俊峰介绍,说得简单一点,这套设备就是升级版的伪基站。和发垃圾短信的伪基站以发送为主不同,它的主要功能是接收。“它可以接收真正的通信基站发给所有附近相应信道手机用户的信息。这些信息不仅包括短信,还包括语音。接收的时候,并不会影响手机用户的正常使用,所以用户根本不会觉察。不过,它的影响范围是有限的,只能接收附近一定范围的相关信道手机用户的内容。”余俊峰说,演示使用的这套设备,是他们为了研究对付这种这种作案手法而自制的,只有一个信道。“不法分子为了达到侵财目的,使用的设备会更先进,可能会有很多信道,可接收附近所有相关信道手机用户的通讯信息。短信验证码,就是这样被不法分子获取的。”
但只拿到短信验证码,不法分子是无法窃取用户的财产的。余俊峰解释说,不法分子还获取到了用户的手机号码、身份证号码、银行账号等非常关键的个人信息。这些信息,不法分子往往会通过登录其他一些网站从中碰撞出手机用户的身份信息(这种办法被称为“撞库”),或者社工手段(即欺骗等手段)获取。拿到这些信息后,不法分子会在一些平台开通账号并绑定事主银行卡,冒充手机用户消费或套现。等受害者一觉醒来,发现手机里一大堆验证码的时候,钱已经飞走了。
这种技术主要针对2G的GSM信号,但技术手段较强的不法分子可能会采取干扰手机信号,使4G变为2G信号后,再窃取用户的明文短信验证码信息的办法。当然,这个难度相对来说比较大。为了不让受害者察觉,不法分子通常会选择在人们都已熟睡时作案。
>>实验分析
■问题1
GSM网络存在三个缺陷
西安电子科技大学网络与信息安全学院教授杨超认为,这与GSM网络(2G网络)的三个缺陷有关:一是GSM网络短信不加密,明文传输;二是手机和基站之间是单向认证,给伪基站有机可乘;三是手机号虽然不能轻易拿到,但IMIS设备串码用技术手段拿到,拿到串码就可能结合个人隐私的泄露来定位机主其他隐私信息,包括拿到手机号。
网络安全专家马坤表示,这种设备是以前的伪基站的升级演化版,只不过是把专项功能从短信群发转化为短信调取,它利用了GSM网络协议明文传输的缺陷。这种缺陷的弥补难度很大,所以才需要升级到3G、4G、5G。不过,现在所有的手机都支持2G网络,这也是手机最基本的功能。在这种情况下,不法分子就可能通过设备把4G、3G信号屏蔽掉,只让手机采用2G网络,然后利用2G网络协议缺陷获取用户信息。
■问题2
只依赖短信验证码作为身份验证非常不靠谱
余俊峰介绍,其实不仅仅通过“短信嗅探”可以获取手机用户短信验证码,实验证明,手机云端账号和密码泄露、手机被植入木马等,都可能导致验证码短信被不法分子获取。在这么多漏洞的情况下,一些网络平台依然只依赖短信验证码作为身份验证,这已非常不靠谱。短信验证码不仅可修改登录密码,甚至可更改支付密码,这导致安全防范方面存在巨大漏洞。
>>防范建议
这种情况千万小心
手机没挪动信号却从4G变2G
那么,究竟该如何预防这种犯罪手段?马坤建议:1、相关部门和通讯运营商多配备一些伪基站检查车,加大对伪基站的打击力度。运营商不仅要考虑可用性,还要更多地考虑安全性。2、App平台不能过于依赖短信验证码这种验证方式,需要用加强验证。3、如果发现手机没有挪动位置信号却突然从4G变成2G,要能意识到可能正在遭遇攻击。4、如果发现钱被盗刷,火速冻结银行卡,保留短信内容,报警。
杨超建议,个人用户要注意以下几点:1、晚上可以把手机关机或设为飞行模式,这时就不会发串码,而基站在发短信时若发现手机是关机的,也就不会发短信;2、使用各种App不要光采用短信认证,如果平台有多因子认证方式的话,应尽量打开;3、手机银行和第三方支付平台支持的话,可通过设置交易限额以及禁止夜间交易的方式来避免晚上被不法分子盯上。
余俊峰建议:短信云同步功能,建议个人用户权衡利弊谨慎开启,因为开启这个功能,一旦云账户被盗,会给犯罪分子提供极大的便利,即不用接触手机,通过网络就能获取短信验证码。 华商报记者 马虎振 摄影 邓小卫
