8月14日�����,深圳龍崗警方宣布打掉一個(gè)新型盜刷銀行卡犯罪團伙�����,抓獲10名嫌疑人�����,查繳偽基站等電子設備6套���,帶破同類(lèi)案件50余宗��,涉案金額逾百萬(wàn)元�。據專(zhuān)家分析��,嫌疑人通過(guò)“GSM劫持+短信嗅探”技術(shù)截獲受害人短信驗證碼�����,從而完成盜刷等操作��。截至目前�,這是全國該類(lèi)案件中打掉涉案人數最多��、金額最大的一起���。
“基于短信驗證碼實(shí)現身份驗證的安全風(fēng)險顯著(zhù)增加���?����!比珖畔踩珮藴驶夹g(shù)委員會(huì )在《網(wǎng)絡(luò )安全實(shí)踐指南——應對截獲短信驗證碼實(shí)施網(wǎng)絡(luò )身份假冒攻擊的技術(shù)指引》中指出����。
網(wǎng)友遇怪事
夢(mèng)中收短信 網(wǎng)銀被盜刷
7月30日凌晨5點(diǎn)�,從夢(mèng)中醒來(lái)的網(wǎng)友“獨釣寒江雪”發(fā)現了一件怪事:“手機一直在震��,一看����,接收了100多條驗證碼����,支付寶���、京東���、銀行什么都有�����。嚇得一下子清醒����,去看支付寶�����,余額寶�、余額和關(guān)聯(lián)銀行卡的錢(qián)都被轉走了��。京東開(kāi)了金條�、白條功能��,借走1萬(wàn)多元��?����!?/p>
人在睡夢(mèng)中��,手機在身邊�。是誰(shuí)遠程偷看了短信驗證碼���,還利用短信驗證碼完成了轉賬購物借貸等操作�����?據了解����,這是不法分子通過(guò)“GSM劫持+短信嗅探”技術(shù)��,實(shí)時(shí)獲取用戶(hù)手機短信內容��,竊取用戶(hù)信息��,盜刷用戶(hù)賬戶(hù)�����。
“不法分子先使用偽基站獲取用戶(hù)手機號���,再通過(guò)網(wǎng)上泄露的數據庫�,根據手機號碼反查用戶(hù)的姓名��、身份證號�、銀行賬號等信息���。然后在某些網(wǎng)站啟動(dòng)注冊或交易����,并利用和用戶(hù)位置相近的特點(diǎn)竊取用戶(hù)短信驗證碼���?���!北本┐髮W(xué)信息科學(xué)技術(shù)學(xué)院副教授陳江說(shuō)���。
有業(yè)內人士形容�,嗅探硬件“小的跟手機差不多�����,大得像行李箱���,最低成本只用花一頓必勝客的錢(qián)”���。騰訊守護者計劃安全專(zhuān)家周正介紹�,目前絕大多數移動(dòng)互聯(lián)網(wǎng)服務(wù)都采用以手機號和短信驗證為基礎的識別策略��,但國內GSM的語(yǔ)音和短信業(yè)務(wù)鑒權和加密性偏弱��。犯罪分子使用定制化���、成本低����、易攜帶的嗅探系統�,獲取受害人的手機號和短信驗證碼���,進(jìn)而實(shí)施犯罪���。
此前已有多地出現“GSM劫持+短信嗅探”盜刷案件��。2017年底至2018年8月���,騰訊守護者計劃安全團隊協(xié)助北京��、福建����、廣東等地警方打擊此類(lèi)犯罪團伙5個(gè)�,抓獲犯罪嫌疑人25人��。
短信漏洞多
身份可偽裝 內容易泄露
注冊新賬號���,需要短信驗證碼���;忘記密碼又想登錄網(wǎng)站�����,需要短信驗證碼�����;在網(wǎng)上轉賬提現�,需要短信驗證碼……當前�,使用短信驗證碼驗證用戶(hù)身份的技術(shù)��,被廣泛應用于各類(lèi)移動(dòng)應用和網(wǎng)站服務(wù)�。
陳江說(shuō):“短信驗證碼雖然方便高效���、容易普及使用�����,但存在‘是否用戶(hù)本人使用本人手機完成驗證操作’這樣的漏洞����,給不法分子偽裝受害者提供了機會(huì )��?��!?/p>
“短信驗證碼是賬號安全的核心���,承擔著(zhù)實(shí)名認證的任務(wù)�����,是保證資金安全的一把密匙��,但目前的關(guān)注程度還不高�?����!敝袊ù髮W(xué)傳播法研究中心副主任朱巍說(shuō)��。
通過(guò)短信驗證碼登錄賬號后����,不法分子可以獲取用戶(hù)的快遞地址�、消費記錄�����、通訊錄等隱私信息�����,還可以通過(guò)“撞庫”“社工”等方式��,“集齊”用戶(hù)的姓名���、身份證���、銀行卡號�����,實(shí)施資金盜刷��、電信詐騙�����、敲詐勒索等活動(dòng)�。
除了被“偷窺”����,泄露短信驗證碼的途徑還有很多��。有的用戶(hù)點(diǎn)擊了非法鏈接���,手機被安裝監聽(tīng)木馬��;有的不法分子偽裝銀行客服�����,直接索取驗證碼內容�;還有運營(yíng)商內鬼主動(dòng)泄露�,里外勾結�����。此外�,短信云同步�、自動(dòng)填寫(xiě)驗證碼等功能的初衷雖是方便用戶(hù)�,卻也可能被不法分子利用��。
安全待升級
改發(fā)送方式 加生物識別
“改變短信設置�����,使用VoLTE技術(shù)(基于4G的語(yǔ)音傳輸技術(shù))����,改用4G網(wǎng)絡(luò )傳輸短信����?!薄瓣P(guān)閉手機蜂窩功能�,改用無(wú)線(xiàn)網(wǎng)絡(luò )”“晚上睡覺(jué)時(shí)關(guān)閉手機或調整到飛行模式”……為了避免短信驗證碼被“偷窺”�,不少媒體和熱心用戶(hù)給出了解決方案��。
但是���,這些方案并不能一勞永逸���。比如����,就算改用4G傳輸短信�����,不法分子也可能在4G網(wǎng)絡(luò )薄弱的地區“監聽(tīng)”����,或用特殊手段把短信“逼”上不夠安全的2G通道�。
全國信息安全標準化技術(shù)委員會(huì )建議��,網(wǎng)絡(luò )平臺可以要求用戶(hù)主動(dòng)發(fā)送短信用以驗證身份���,使用語(yǔ)音通話(huà)傳輸驗證碼��,將用戶(hù)常用設備和賬號綁定���,采用指紋識別�����、人臉識別等生物特征識別技術(shù)����,同時(shí)隨機選擇多種方式進(jìn)行驗證�����。
“用戶(hù)傳輸敏感隱私信息時(shí)���,應選擇安全性相對高的通信軟件�,發(fā)現手機信號模式異常時(shí)應及時(shí)更換網(wǎng)絡(luò )環(huán)境�����。網(wǎng)絡(luò )平臺應增加多維度動(dòng)態(tài)驗證機制���,對賬號異常行為進(jìn)行強校驗�,采用生物特征識別技術(shù)�。運營(yíng)商應提高4G網(wǎng)絡(luò )覆蓋率和穩定性��,推動(dòng)VoLTE等高清數據傳輸方式的普及���?!敝苷ㄗh����。
“第三方支付機構要注意資金安全����,發(fā)現異常及時(shí)停止服務(wù)����,避免用戶(hù)損失�����。同時(shí)���,第三方支付也要和銀行開(kāi)展配合����,形成立體化風(fēng)控體系����?����!敝煳≌f(shuō)��。
