短信“半夜盗刷”该如何防范
犯罪分子常选择深夜用特殊设备嗅探用户短信 “睡觉前关机”是最简单应对方法
嫌疑人将伪基站等设备藏在外卖箱中供图/腾讯守护者计划
“一觉醒来,手机里多了上百条验证码,而账户被刷光还背上了贷款”——近期犯罪分子利用“GSM劫持+短信嗅探”的方式盗刷网友账户的事件成为网络热点。那么,该如何防范这种短信嗅探犯罪呢?安全专家指出,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。
在主流App中,许多账户登录及资金操作都可以通过手机号码加短信验证码的方式实现,对于用户来说,这种操作为自己带来方便,无需记忆复杂的密码;但对于别有用心的犯罪分子来说,他们可以利用简单的设备获取用户的验证码,从而操控用户账户,提现、消费,甚至贷款。一位深圳网友日前就经历了这样的骗局,一觉醒来,手机上发现了上百条验证码,银行卡、支付宝、京东等账户中的资金不翼而飞,甚至还背上了网络贷款。
专家表示,这是犯罪分子利用“GSM劫持+短信嗅探”的方式,把银行卡或其他账户里的钱盗刷或者转移了。为此,消费者需要注意防范,尤其是在2G网络情况下,警惕遇到犯罪分子实施的强制“降频”等方式攻击,要及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况。
事件
一觉醒来收百条验证码存款全无
本月初,家住深圳的网友“独钓寒江雪”发文称,自己当天起床发现手机接受了100多条验证码,包括支付宝、京东、银行卡等,查询发现,“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。”
她的手机截图显示,她从凌晨1点多起,陆续收到来自中国银行、京东、京东支付、环迅支付、房天下等多个号码发来的“验证码”短信,仅在3点11分就收到了4条短信,一共100余条。
如京东金融自2点34分起,陆续发送了“(借款成功)您成功申请金条借款10000.00元,将于30分钟内到尾号0152的银行卡”“恭喜您开通白条,额度为5000元”等多条短信,京东支付的短信显示:“验证码:362661,您现在正在进行支付,短信验证码请注意保密……”环迅支付显示:“验证码219860,你正在使用快捷支付,校验码很重要,不要告诉任何人哦!”10086123的短信显示:“您的短信验证码为351525,请本人及时输入,切勿向他人透露。”
另外,她还查询到自己的多个账户中的钱已被交易,对方用自己的支付宝绑定的工商银行卡购买了1000元的Q币,还预定了南京一家高档酒店的套房,用京东卡充值了2000元的中国石化加油卡等。
分析
犯罪分子利用短信嗅探专挑熟睡时段作案
那么为何会出现“睡一觉把存款睡没”的情况?腾讯安全的技术人员表示,“这些人都是被犯罪分子用‘GSM劫持+短信嗅探’的方式,把银行卡或其他账户里的钱盗刷或者转移了。”
据技术人员介绍,短信嗅探通常由号码收集设备(伪基站)和短信嗅探设备组成。其犯罪具体分为以下四步:第一步,犯罪团伙基于2G移动网络下的GSM通信协议,在开源项目OsmocomBB的基础上进行修改优化,搭配专用手机,组装成便于携带易使用的短信嗅探设备。
第二步,通过号码收集设备(伪基站)获取一定范围下的潜在的手机号码,然后在一些支付网站或移动应用的登录界面,通过“短信验证码登录”途径登录,再利用短信嗅探设备来嗅探短信。
第三步,通过第三方支付查询目标手机号码,匹配相应的用户名和实名信息,以此信息到相关政务及医疗网站社工获取目标的身份证号码,到相关网上银行社工,或通过黑产社工库等违法手段获取目标的银行卡号。由此掌握目标的四大件:手机号码、身份证号码、银行卡号、短信验证码。所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。
第四步,通过获取的四大件,实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作,实现对目标的盗刷或信用卡诈骗犯罪。因为,一般短信嗅探技术只是同时获取短信,并不能拦截短信,所以不法分子通常会选择在深夜作案,因为这时,受害者熟睡,不会注意到异常短信。
追访
短信嗅探设备被藏在外卖箱内作案
据腾讯安全的技术人员介绍,嫌疑人的设备包括两种,一种是收集设备,一种是嗅探设备。收集设备由一个伪基站、三个运营商拨号设备以及一个手机组成。这台设备启动后,附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时,与设备相连的那台手机(中间人手机)就可以临时顶替被“吸附”的手机。也就是说,在运营商基站看来,此时攻击手机就是受害者的手机。嫌疑人的短信嗅探设备则由一部电脑、一部最老款的诺基亚手机和一台嗅探信道机组成。利用该劫持设备,犯罪分子可以看到这个基站区域内所有用户收到的短信,并且用户毫无知觉。上述的设备体积都不大,也为其实施作案提供了方便。
据报道,该案件发生后,深圳龙岗警方对该案高度重视,抽调精兵强将此类新型案件进行串并研判,在一周内抓获了数名犯罪嫌疑人,并缴获了作案设备。网友独钓寒江雪也表示,最后,支付宝和京东的赔付到账,贷款还清。
值得注意的是,一名嫌疑人所用的车载嗅探攻击设备等被装在一个外卖保温箱中,也就是说,从外观来看,这是一台外卖箱,实际上,这是一个装有伪基站等设备的操作站。
关注
短信嗅探盗刷到底该如何防范
由上可见,嫌疑人要实现盗刷需要很多条件:第一,受害者手机要开机并且处于2G制式下;第二,手机号必须是中国移动和中国联通,因为这两家的2G是GSM制式,传送短信是明文方式,可以被嗅探;第三,手机要保持静止状态,这也是嫌疑人选择后半夜作案的原因。第四,受害者的各类信息刚好能被社工手段确定;第五,各大网站、APP的漏洞依然存在。
那么,作为普通网民来说,如何防范这种短信嗅探犯罪呢?腾讯安全的技术人员表示,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。另外还要注意自己手机信号模式改变。在稳定的4G网络环境下,手机信号突然降频“GSM”、“G”或者无信号时,警惕遇到黑产实施的强制“降频”及GSM Hack攻击,要及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况。
在手机设置上,用户可以使用“VoLTE”保护信息安全:在手机设置中开启“VoLTE”选项,目前主流安卓或iphone手机均已支持。(VoLTE:Voice over LTE,是一种数据传输技术,无需2G或3G,可实现数据与语音业务在4G网络同时传输)
同时,用户最好关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。
提示
平时需做好敏感私人信息保护
此外,据犯罪嫌疑人交待,他们利用设备可以登录一些防范能力较低的网站(一般只需要手机号+验证码)绰绰有余。但是他们的目的并不仅限于成功登录,而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息,他需要社工手段来确定这些信息。因此,用户平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。
那么,骗子如何获取用户的这些信息呢?例如如何获知附近用户的手机号?据腾讯安全技术专家介绍,手段千奇百怪,比如骗子劫持到中国移动139邮箱发送来的短信“中国移动 139邮箱 狂欢来一波!100%有奖!点击查看邮件详情xx”后,复制其中的链接到浏览器,点击“进入掌上营业厅”,就可以直接看到手机号了。知道了手机号以后,再通过登录其他一些网站,利用社工手段就可以很轻松地知道这个人的银行卡账号、身份证号。
在获取了用户信息后,骗子就可以利用这些信息实施犯罪。其一,登录各种网站修改密码,如许多电商、旅游网站允许使用“手机号+验证码”的登录方式,而骗子又可以实时监控到验证码,所以很容易就可以登录。据测试,许多主流网站都可以顺利登录,可以查看商品订单、行程信息、支付信息等,而且还可以直接更改登录密码。其二,可以盗刷资金,许多App的安全策略较低,不少APP只要输入“姓名+银行卡账号+身份证号码+手机号码+动态验证码”,就默认是本人操作,骗子进入以后马上就会盗刷或者购买点卡类虚拟物品。其三,利用网站身份申请贷款等,有些嫌疑人刷完了银行卡中的钱,还会通过这些信息在一些小的贷款网站、平台申请小额贷款,让受害人不但积蓄全无,还会背负债务。通过非法获取和贩卖用户的隐私信息,黑产还可实施精准的电信网络诈骗、敲诈勒索、恶意推广营销等不法活动。
在此过程中,一些App会在必要时候启动风险措施,如支付宝在嫌疑人试图提现时启动了风控措施,从而中断了嫌疑人进一步实施犯罪的动作。据介绍,当天嫌疑人利用伪基站和嗅探设备于1时42分通过“姓名+短信验证码”的方式登录了支付宝账号;1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改,并且绑定了银行卡;1时50分到2时12分别通过输入支付密码的方式进行网上购物932元,并提现7578元。3时21分,嫌疑人想通过提现到银行卡上的钱进行购物,支付宝风控措施启动,要求人脸校验,没有通过校验后嫌疑人便放弃。此时,在支付宝上的消费也就是932元。
安全专家表示,支付宝的安全等级算是高的,但从嫌疑人的交待中,还发现了许多网站的风控措施不严格,很容易被利用。比如每天最高限额定得过高(某银行每天限额达到5000元),比如更换设备登录、频繁登录没有人脸或密码校验等手段,再比如可以在网站上进行小额贷款等操作。
建议
App及网站需提高短信验证码安全系数
而针对网络平台,全国信息安全标准化技术委员会也下发了一份《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,建议个各App、网站服务提供商对业务系统中短信验证码的使用方式进行摸底。例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况,并评估相关安全风险,优化用户身份验证措施。全国信息安全标准化技术委员会建议的方式包括:短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择验证方式等。
如短信上行验证具体是:提供由用户主动发送短信用以验证身份的功能,如要求用户在规定时间内(如 60 秒),使用已绑定的手机号码向移动应用、网站服务提供商指定的短信服务号码发送指定内容短信,移动应用、网站服务根据短信内容对用户身份进行验证。常用设备绑定为:提供将用户账号与常用设备绑定的功能,原则上支付、转账等敏感操作只能通过该绑定设备执行。设备绑定、更换等操作应采用短信上行验证、语音通话传输验证码等方式,并采用诸如要求用户回答预设问题、提供注册时填写的相关用户信息或核对该用户账号近期操作记录等方法进一步确认用户身份。
文/本报记者 温婧
,一觉醒来存款石景山房屋出租 全没负债累累如何防范?专家:睡前关机相关:
发展绿色金融:应发挥政府“守夜人”职责 8月17日,在南京江北新区举行的“智汇长三角融合新江北——2018年绿色发展及绿色金融国际高峰论坛”上,南京大学校长助理、中国金融学会常务理事范从来指出,在发展绿色金融过程中,应充分发挥政府“守夜人”的职能。 近年来,我国绿色债券增速下降、债券风险频发,也累积着绿色金融市场的潜在风险。同时,在项目发展过程中也存在洗绿、“漂绿”与“目录式”管理问题。 ..
供给侧改革有力推进产业结构升级 国家发改委新闻发言人、经济运行调节局局长赵辰昕在国家发改委近日举行的供给侧结构性改革有关情况新闻发布会上表示,今年以来,推进供给侧结构性改革,重点在“破”“立”“降”上下功夫,着力加大基础设施领域补短板力度,着力增强创新力、发展新动能,打通去产能制度梗阻,着力降低企业成本,坚持做好去杠杆工作,取得了显著成效。产业结构优化升级不断加快,经济发展质量..
中共中央国务院关于打赢脱贫攻坚战三年行动的指导意见原标题:中共中央国务院关于打赢脱贫攻坚战三年行动的指导意见 党的十八大以来,以习近平同志为核心的党中央把脱贫攻坚工作纳入“五位一体”总体布局和“四个全面”战略布局,作为实现第一个百年奋斗目标的重点任务,作出一系列重大部署和安排,全面打响脱贫攻坚战。过去5年,我们采取超常规举措,以前所未有的力度推进脱贫攻坚,农村贫困人口显著减少,贫困发生率持续下降,解决区域性整体贫困迈出坚实步伐,贫困地区农民生..
云端哨所“追”信号原标题:云端哨所“追”信号 仲夏时节,冰雪消融,海拔4700多米的科西拜勒达坂迎来了克克吐鲁克边防连前哨班官兵。 周末,边防连上士樊定定起了个大早。他爬上数百米高的一个山口,拨通了手中的电话。 当天是女儿4岁生日。几天前,樊定定与家人商量好要和女儿视频通话。为了这个约定,他必须攀上海拔5000多米的山口,因为只有在这里手机信号才处于“满格”状态。 “爸爸!”手机屏幕中,女儿开心地笑着,两颗虎..
用好问责这个管党治党的利器原标题:用好问责这个管党治党的利器 写在前面 全面从严治党,需要坚持真管真严、敢管敢严、长管长严;强化纪律执行,必须让党员、干部知敬畏、存戒惧、守底线。近日,中央军委印发《军队实行党的问责工作规定》。这是军队规范党的问责工作的重要基础性法规,是贯彻落实全面从严治党要求的重要举措。面对军队建设改革发展艰巨繁重的新任务,面对全面从严治党、全面从严治军的新要求,各级党组织要以贯彻落实《规定》为抓..
武术入奥,依然任重道远原标题:武术入奥,依然任重道远 亚运首金,在国人的心中分量十足。好的开始是成功的一半,开门红亦可以鼓舞整个代表团的士气。 因为将诞生本届亚运会的首金,一大批中国记者在清晨就赶到了位于雅加达会展中心的武术赛场。 在男子长拳项目的角逐中,中国选手孙培原第五个出场。他的动作行云流水、一气呵成,拳如流星、眼似闪电,闪转腾挪间力拔千钧……在这一套技术难度很高的动作中,除了有一次腾空后落地时身体稍..
既要“勇敢的心” 也要“智慧的脑”原标题:既要“勇敢的心” 也要“智慧的脑” 近几年,基层部队流行着一种“以新带老”的现象——越来越多的年轻官兵走上讲台,为老兵讲授新装备新技术知识。与这些学用新装备新技术事半功倍的年轻官兵相比,不少老同志直呼自己“落伍”。 恩格斯说过,枪是不会自己射击的,需要有勇敢的心和强有力的手去使用它们。今天,随着我军新列装的武器装备嵌入越来越多的新技术,使用好这些新装备,不仅需要“勇敢的心”和“强有..
“细水滴灌”培养明白人原标题:“细水滴灌”培养明白人 培训周期长达3个月、随机考核不设题库、座谈交流全部脱稿……8月初,第81集团军某旅新上任的党支部书记,收到机关下发的党支部书记培训方案时,感到有些新鲜。 此次党支部书记培训,一改以往集中一周时间、“脱产”培训的组织形式,结合部队正在做的工作及时调整培训内容,切实提高新任党支部书记抓班子、带队伍的能力,培养党支部书记明白人。 该旅领导介绍,过去组织的集中培训虽..
提高科技创新对战斗力增长的贡献率原标题:提高科技创新对战斗力增长的贡献率 习主席着眼实现“两个一百年”奋斗目标、实现中华民族伟大复兴中国梦谋划指导国防和军队建设,多次强调要树立科技是核心战斗力的思想,坚持自主创新的战略基点,不断提高科技创新对战斗力增长的贡献率。这一重要思想,深刻揭示了科技创新与战斗力增长的内在规律,为抢占世界军事竞争制高点,实现党在新时代的强军目标,全面建成世界一流军队,指明了前进方向,提供了根本遵循。 ..
戈壁水乡“三个泉”原标题:戈壁水乡“三个泉” “三个泉”,位于中蒙边境的白塔山下。 在这里驻守着一群边防军人,他们与“三个泉”为邻,一茬茬官兵用忠诚和奉献在茫茫戈壁滩建设出一片绿洲,使这里成为景色怡人的世外桃源。 7月21日一大早,记者从新疆奇台县城乘车出发,走了两个多小时的公路,又在“搓板路”上颠簸一个多小时,接着在戈壁滩行驶了近三个小时,最终抵达“三个泉”边防连。 “这个连是全军为数不多的不通公路的..