“莫名收到短信验证码半辈子积蓄就没了”!小心!
8月1日,网友@独钓寒江雪 在网上发帖,称自己手机凌晨一直在接收验证码,接收了100多条,随后发现支付宝、关联银行卡的钱都被抓走了……
@独钓寒江雪称,其在7月30日凌晨5点多醒来后,手机便一直收到短信息,总共100多条,这一些信息是分别来自支付宝、京东、银行等的短信验证码,然后发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。
8月2日下午,南京江宁公安分局官方微博公布消息称,一种名为“GSM劫持+短信嗅探技术”的犯罪手法是近两年来出现的新型伪基站犯罪手段,多地警方已经有所发现。“不同于传统的伪基站只给你发诈骗短信的方法,这种新型手法实现不接触目标手机而获得目标手机所接收到的验证短信的目的。”
该消息还称,更危险的新技术则是重新定向手机信号,同时使用GSM中间人方法劫持验证短信,此类劫持和嗅探并不仅限于GSM手机,包括LTE,CDMA类的4G手机也会受到相应威胁。此技术在2016年后逐步被诈骗等黑色产业注意到并迅速将其用于真实的操作。”
这个不是开玩笑,不是危言耸听,是真的!公安界大V@江宁公安在线 专门发帖科普此事。
据广州警方通报,近期,多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改,损失惨重。
民警介绍,骗子通过这种技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
一、骗子通过特定种类设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码。
二、骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。
三、骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。
本来,这种技术主要是针对2G的GSM信号,但骗子狡猾之处就在于,他们会干扰附近的手机信号,使4G变为2G信号后,再窃取你的短信信息。
另外,该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来只有手机里莫名其妙的验证码……
一、骗子通过特定种类设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码。
二、骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。
三、骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。
本来,这种技术主要是针对2G的GSM信号,但骗子狡猾之处就在于,他们会干扰附近的手机信号,使4G变为2G信号后,再窃取你的短信信息。
另外,该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来只有手机里莫名其妙的验证码……
据广州警方通报,截至今年6月,广州警方已陆续破获多起此类案件。越秀警方经过研判,对一使用特定种类设备高科技电信诈骗团伙实施收网行动,抓获疑犯3人。
据悉,该团伙自6月份以来,已作案16宗。在增城警方破获的一起案件中,犯罪团伙部分人员以无线电爱好者或电子通信设施“发烧友”为主,负责制造、销售该类特定种类设备;还有部分嫌疑人负责利用公民个人隐私信息实现盗刷套现。
但是从网友爆料的情况去看,这一类团伙目前任旧存在。据微博@江宁公安在线说,此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子,对于普通用户来说绝大多数都是无法防范的,也给警方的侦破工作带来了很大的挑战!
实际上,早在2018年2月11日,全国信息安全标准化技术委员会秘书处曾发布《网络安全事件指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》(下简称《技术指引》),指出由于GSM网络(2G网络)存在单向鉴权和短信内容无加密传输等局限性,且获攻击呈现工具化和自动化趋势,“基于短信验证码实现身份验证的安全风险明显地增加。”
该指南指出,此类攻击主要利用了短信验证码在用户身份验证方面存在的安全缺陷,“该缺陷由GSM设计造成,且GSM网络覆盖范围广,因此修复难度大、成本高。”而由于短信验证码技术被大范围的使用在各类移动应用、网站服务的身份验证,获攻击手段一旦被大规模利用,可能会引起基于短信验证码实现身份认证的技术失效,造成公民财产损失,危害互联网生态安全。
《技术指南》建议各移动应用、网站服务提供商优化用户身份验证措施,选用一种或采用多种方式组合,比如通过短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式,加强安全性。
江宁公安官博于8月2日发布的通报显示,此类新型伪基站诈骗“对于普通用户来说绝大多数都是无法防范的,也给警方的侦破工作带来了很大的挑战,因为涉及到的网站APP银行极其众多”。
同时,江宁公安消息称,大家不必过于担忧,GSM协议的问题系统换代升级也在进行中。目前绝大多数支付类、银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制,如果单单泄露验证码,问题是不大的。绝大多数中招的用户是因为同时泄露了身份证号等其他重要身份信。“GSM劫持防不了,别的信息泄露还是可防的。”
江宁公安建议,由于手机会接收到一些信息,有的防范策略是晚上关机或者开启飞行模式,而实际上这样做的意义并不大,因为有的手机可能被劫持后本身已经没办法接收到短信。较为显著的被攻击特征除了接收短信外,还有手机信号可能在4G和2G之间切换。而一旦你晚上关机或者开启飞行模式,也可能会引起其他诈骗风险的上升或者重要事件时亲友无法联系你。“所以比较稳妥的办法是关闭手机的移动信号,只使用家中或者办公室的WIFI,这样既能保持和大家的网络联系,也能略微提高被嗅探的难度。如遭遇此类诈骗务必立刻报警,保留好短信内容。”
@江宁公安在线 表示,GSM协议的问题早已经被关注到,目前这方面的系统换代升级也在进行中。而验证码短信其实是由于本身处于明文传递才导致泄露高风险。目前绝大多数支付类,银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制。
此外,如果单单泄露验证码,问题是不大的,绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。GSM劫持防不了,别的信息泄露还是可防的!
1.平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;
2.睡觉前关机或者设置飞行模式,或者关闭手机的移动信号,只连接WIFI,这样能略微提高被嗅探的难度。
3.如果早上起来,看到半夜收到奇怪的验证码短信,一定要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时假如发现钱被盗刷了,火速冻结银行卡,保留短信内容,报警。
4.如果猛地发现手机信号变成2G,要立刻想到自己可能正遭遇这种攻击,并采取以上方式防御!
此外,据网友补充,有些银行APP安全功能能对此进行防备,比如开启常用设备管理
素材来源:扬子晚报、广州日报、广州参考、腾讯“守护者计划”、新浪微博、澎湃新闻、网络等,采编:今日电商前线(ID:dianshang返回搜狐,查看更加多
