8月14日�,深圳龍崗警方宣布打掉一個(gè)新型盜刷銀行卡犯罪團(tuán)伙����,抓獲10名嫌疑人,查繳偽基站等電子設(shè)備6套��,帶破同類案件50余宗���,涉案金額逾百萬(wàn)元�。據(jù)專家分析��,嫌疑人通過(guò)“GSM劫持+短信嗅探”技術(shù)截獲受害人短信驗(yàn)證碼�����,從而完成盜刷等操作�����。截至目前�����,這是全國(guó)該類案件中打掉涉案人數(shù)最多����、金額最大的一起。
“基于短信驗(yàn)證碼實(shí)現(xiàn)身份驗(yàn)證的安全風(fēng)險(xiǎn)顯著增加�。”全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》中指出。
網(wǎng)友遇怪事
夢(mèng)中收短信 網(wǎng)銀被盜刷
7月30日凌晨5點(diǎn)��,從夢(mèng)中醒來(lái)的網(wǎng)友“獨(dú)釣寒江雪”發(fā)現(xiàn)了一件怪事:“手機(jī)一直在震���,一看����,接收了100多條驗(yàn)證碼�����,支付寶���、京東�����、銀行什么都有�����。嚇得一下子清醒�����,去看支付寶��,余額寶����、余額和關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走了。京東開(kāi)了金條���、白條功能����,借走1萬(wàn)多元��。”
人在睡夢(mèng)中�,手機(jī)在身邊。是誰(shuí)遠(yuǎn)程偷看了短信驗(yàn)證碼�,還利用短信驗(yàn)證碼完成了轉(zhuǎn)賬購(gòu)物借貸等操作?據(jù)了解,這是不法分子通過(guò)“GSM劫持+短信嗅探”技術(shù)�����,實(shí)時(shí)獲取用戶手機(jī)短信內(nèi)容��,竊取用戶信息����,盜刷用戶賬戶。
“不法分子先使用偽基站獲取用戶手機(jī)號(hào)�����,再通過(guò)網(wǎng)上泄露的數(shù)據(jù)庫(kù)���,根據(jù)手機(jī)號(hào)碼反查用戶的姓名���、身份證號(hào)、銀行賬號(hào)等信息���。然后在某些網(wǎng)站啟動(dòng)注冊(cè)或交易�����,并利用和用戶位置相近的特點(diǎn)竊取用戶短信驗(yàn)證碼��。”北京大學(xué)信息科學(xué)技術(shù)學(xué)院副教授陳江說(shuō)�。
有業(yè)內(nèi)人士形容,嗅探硬件“小的跟手機(jī)差不多���,大得像行李箱����,最低成本只用花一頓必勝客的錢”��。騰訊守護(hù)者計(jì)劃安全專家周正介紹�,目前絕大多數(shù)移動(dòng)互聯(lián)網(wǎng)服務(wù)都采用以手機(jī)號(hào)和短信驗(yàn)證為基礎(chǔ)的識(shí)別策略,但國(guó)內(nèi)GSM的語(yǔ)音和短信業(yè)務(wù)鑒權(quán)和加密性偏弱���。犯罪分子使用定制化��、成本低�����、易攜帶的嗅探系統(tǒng)���,獲取受害人的手機(jī)號(hào)和短信驗(yàn)證碼,進(jìn)而實(shí)施犯罪����。
此前已有多地出現(xiàn)“GSM劫持+短信嗅探”盜刷案件。2017年底至2018年8月�����,騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)協(xié)助北京��、福建�����、廣東等地警方打擊此類犯罪團(tuán)伙5個(gè)��,抓獲犯罪嫌疑人25人����。
短信漏洞多
身份可偽裝 內(nèi)容易泄露
注冊(cè)新賬號(hào),需要短信驗(yàn)證碼;忘記密碼又想登錄網(wǎng)站,需要短信驗(yàn)證碼;在網(wǎng)上轉(zhuǎn)賬提現(xiàn)����,需要短信驗(yàn)證碼……當(dāng)前,使用短信驗(yàn)證碼驗(yàn)證用戶身份的技術(shù)��,被廣泛應(yīng)用于各類移動(dòng)應(yīng)用和網(wǎng)站服務(wù)��。
陳江說(shuō):“短信驗(yàn)證碼雖然方便高效���、容易普及使用���,但存在‘是否用戶本人使用本人手機(jī)完成驗(yàn)證操作’這樣的漏洞,給不法分子偽裝受害者提供了機(jī)會(huì)���。”
“短信驗(yàn)證碼是賬號(hào)安全的核心��,承擔(dān)著實(shí)名認(rèn)證的任務(wù)����,是保證資金安全的一把密匙����,但目前的關(guān)注程度還不高。”中國(guó)政法大學(xué)傳播法研究中心副主任朱巍說(shuō)。
通過(guò)短信驗(yàn)證碼登錄賬號(hào)后�����,不法分子可以獲取用戶的快遞地址���、消費(fèi)記錄、通訊錄等隱私信息���,還可以通過(guò)“撞庫(kù)”“社工”等方式��,“集齊”用戶的姓名�、身份證���、銀行卡號(hào)�,實(shí)施資金盜刷��、電信詐騙�、敲詐勒索等活動(dòng)。
除了被“偷窺”����,泄露短信驗(yàn)證碼的途徑還有很多。有的用戶點(diǎn)擊了非法鏈接,手機(jī)被安裝監(jiān)聽(tīng)木馬;有的不法分子偽裝銀行客服�,直接索取驗(yàn)證碼內(nèi)容;還有運(yùn)營(yíng)商內(nèi)鬼主動(dòng)泄露,里外勾結(jié)�����。此外����,短信云同步、自動(dòng)填寫驗(yàn)證碼等功能的初衷雖是方便用戶��,卻也可能被不法分子利用��。
安全待升級(jí)
改發(fā)送方式 加生物識(shí)別
“改變短信設(shè)置�����,使用VoLTE技術(shù)(基于4G的語(yǔ)音傳輸技術(shù))����,改用4G網(wǎng)絡(luò)傳輸短信。”“關(guān)閉手機(jī)蜂窩功能���,改用無(wú)線網(wǎng)絡(luò)”“晚上睡覺(jué)時(shí)關(guān)閉手機(jī)或調(diào)整到飛行模式”……為了避免短信驗(yàn)證碼被“偷窺”����,不少媒體和熱心用戶給出了解決方案。
但是�,這些方案并不能一勞永逸。比如�,就算改用4G傳輸短信,不法分子也可能在4G網(wǎng)絡(luò)薄弱的地區(qū)“監(jiān)聽(tīng)”���,或用特殊手段把短信“逼”上不夠安全的2G通道��。
全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)建議���,網(wǎng)絡(luò)平臺(tái)可以要求用戶主動(dòng)發(fā)送短信用以驗(yàn)證身份����,使用語(yǔ)音通話傳輸驗(yàn)證碼,將用戶常用設(shè)備和賬號(hào)綁定���,采用指紋識(shí)別���、人臉識(shí)別等生物特征識(shí)別技術(shù),同時(shí)隨機(jī)選擇多種方式進(jìn)行驗(yàn)證��。
“用戶傳輸敏感隱私信息時(shí),應(yīng)選擇安全性相對(duì)高的通信軟件�����,發(fā)現(xiàn)手機(jī)信號(hào)模式異常時(shí)應(yīng)及時(shí)更換網(wǎng)絡(luò)環(huán)境����。網(wǎng)絡(luò)平臺(tái)應(yīng)增加多維度動(dòng)態(tài)驗(yàn)證機(jī)制,對(duì)賬號(hào)異常行為進(jìn)行強(qiáng)校驗(yàn)�����,采用生物特征識(shí)別技術(shù)���。運(yùn)營(yíng)商應(yīng)提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性��,推動(dòng)VoLTE等高清數(shù)據(jù)傳輸方式的普及�。”周正建議�����。
“第三方支付機(jī)構(gòu)要注意資金安全���,發(fā)現(xiàn)異常及時(shí)停止服務(wù)�����,避免用戶損失��。同時(shí)��,第三方支付也要和銀行開(kāi)展配合����,形成立體化風(fēng)控體系。”朱巍說(shuō)��。
關(guān)鍵詞:
漏洞
風(fēng)險(xiǎn)
短信
證碼漏洞多風(fēng)險(xiǎn)大 需要加把安全鎖&url=http://m.sw-wood.cn/zixun/shehuiminsheng/2018/0817/11085.html&pic=picture/1121922106_15101037383211n.jpg)
證碼漏洞多風(fēng)險(xiǎn)大 需要加把安全鎖&pics=picture/1121922106_15101037383211n.jpg)
