原标题:神秘操作,让账户资金一夜之间不翼而飞……
深夜手机的支付宝、余额宝、京东白条内的钱款竟然会自动发生转账,睡了一觉,电子账户内的钱竟然就这么消失了……到底是什么操作?
有公安和安全公司实验室通过复盘测试发现,骗子应该是通过一种“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容!
如图,上述受害者的情况就是——早上醒来,发现手机内收到无数条验证码和银行扣款短信。而这种形式与“GSM劫持”的模式十分相似——通过实时获取用户手机短信内容,再利用各大知名银行、网站、移动支付App存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
短信劫持升级为2.0版
相比较过去通过伪基站来发诈骗短信,推送垃圾广告外,GSM劫持技术已经晋升到2.0阶段,破坏威力更大。这项被GSM劫持的技术在国际黑客界被公布后,已经可以做到监视用户短信。
劫持的手段就是——通过简单的单机设备,加上黑客软件,组装一个GSM劫持设备,通过这个设备,黑客可以看到这个基站区域内所有用户收到的短信,从而获取短信内验证码等敏感信息,而他在做这一切的时候,用户本身是毫无知觉的。
就像是一条经过专业训练的猎犬,在黑暗中悄无声息地辨别事物,由此有种技术被专业人士叫做“短信嗅探”技术。而他们的目的只有一个——就是通过盗刷、贷款“圈”走你账户内的钱。
他们是怎么做到的呢?在一些短信内容中会包括:姓名、手机号码、身份证号、银行卡账号、验证码这些重要要素中的几个或者全部,而很多网站(包括网银APP)往往只需要“账号+手机+验证码”,不需密码也能登录。这就让骗子在后续操作中很容易得手——有了“手机号+密码”,只要点击“忘记密码”,就可以通过验证码来找回密码,同样可以方便登录。
同时,在一些安全实验室的实际测验中,一些网站、轻应用的隐私保护意识很差,有的输入手机号、验证码,所有的信息全部自动弹出,给骗子节省了大量时间。
比如,在劫持到中国移动139邮箱发送的短信,复制其中的链接到浏览器,点击“进入掌上营业厅”,是可以直接看到手机号的。有了手机号后,再登录其他一些网站,就可以很轻松地知道这个人的银行卡账号、身份证号。
实验室测试了几个主流网站,都能顺利登录。
在电商类网站,可以查看到商品订单、行程信息、支付信息等,还可以直接更改登录密码。一旦攻破账号密码,形成危害就是盗刷或者购买点卡类虚拟物品。
在银行卡App,那么嫌疑人刷完了银行卡中的钱,还会通过这些信息在一些小的贷款网站、平台申请小额贷款,让受害人不但积蓄全无,还会背负债务。
GSM网络的弊端是根源
上述这些安全隐患所利用的是黑客公布的“GSM劫持”技术。因此,只要你的手机用了GSM网络,都会存在这种风险。GSM标准的设备几乎占了全球市场的80%以上。而在我们国家,由于移动和联通的2G是GSM网络制式,所以中国移动和中国联通的用户是这种劫持技术的风险客户。在警方侦办的案例中,尚未发现中国电信用户遭受该类技术攻击的情况。
GSM有一个安全缺陷——GSM是单向鉴权的,基站可以鉴别移动终端(例如手机)的合法性,但是终端无权鉴别基站的合法性。也就是说,只要“伪基站”能够发送和真基站类似的广播,就可以欺骗手机们进入其网络内,从而实施发送诈骗短信等违法活动。同时,国内使用的GSM通信协议,存在鉴权弱、短信明文传输的弊端,很容易会被劫持嗅探到。
那么其他网络的安全系数更高。根据通信领域的专家看来,CDMA的短信除了超短的以外,基本都走专用信道,破译难度大得多。
何防范风险
睡觉前关机或者把手机调成飞行模式,因为这样手机信号就无法被劫持,而此类犯罪也基本发生在后半夜。
看到奇怪的验证码和短信,要马上意识到可能已被劫持攻击,要马上联系短信所属的移动应用和网站服务提供商,并可考虑暂时关机。
如果自己的手机信号忽然从4G降到2G,可能会被骗子降维攻击,请马上启动飞行模式。