当前位置: 首页>> 消费警示

手机收到陌生验证码 这种新型网络盗窃正来袭

2018年09月13日 11:23 信息来源:http://tc.people.com.cn/n1/2018/0913/c183008-30290011.html

一觉醒来,一般会发现什么是最糟糕的?闹钟没响要迟到了?电视忘记关了播了一夜?还是把脖子睡歪了?如今,这些都不算大事了,因为你如果遇到睡了一觉后,所有账号内的钱被洗劫一空,同时还欠下一屁股债的情形,或许才知道什么叫最糟糕。而这样的糟糕事,如今却越来越多地发生在一群晚上睡觉不关手机的人身上。

新型网络盗窃案频发睡梦中钱被转走还“被网贷”

据网络安全平台公布的消息显示,不少用户通过社交平台表示自己遇到了“怪事”。据受害网友描述,自己在熟睡的晚上,手机莫名地收到多个支付平台和第三方金融应用的登录验证码短信,随后便是修改密码、设置新密码的验证码短信,最后就是账户的钱被转出,甚至被开通网上贷款。

当受害网友一觉醒来,发现手机收到如此多的短信,一夜之间自己账户存款不翼而飞,甚至还因为“被网贷”而欠下一笔巨资后,往往已经是于事无补。

据南方日报记者了解,类似的网络盗窃案从今年开始在全国各地都时有发生,其中7月在广州警方破获的一起案件中,犯罪团伙自6月份以来已作案16宗。

“这是一种最新型的诈骗手法。”据广州越秀警方介绍,骗子通过“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。

截至今年6月,广州警方已陆续破获多起此类案件。据悉,犯罪团伙大多选择凌晨作案,无需直接与事主接触,因此大部分事主无法及时察觉资金被盗。

网络安全专家释疑2G网络存在短板

“这种攻击(‘GSM劫持+短信嗅探技术’)的原理是因为GSM短信没有加密,所以不法分子可以用一些窃听手法听到短信内容。”360无线电安全研究院高级研究员黄琳在接受南方日报记者采访时就解释了不法分子的具体步骤。“攻击者只听到短信,其实没什么用,短信验证码需要配合网站或者APP的验证过程才能起作用。所以,攻击者必须要知道目标的手机号码,可能还需要其他信息,例如身份证号,银行账号等等,其实这些信息可以通过‘撞库’,或者通过侵入某些应用的账户来获得。”

据黄琳介绍,不法分子只需要一个2G伪基站+一个2G伪终端,让目标手机接入2G伪基站,然后用2G伪终端冒充目标手机,接入运营商网络。在连接过程中,需要鉴权信息的时候,就从目标手机获取。在连上网络之后,向外呼出一个电话,到攻击者能看到的一个手机上,攻击者通过来电显示就看到了手机号码。黄琳表示,在不少案例中,受害者都反映其通话记录中会有一个外呼的电话,这个电话就有可能是用于获取手机号码的。

“只要数据流量、通话、短信走3G或者4G通道,安全系数还是比较高的。短板就是2G网络!”黄琳表示,长期处于2G的一些老式手机,或者双卡手机其中一张卡是2G,所有电话短信和流量走2G的用户,都是“GSM劫持+短信嗅探技术”攻击的潜在对象。

APP应用应负责任没有绝对安全的通道

资料显示,在今年年初,在全国信息安全标准化技术委员会(简称“TC260”)秘书处牵头下,三大运营商和各互联网公司的安全专家们一起编制了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,提出多项加强身份验证安全性的建议,除短信验证码外还新增了短信上行验证、语音通话传输、常用设备绑定、生物特征识别、动态选择身份验证方式等诸多二次验证机制。

“难点在于,现在我们还不能彻底抛弃短信验证码。中国网民跟国外网民的不同点是,国外网民是从PC时代过来的,习惯于使用邮箱,用户名密码。中国网民是从移动互联网时代成长起来的,手机就是唯一的标识。”黄琳表示,APP平台对于短信验证码用还是不用的问题一直处于争论当中,但基本上都保留了短信验证码通道,因为这个通道的“可用性”是最优先的。“各大互联网公司对这个问题是早有准备的,如果有漏网之鱼,那是我们的风险控制系统做得还不够好。”

◆支招

普通用户如何防范睡觉关手机也许最有效

“要实现‘GSM劫持+短信嗅探技术’攻击会让手机的‘动静’比较大,这个也是犯罪分子大多选择后半夜作案的原因。”腾讯安全的技术人员在接受南方日报记者采访时就表示,作为普通网民来说,最简单的一招就是睡觉前关机。“手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。如果发现手机收到来历不明的验证码,表明此刻犯罪分子可能正在撞库或者利用某些漏洞来确定你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。另外还要注意自己手机信号模式改变。”腾讯安全的技术人员表示,在稳定的4G网络环境下,手机信号突然降频“GSM”、“G”或者无信号时,警惕遇到黑客实施的强制“降频”及GSM Hack攻击,要及时更换网络环境,重新连接真实基站,检查移动APP异常恶意操作情况。

腾讯安全的技术人员还建议,在手机设置上,用户可以使用“VoLTE”保护信息安全:在手机设置中开启“VoLTE”选项,目前主流安卓或iphone手机均已支持。(VoLTE:Voice over LTE,是一种数据传输技术,无需2G或3G,可实现数据与语音业务在4G网络同时传输)同时,用户最好关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。

返回

Baidu
map