人在家裡睡,債從天上來。
豆瓣網友「獨釣寒江雪」最近很崩潰。
7 月 30 日凌晨 5 點,偶爾醒來的她,發現手機莫名其妙收到 100 多條驗證碼短信。經過認真檢查,她發現支付寶、餘額寶和關聯銀行卡的錢都被轉走了,而京東賬號也被開通金條和白條功能,借款 1 萬多。
什麼都沒做,一覺醒來一無所有,還背上一身債務。這到底是什麼詐騙套路?
在打電話報警、找移動停機、找支付寶報理賠的同時,「獨釣寒江雪」從熱心網友提供的信息中得知:這可能是短信驗證碼惹的禍。
▲ 豆瓣網友「獨釣寒江雪」一夜間收到的驗證碼短信
短信驗證碼惹的禍?
在移動互聯網高度發達的當下,短信基本上只剩下一種功能:接收短信驗證碼。
登陸微博微信、收取快遞包裹、銀行轉賬匯款…… 幾乎所有和安全有關的操作,短信驗證碼都承擔了最關鍵的職責——證明是你本人的操作。
為什麼偏偏是靠短信驗證碼來證明自己?
這得從「多因子認證」(Multi-factor authentication)說起。
在互聯網時代,一次安全的決策需要保證以下五個環節:
- 身份認證
- 授權
- 保密性
- 完整性
- 不可否認性
其中,由於互聯網的匿名性,身份認證是最難被證明的部分。在網絡安全領域中,最經典的方法是「多因子認證」。
舉個例子,我們出境過海關時,護照、指紋、面部識別三個認證因子是必不可少的。
▲ 圖自視覺中國
就算是關係國家安全的「核按鈕」,也是採用類似的加密方式。
比如,俄羅斯的「核按鈕」手提箱共有 3 只,分別由總統、國防部長和參謀總長掌管。
發動核攻擊時,至少要保證 2 個核按鈕同時按下。發射程序採取「雙重核按鈕制度」,即每一級都有兩組密碼,只有當兩組密碼準確無誤地拼在一起,逐級傳達命令,核導彈才能最終發射出去。
▲ 這麼任性是不可能的
不過,在現實生活中,「核按鈕」級別的驗證方式顯然無法適用於每一個人,一來成本太高,二來流程也過於繁瑣。
於是,就出現了以短信驗證碼為代表的「雙因子認證」——智能手機幾乎人手一部,手機號碼又採取實名制,短信驗證碼的成本也比較低。
同時滿足了安全、便捷以及低成本三個方面,這就是短信驗證碼大行其道的原因。
可是,短信驗證碼一旦洩露,那麼隨之而來的安全隱患也讓人擔憂。
▲ 愛範兒編輯收到的一連串驗證碼短信,非本人操作,幸好及時處理
更要命的是,「短信嗅探」就是這樣一種「偷取」短信驗證碼的技術。
「短信嗅探」是怎麼回事?
短信驗證碼是如何發送到我們手機上的呢?主要是經過以下三個步驟:
- 核心網側的控制信令、語音呼叫或數據業務信息通過傳輸網絡發送到基站
- 信號在基站側經過基帶和射頻處理,然後通過射頻饋線送到天線上進行發射
- 終端通過無線信道接收天線所發射的無線電波,然後解調出屬於自己的信號
而「短信嗅探」技術主要是在第二、三個步驟上做手腳。
目前,大部分短信都是通過 2G 網絡的 GSM 通信協議進行傳輸的,而這種通信協議並不安全,如今只要一部嗅探設備(通常是一部改裝手機)就可以監聽。
▲ 圖自 h4ck0ne
▲ 一臺小小的 Motorola C118 就可以變成嗅探設備,圖自愛範兒
之後,騙子再利用偽基站(通常是改裝的手機或筆記本電腦)來收集周圍的手機卡信息。
這樣一來,就同時拿到了手機號和短信驗證碼。此時騙子已經可以通過查詢網站反推出號碼的主人身份信息,甚至可以拿到身份證號和銀行卡號。
▲ 圖自 h4ck0ne
有了這些資料,騙子就可以進行資產轉移、小額貸款等操作。通常作案時間是在深夜,你可能還在熟睡中渾然不知。
睡覺關機就能防止「短信嗅探」嗎?
一些媒體對「短信嗅探」給出的建議是睡覺關機,這種做法有一定作用,但實際上只是治標不治本。
騰訊玄武實驗室負責人 TK 在一篇公眾號文章中解釋說,即使你睡覺關機了,攻擊者還可以到短信發送者附近去竊取短信。比如他想要盜取你的支付寶賬號,只需要摸清楚支付寶公司給你發短信的設備位置,蹲在附近監聽,你的驗證碼還是可以輕易到手。
▲ 圖自視覺中國
而睡覺關機還有自帶的副作用。一方面,夜裡家人或朋友可能遇上急事卻無法聯繫到你;另一方面,之前因「呼死你」和短信轟炸不堪其擾關機、最終導致詐騙和更大損失的案件也時有發生。這並不是一種萬事大吉的解決方案。
作為消費者,面對這類詐騙,目前我們並沒有太多防範的辦法,只能盡己所能加強防範。以下這些方法都能起到一定的作用:
1. 開通高清語音通話服務(VoLTE 功能)
正因為走的是有協議缺陷的 GSM(2G)通道,短信才顯得如此脆弱。所以防止「短信嗅探」的其中一種思路是:開通 VoLTE 功能,給短信「升級」。
在開通高清語音通話服務後,短信就會跟電話一樣通過 3G/4G 網絡進行傳輸。據 TK 和 360 無線電安全研究院的說法,這能一定程度上增加「短信嗅探」的難度;不過暫時只有部分地區支持開通 VoLTE 功能。
但這麼做也並不能 100% 確保安全,因為據警方 @江寧公安在線稱,LTE 類 4G 手機有可能受到劫持和嗅探的威脅。在遭到降級攻擊的時候,3G/4G 會回落到 GSM(2G) 網絡,這時候要嗅探短信就輕而易舉了。
2. 嚴格控制 App 讀取短信的權限
除了 GSM「短信嗅探」,那些乖乖躺在你手機裡、拿到讀取短信權限的 App,實際上也是一項信息安全隱患。想想,只要任意一個獲得權限的 App 存在漏洞,你的驗證碼短信就相當於在互聯網上「裸奔」。
不要嫌麻煩,現在就動手去把這項權限收回來。
3. 設置專門的號碼接收驗證短信
更「與世隔絕」的做法,大概就是準備專門的號碼和手機來接收各種驗證碼短信了。
建議你這部手機禁用 WiFi,禁用移動網絡,只用來打電話和發短信,這樣能把大部分的 App 漏洞、手機木馬或短信自助雲端備份等帶來的危險擋在門外。
但是呢,千萬不要選擇只支持 2G 網絡的功能機。複習一下:GSM 網絡制式的 2G 信號最容易被挾持了。
4. 換張電信卡吧
前面提到,「短信嗅探」這種風險,只要是你的手機用了 GSM 網絡都會存在。微信公眾號「終結詐騙」表示,由於移動和聯通的 2G 是 GSM 網絡制式,所以中國移動和中國聯通的用戶是這種劫持技術的風險客戶。
而中國電信的 2G 是 CDMA 制式,幾乎是不可嗅探的。在以往警方偵辦的案例中,也未發現中國電信用戶遭受該類技術攻擊的情況。
▲ 圖自「終結詐騙」
換句話說,電信用戶是對 GSM 劫持免疫的。
要防止個人財產被盜,我們還需要做哪些準備?
對這次「獨釣寒江雪」的事件,網絡安全專家 tk 認為,GSM「短信嗅探」只是其中一種可能性,手機木馬、運營商內鬼、短信自動雲端備份等都可能是驗證碼短信暴露的原因。
而另外有一種說法認為,這位豆瓣網友也有可能是丟失了 Apple ID 的賬號和密碼,iCloud 信息同步導致驗證碼「裸奔」。
不論原因是什麼,為了防止個人財產被盜,都需要我們在平時做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人信息保護。多留幾個心眼,多設幾道防鎖線。
以 Apple ID 為例,在設置雙重認證後,你的賬戶只能通過你信任的設備(如 iPhone、iPad 或 Mac)訪問。而在首次登錄一部新設備的時候,雙重認證也會相當謹慎,要求你提供 Apple ID 密碼以及自動顯示在您的受信任設備上的 6 位驗證碼。
而微信、支付寶和京東等賬號,都可以通過定期修改登錄密碼,或是增加登錄和支付「關卡」(比如手勢解鎖、聲音鎖、刷臉登錄、指紋識別等)來降低被盜風險;而支付平臺上也會有相應的安全險保障。
同時還可以定期留意「登錄設備列表」,遇上什麼不妥的地方及時警惕。
而萬一真的不幸遭遇被盜,切記第一時間收集好證據、凍結掛失銀行卡並報警。依靠警方追回損失的同時,還可以像「獨釣寒江雪」一樣,準備好材料向相關支付平臺發起理賠申請。
最後的最後,我們還採訪了愛範兒的技術大神,從他口中得到了非常安全的建議:
沒辦法的情況下,就別往手機裡放那麼多錢唄。我支付寶沒開快捷支付,裡頭基本上只有兩三百,微信也就兩三百,損失可控。
借用一句老話,小心駛得萬年船啊。
本文由肖欽鵬、梁曉憧共同完成
閱讀更多 愛范兒 的文章
