《IT時報》記者通過“獨釣寒江雪”描述的被騙經過,試著重走“幕後黑手”攻擊之路發現,整個鏈條風譎雲詭、環環緊扣。但安全專家同樣安慰大眾,短信被嗅探並導致手機銀行被盜發生場景的概率是極低的,手機用戶無需過於擔心,如果真要杜絕這種情況,只有選用CDMA技術的手機和網絡,目前國內只有中國電信支持此項技術。
支付寶:三次通過支付密碼提取資金
8月1日,網友“獨釣寒江雪”在網上發帖,稱其在7月30日凌晨5點多醒來後,發現手機一直在震,來自支付寶、京東、銀行等網站發來的100多條驗證碼密密麻麻,不僅支付寶、餘額寶、餘額和關聯銀行的錢都被轉走,一雙看不見的黑手還在京東開通了金條、白條功能,借款1萬多元。“獨釣寒江雪”不明白,為什麼手機在自己手裡,驗證碼沒有告訴任何人,騙子卻像另一個自己一樣,熟練地操作所有的賬戶。
“獨釣寒江雪”的遭遇在網上引發熱議,支付寶成立調查小組,復原其1點42分至3點21分的支付寶賬戶狀態發現,這雙看不見的黑手在登錄支付寶賬戶後修改了登錄密碼、支付密碼、綁定銀行卡之後便開始網上購物,並三次通過支付密碼將支付寶的資金提現到用戶名下的銀行卡,最後再將銀行卡中的錢轉走。
支付寶相關人士告訴《IT時報》記者,“獨釣寒江雪”第一次聯繫支付寶理賠時,支付寶拒絕了,因為從賬戶當晚操作的狀態來看,像是賬戶本人或是熟人操作,登錄賬戶、修改密碼、購物、提現的校驗全部一次通過。
“這件事比較罕見,操作者驗證通過了多個校驗因子,包括短信驗證碼、用戶的多個個人信息,而且絕大多數錢都轉到了用戶自己的銀行卡上,這和以前出現的被盜案子不太一樣。”支付寶調查小組認為,保險公司第一次判定拒賠的原因,是從操作狀態來看,極像本人或身邊人操作,短信驗證碼等所有驗證手段均一次性成功通過,給判斷這起案例的性質帶來了極大困難。現在,支付寶會先行全額補償用戶的損失,配合警方,對案件進行處理。
專家:CDMA 安全係數更高
根據深圳警方給出的結果來看,這雙黑手是通過“短信嗅探”達到了竊取驗證碼等敏感信息的目的。當犯罪分子在做這一切的時候,用戶毫無知覺。
一位運營商內部人士告訴《IT時報》記者,“短信嗅探”涉及的關鍵技術缺陷是GSM通信協議採用的單向鑑權方式,鑑權弱、明文傳輸的弊端,很容易被劫持,目前中國移動與中國聯通的短信仍然是通過2G的GSM網絡制式傳輸,而中國電信採用的是CDMA網絡,由於CDMA網絡會對每一次通話、短信的過程進行鑑權,鑑權的過程相當複雜,且秘鑰只在網絡核心側和基站側之間傳輸,不法分子無法獲取,也無法通過鑑權攔截用戶的短信。
“五六年前,我的同事就曾經試過,監聽短信很簡單,偽基站覆蓋範圍內,所有受影響的2G手機短信都會被監聽,但現在手機大多升級到4G,這意味著攻擊者的門檻更高了,成功概率更低了。”網絡安全專家李鐵軍告訴《IT時報》記者,雖然通過持續的信號干擾能讓熟睡中的人們手機信號一直處於2G狀態,但會被無線電監管部門發現。除了GSM劫持+短信嗅探,此外,其他可能性也應考慮到,比如某個App同步備份了短信內容。
但相對而言,其他網絡的安全係數更高,根據通信領域的專家看來,CDMA的短信除了超短的意外,基本都走專用信道,破譯難度大得多。根據警方偵破的案例中,尚未發現有中國電信用戶遭受該類技術攻擊的情況。
記者實測:短信驗證碼+身份證信息能做啥
8月6日至8月8日,《IT時報》記者實測了“短信驗證碼+身份證”模式來登錄銀行、移動支付、電商網站、社交平臺及電子郵箱,看看究竟我們的網絡生活是否安全。
銀行+支付類App
手機+驗證碼+身份證號 便可在線轉賬
8月7日,記者嘗試在非常用手機上登錄同事的招商銀行掌上生活App,登錄需要兩個步驟的驗證,短信驗證碼+手勢密碼,而修改手勢密碼只需要用戶的身份證號。
若要在App裡動用資金,修改支付密碼和開通小額免密功能,操作人需要輸入信用卡的安全碼、有效期、查詢密碼、驗證碼或者輸入持卡人借記卡的姓名、身份證號、手機號碼、驗證碼。因此,如果用戶的信用卡卡面信息或是銀行卡號賬戶洩露,賬戶即可完全被他人操作,但這個攻擊場景相對難度較高。
與此相比,登錄支付寶及修改支付寶密碼則顯得容易得多。記者同樣使用自己的手機嘗試登錄同事的支付寶賬戶發現,只需知道短信驗證碼、手機號及用戶姓名即可登錄,如果再掌握主人的身份證號,還能修改支付密碼,於是記者成功修改了同事的支付密碼,完成了手機充值、轉賬等操作。
京東錢包和京東金融同樣通過用戶手機號、短信驗證碼、用戶姓名就可以對用戶的登錄密碼進行修改,修改支付密碼的驗證步驟也比銀行簡單得多,只需短信驗證碼、轉賬卡號和用戶身份證號即可修改支付密碼並轉賬。如果要在京東金融中貸款,則需要完善用戶的基本信息,比如姓名、身份證號、手機號、學校、學歷、家庭地址、月收入、工作地址,並要在刷臉認證中掃描身份證並進行人臉識別。
測試發現,如果黑客通過“短信嗅探”控制了你的手機短信驗證碼,同時根據手機號碼在此前已經掌握的各種信息“社工庫”中找到你的身份證姓名和號碼,那麼攻擊相對要容易得多,“獨釣寒江雪”的情況很可能就屬於這種。
電商+社交+郵箱類App
僅需手機+驗證碼
相較資金賬戶,登錄電商、社交、郵箱等互聯網應用就顯得輕鬆許多,手機加短信驗證碼即可登錄淘寶、京東、網易考拉、網易郵箱、189郵箱。
登錄QQ與微信需要勾選好友頭像、滑動拼圖等二次驗證,《IT時報》記者嘗試用已被攻破的同事支付寶賬戶直接登錄了她名下的淘寶賬戶,家庭地址、公司地址、聯繫方式一目瞭然,再加上之前記者已提前修改了支付密碼,充值或網購全無障礙。
修改京東的支付密碼則需要驗證6位原數字密碼、短信驗證碼,再加一張用戶名下的銀行卡號。
微信、QQ雖是社交應用,但亦涉及微信錢包、QQ錢包,即使記者成功登錄他人微信或QQ,在支付時依然需要輸入用戶原支付密碼來驗證身份。但與支付寶類似,如果掌握了用戶的姓名、銀行卡號、身份證號及短信驗證碼,即可成功修改用戶的支付密碼。
測試結果表明,銀行類App安全性最高,支付寶、微信支付次之,大部分電商、社交、郵箱類App雖只需手機號和短信驗證碼即可登錄,但若涉及支付環節,需要更多個人信息進行驗證。
風險根源:隱私數據的洩露
通過上述測試不難發現,用戶即使遭遇了GSM劫持+短信嗅探,但若沒有洩露個人信息,騙子只能登錄賬戶,無法完成支付、轉賬等操作。
風險根源在於信息洩露,黑產攻擊會考慮性價比,根據目標價值採用相應的技術手段,對於普通網民來說,從隱私數據入手,依然是最廉價的。
“簡單的密碼基本沒什麼用,都在黑客的密碼字典裡。”李鐵軍說,密碼絕大部分是加密存儲,有一個秘文,通過解密算法也無法得到明文,但此前有些網站的數據庫明文加密文一起洩露,而明文和密文構成一張表,這就是黑客的密碼字典。
“早在幾年前,信息洩露的數據量以億計算,黑客手中掌握的社工庫數據有上百億條。除非特別複雜、個性且經常更換的密碼,否則基本都在黑客的密碼字典裡。”李鐵軍告訴《IT時報》記者。
閱讀更多 IT時報 的文章
