據澎湃新聞 2018-08-04報道:
不同於傳統的偽基站只發詐騙短信的方法,新出現的偽基站詐騙使用的方法是利用GSM(2G網絡)設計缺陷,能實現不接觸目標手機而獲得目標手機所接收到的驗證短信的目的。
8月2日下午,南京江寧公安分局官方微博發佈消息稱,一種名為“GSM劫持+短信嗅探技術”的犯罪手法是近兩年來出現的新型偽基站犯罪手段,多地警方已經有所發現。“不同於傳統的偽基站只給你發詐騙短信的方法,這種新型手法實現不接觸目標手機而獲得目標手機所接收到的驗證短信的目的。”
該消息還稱,更危險的新技術則是重新定向手機信號,同時使用GSM中間人方法劫持驗證短信,此類劫持和嗅探並不僅限於GSM手機,包括LTE,CDMA類的4G手機也會受到相應威脅。此技術在2016年後逐步被詐騙等黑色產業注意到並迅速將其用於實際操作。”
任何通信都會面臨安全風險
在老百姓的眼裡,視乎手機無線並不存在安全風險,無線的感覺就是無影無蹤,而且速度很快,與傳統的互聯網不同,怎麼也變成了詐騙工具了呢?
除非所謂的量子時代的真正來臨,否則絕不能放鬆對信息安全防禦的重視,任何通信手段都無法避免信息安全的風險。隨著科技的發展,犯罪團伙中往往擁有高科技技術人才,黑客技術與高科技技術並行發展,互為攻防,可以說,科技有多高,黑客就有多厲害,犯罪分子也會有多瘋狂!
騙子如何實現對GSM劫持
新聞報道中提及的“GSM劫持+短信嗅探技術”,是騙子使用自制的、特種設備對附近手機號碼進行搜索,並攔截運營商、銀行發送的短信,劫持的對象主要針對2G信號(GSM信號)。
騙子竊取機主短信信息後,再登錄一些網站,從中碰撞機主身份信息,這樣就有可能將機主的身份信息匹配出來,包括機主的身份證、銀行卡號、手機號、驗證碼等信息,繼而在一些支付平臺上開通賬號並綁定事主銀行卡,冒充事主消費或套現。這中詐騙方式,無需直接與事主接觸,而且騙子大多在半夜實施作案,所以大部分事主都無法及時察覺自己的資金被盜。
由於GSM網絡(2G網絡)存在單向鑑權和短信內容無加密傳輸等侷限性,基於短信驗證碼實現身份驗證的安全風險顯著增加。也正是因為如此,目前大多數涉及資金的app應用在除了短信驗證碼之外,還增加有圖片驗證,語音驗證,人臉驗證,指紋驗證等等諸多二次驗證機制。在這種多因素認證的機制下,萬一驗證碼洩露,風險也不是很多。
GSM關閉,NB-IOT將面臨巨大安全風險
從安全防禦的角度來講,通過多因素認證的機制,基本可以扭轉目前GSM劫持+短信嗅探技術的安全風險。但GSM的安全風險讓安全技術人員感覺到,GSM逐步停用,NB-IOT正值興起的時機,NB-IOT也正面臨巨大的安全風險。
NB-IoT是IoT領域一個新興的技術,支持低功耗設備在廣域網的蜂窩數據連接,也被叫作低功耗廣域網(LPWAN)。NB-IoT支持待機時間長、對網絡連接要求較高設備的高效連接。據說NB-IoT設備電池壽命可以提高至至少10年,同時還能提供非常全面的室內蜂窩數據連接覆蓋。
據運營商預計,今後物聯網60%以上的應用將會採用NB-IOT的方式,這些應用通過NB-IOT實現數據的傳輸與應用指令的執行。由於NB-IOT是一種低功耗廣域網絡,傳統的PKI證書體系無法在NB-IOT上發揮效用。那麼,我們又如何去面對NB-IOT的安全風險呢?
IPK將為NB-IOT的安全應用保駕護航
引石科技首席科學家魏振華教授、密碼專家李維剛博士及其團隊一起提出了國有自主產權的IPK標識公鑰體系,從技術實現及安全強度上完全滿足了NB-IOT的安全通信要求,徹底解決了NB-IOT應用面臨的非法攻擊、劫持風險,保障NB-IOT應用的安全。
IPK適用於NB-IOT安全通信的主要特點如下:
- 認證無須第三方,支持寬帶、窄帶通訊。
- 接入簡單、方便,實現節點終端間的交叉認證。
- 算法與系統自動升級,用戶只需使用,無須維護
引石老王:從事信息安全工作20年,國內首批商業密碼從業人員,國家商業密碼應用的參與者與見證者。專注物聯網、人工智能應用的遠程控制指令的加固授權,致力於系統的反劫持防禦與信息安全反黑。
關注引石老王,為您解讀安全與高科技,提高安全意識,保障個人信息安全。歡迎關注交流、留言探討,期待與您的互動!
閱讀更多 引石老王 的文章
