近期,多地警方陸續接報一類蹊蹺案件,很多人早上起床後發現手機收到很多驗證碼和銀行扣款短信,甚至網上銀行APP登錄賬號和密碼也已被篡改,損失慘重。整個過程中,受害者處於熟睡狀態,沒有進行任何操作,取款密碼等關鍵信息也保證沒有洩露,留下眾多謎團。
終結詐騙(微信ID:antifraud2)近日通過跟蹤多地警方的抓捕審訊以及安全公司實驗室的測試覆盤發現:騙子通過“GSM劫持+短信嗅探技術”,可實時獲取用戶手機短信內容,進而利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷,可以實現信息竊取、資金盜刷和網絡詐騙等犯罪。經過審慎考慮和多方權衡,我們決定隱去關鍵技術信息,將該黑產鏈條公之於眾,期望能為民眾提供防禦措施,並推動各行業有針對性的技術升級,共同減少這個“核武器”級別詐騙技術帶來的傷害!
一、可怕的劫持與嗅探技術
我們都知道,要想保證手機正常使用,必須要有信號,而這個信號就要靠遍佈各地的基站來實現。我們在用手機打電話、發短信、上網時,手機必須要基站相連才可以保證信息傳輸。一個基站可以服務一定數量的手機,人員越稠密,基站就越多。在人流量大的景點和公園,還會有一些應急基站,保證手機的正常使用。
車載應急基站
以前,騙子利用這個原理,會購買一些設備搭建“偽基站”,利用2G移動通信的缺陷,假裝正規基站與手機“強行發生關係”,再冒充銀行、運營商給手機發送一些詐騙短信,或者為一些公司發送垃圾推廣廣告。很多人對這類短信都已經習以為常,終結詐騙公眾號也對這類騙局做過多次解讀,如果不去點擊短信中的不明鏈接,一般是不會有風險的。
後來,隨著一項GSM劫持技術被國際黑客界公佈,騙子已不再滿足於只給用戶發短信,而是想到要監視用戶短信,因為用戶短信裡有包括驗證碼在內的很多敏感信息。他們通過淘寶等電商網站購買一些單機設備,再通過安裝黑客開發的相關軟件,很方便就能組裝好一個GSM劫持設備。
警方查獲的GSM劫持設備
這個劫持設備的原理和偽基站差不多,但它的可怕之處在於:他可以看到這個基站區域內所有用戶收到的短信,並且用戶毫無知覺。就像是一條經過專業訓練的狗,悄無聲息地辨別事物,因此也被專業人士叫做“短信嗅探”技術。
騙子通過該技術,可以看到該基站用戶的所有短信內容
二、你永遠不知道騙子有多狡猾
當然,騙子可沒工夫去看那些談情說愛、打情罵俏的短信內容,他們的目的只有一個,就是通過盜刷、貸款等手段要你的錢,這一切的前提就是要得到你的基本信息:姓名、手機號碼、身份證號、銀行卡賬號、驗證碼。因為很多網站(包括網銀APP)採取是“賬號+手機+驗證碼”的安全策略,不需密碼也能登錄。
那麼,在利用“GSM劫持+短信嗅探”技術獲得用戶的短信後,他們怎麼獲取其他信息呢,這就要利用各大公司提供的“便利”了。終結詐騙(微信ID:antifraud2)在這裡僅對一些低級的、已被騙子普遍掌握的手段進行舉例。
比如:騙子劫持到中國移動139郵箱發送來的短信後,複製其中的鏈接到瀏覽器,點擊“進入掌上營業廳”,就可以直接看到手機號了。說實話,要不是騙子交待,恐怕很多人還不知道,不信你可以馬上試試。
只需要劫持到139郵箱短信,就可以知道用戶手機號碼
知道了手機號以後,再通過登錄其他一些網站,利用社工手段就可以很輕鬆地知道這個人的銀行卡賬號、身份證號。手段千奇百怪,讓人大開眼界,這裡不再詳述。但二弟不得不說的是,在實際測驗中,我們發現一些網站、輕應用的隱私保護意識奇差,有的輸入手機號、驗證碼,所有的信息全部自動彈出,給騙子節省了大量時間,我們正在考慮以什麼渠道把嫌疑人交待的漏洞反饋給這些公司 。
三、可怕的後果
“姓名、手機號、身份證號、銀行卡賬號、驗證碼”這些信息被騙子掌握以後,結果到底有多可怕我相信你已經猜出個大概了。主要有三類:
1、個人信息被洩露
由於很多網站特別是購物網站、旅遊網站採取的都是“手機號+驗證碼”的登錄方式,而騙子又可以實時監控到驗證碼,所以很容易就可以登錄。即使採取了“手機號+密碼”的方式,但只要點擊“忘記密碼”,就可以通過驗證碼來找回密碼,同樣可以方便登錄。實驗室測試了幾個主流網站,都能順利登錄,查看到商品訂單、行程信息、支付信息等,而且還可以直接更改登錄密碼。
某購物網站可以方面地進行修改密碼操作
2、資金被盜刷
通過犯罪嫌疑人的供述和實驗室的測試,很多銀行的官網安全策略雖然很高,但是一些APP的安全策略低得要命,不少APP只要輸入“姓名+銀行卡賬號+身份證號碼+手機號碼+動態驗證碼”,就默認是本人操作,騙子進入以後馬上就會盜刷或者購買點卡類虛擬物品。
3、其他網絡犯罪
有些嫌疑人刷完了銀行卡中的錢,還會通過這些信息在一些小的貸款網站、平臺申請小額貸款,讓受害人不但積蓄全無,還會揹負債務。
四、哪些人最危險?
前面我們講到,騙子利用的是黑客公佈的“GSM劫持”技術。因此,只要你的手機用了GSM網絡,都會存在這種風險。
所謂GSM,是全球移動通信系統(Global System for Mobile communications) 的簡稱。由於它的信令和語音信道是數字式的,和以前模擬蜂窩技術標準有很大不同,因此又被稱作是第二代移動電話系統,也就是我們常說的2G。GSM標準的設備幾乎佔了全球市場的80%以上。
在2G通信網絡下,國內使用的GSM通信協議,存在鑑權弱、短信明文傳輸的弊端,很容易會被劫持嗅探到。而在我們國家,由於移動和聯通的2G是GSM網絡制式,所以中國移動和中國聯通的用戶是這種劫持技術的風險客戶。在警方偵辦的案例中,尚未發現中國電信用戶遭受該類技術攻擊的情況。
五、到底該怎麼防範、反制?
面對這種“核武器”級別技術的攻擊,對於個人來說,方法極其有限和被動,更關鍵的是需要移動和聯通運營商、移動應用和網站服務提供商共同努力,我們給出以下措施:
對於個人:
1、睡覺前關機或者把手機調成飛行模式,因為這樣手機信號就無法被劫持,而此類犯罪也基本發生在後半夜。
2、看到奇怪的驗證碼和短信,要馬上意識到可能已被劫持攻擊,要馬上聯繫短信所屬的移動應用和網站服務提供商,並可考慮暫時關機。
3、如果自己的手機信號忽然從4G降到2G,可能會被騙子降維攻擊,請馬上啟動飛行模式。
4、平時保護好個人的賬號、手機號、身份證號等敏感信息,雖然好像沒太大用。
對於各大公司:
1、請移動、聯通公司考慮棄用GSM網絡傳送短信的可能性,儘快彌補這一漏洞,這是該黑產鏈條的根源所在。
2.請移動、聯通公司對平時發給用戶的短信做技術處理,避免被騙子倒查到手機號碼。各大公司要檢查自己的網站、應用號、公眾號等,避免出現輸入手機號、驗證碼就自動推送個人身份信息的情況。
3、請各移動應用和網站服務商按照全國信息安全標準化技術委員會在今年2月11日發佈的《網絡安全實踐指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》,通過啟動短信上行驗證、啟用語音通話傳輸驗證碼、對常用設備開展綁定、運用生物識別技術開展驗證等,做好安全策略升級工作。
鄭州反詐中心 朱公子
騰訊守護者計劃團隊
對此文亦有貢獻 特此鳴謝
閱讀更多 邱縣普法 的文章
