被“短信嗅探”盯上 一覺醒來一無所有?
記者實測:短信驗證碼+身份證信息可以支付、轉賬、修改密碼
專家提醒:不要輕易洩露你的身份證號碼
IT時報記者 吳雨欣
沒丟手機、沒丟卡,沒掃二維碼沒點鏈接,沒連WiFi沒被遠程換卡,只是睡了一覺便資產全無。當手機中的應用越來越多、綁定的服務也越來越多時,誰會想到短信驗證碼引發的連鎖反應,能讓一個人在一夜間存款為零?
8月1日,網友“獨釣寒江雪”的手機在半夜連續接到100條短信驗證碼,她醒來發現不僅自己的支付寶、銀行賬戶被盜,還被貸了款。《IT時報》記者通過“獨釣寒江雪”描述的被騙經過,試著重走“幕後黑手”攻擊之路發現,整個鏈條風譎雲詭、環環緊扣。“獨釣寒江雪”被黑客掌握的不僅僅是手機短信驗證碼,還有她的身份證等個人信息,而有了這些,黑客完全可以做到交叉驗證修改你的登錄、支付密碼。
專家提醒,當越來越多的網站要求你填寫身份證信息時,一定要審慎填寫,而銀行、第三方支付、互聯網企業在驗證“你是你”時,不要過度依賴手機短信。
新聞事件調查
一覺醒來 賬戶被盜刷
8月1日,網友“獨釣寒江雪”在網上發帖,稱其在7月30日凌晨5點多醒來後,發現手機一直在震,來自支付寶、京東、銀行等網站發來的100多條驗證碼密密麻麻,時間都在7月30日凌晨1點至4點之間。 “獨釣寒江雪”一下睡意全無,查詢名下賬戶時發現,不僅支付寶、餘額寶、餘額和關聯銀行的錢都被轉走,騙子還在京東開通了金條、白條功能,借款1萬多元。“獨釣寒江雪”不明白,為什麼手機在自己手裡,驗證碼沒有告訴任何人,騙子卻像另一個自己一樣,熟練地操作所有的賬戶。
支付寶回應:
操作者通過了多個驗證因子
“獨釣寒江雪”的遭遇在網上引發熱議,支付寶成立調查小組,復原其1點42分至3點21分的支付寶賬戶狀態發現,騙子在登錄支付寶賬戶後修改了登錄密碼、支付密碼、綁定銀行卡之後便開始網上購物,並三次通過支付密碼將支付寶的資金提現到用戶名下的銀行卡,最後再將銀行卡中的錢轉走。
支付寶相關人士告訴《IT時報》記者,“獨釣寒江雪”第一次聯繫支付寶理賠時,支付寶拒絕了,因為從賬戶當晚操作的狀態來看,像是賬戶本人或是熟人操作,登錄賬戶、修改密碼、購物、提現的校驗全部一次通過。
“這件事比較罕見,操作者驗證通過了多個校驗因子,包括短信驗證碼、用戶的多個個人信息,而且絕大多數錢都轉到了用戶自己的銀行卡上,這和以前出現的被盜案子不太一樣。”支付寶調查小組認為,保險公司第一次判定拒賠的原因,是從操作狀態來看,極像本人或身邊人操作,短信驗證碼等所有驗證手段均一次性成功通過,給判斷這起案例的性質帶來了極大困難。現在,支付寶會先行全額補償用戶的損失,配合警方,對案件進行處理。
安全專家分析:
短信嗅探、木馬都有可能
發帖中,“獨釣寒江雪”猜測自己遭遇了GSM劫持+短信嗅探。這是一種新型偽基站詐騙手段,利用GSM 2G網絡的設計缺陷,實現不接觸目標手機就能獲得手機所接收到的驗證短信,進而利用各大銀行、網站、移動支付App存在的技術漏洞和缺陷,實現信息竊取、資金盜刷和網絡詐騙等犯罪。騙子多在用戶睡熟的深夜操作,黑客可以看到這個基站區域內所有用戶收到的短信,從而獲取短信內驗證碼等敏感信息,而他做這一切的時候,用戶毫無知覺。
在這個過程中,黑客就像是一條經過專業訓練的獵犬,在黑暗中悄無聲息地辨別事物,因此被專業人士稱為“短信嗅探”。
一位運營商內部人士告訴《IT時報》記者,“短信嗅探”涉及的關鍵技術缺陷是GSM通信協議採用的單向鑑權方式,鑑權弱、明文傳輸的弊端,很容易被劫持,目前中國移動與中國聯通的短信仍然是通過2G的GSM網絡制式傳輸,而中國電信採用的是CDMA網絡,由於CDMA網絡會對每一次通話、短信的過程進行鑑權,鑑權的過程相當複雜,且秘鑰只在網絡核心側和基站側之間傳輸,不法分子無法獲取,也無法通過鑑權攔截用戶的短信。
截至目前,從警方偵辦的案例來看,確實尚未發現中國電信用戶遭受該類技術攻擊的情況。
“五六年前,我的同事就曾經試過,監聽短信很簡單,偽基站覆蓋範圍內,所有受影響的2G手機短信都會被監聽,但現在手機大多升級到4G,這意味著攻擊者的門檻更高了,成功概率更低了。”網絡安全專家李鐵軍告訴《IT時報》記者,雖然通過持續的信號干擾能讓熟睡中的人們手機信號一直處於2G狀態,但會被無線電監管部門發現。除了GSM劫持+短信嗅探,此外,其他可能性也應考慮到,比如某個App同步備份了短信內容。
“手機中木馬也可以竊取用戶通訊錄和短信內容,如果受害者中了類似木馬,可能難以及時發現。”廣州凌晨網絡科技有限公司DLG安全研究實驗室的“白帽子”告訴《IT時報》記者,雖然從案例分析,本案並不像被釣魚Wi-Fi攻擊導致,但用戶也應注意到,“釣魚熱點”和“寄生蟲熱點”是現在惡意Wi-Fi攻擊常見的攻擊方式,一旦用戶連上“寄生蟲熱點”,熱點上的惡意程序會不斷捕捉和篡改用戶信息。
記者實測
短信驗證碼+身份證信息能做啥?
8月6日至8月8日,《IT時報》記者選取部分樣本,根據“獨釣寒江雪”被騙的經過,假設自己已遭到GSM劫持+短信嗅探,分別嘗試登錄銀行、移動支付、電商網站、社交平臺及電子郵箱,看看究竟我們的網絡生活是否安全。
第一波 銀行+支付類App:手機+驗證碼+身份證號 便可在線轉賬
8月7日,記者嘗試在非常用手機上登錄同事的招商銀行掌上生活App,登錄需要兩個步驟的驗證,短信驗證碼+手勢密碼,而修改手勢密碼只需要用戶的身份證號。
雖然同事還設置了面部識別登錄,但因為記者已經修改了手勢密碼,面容登錄即被關閉。若要在App裡動用資金,修改支付密碼和開通小額免密功能,操作人需要輸入信用卡的安全碼、有效期、查詢密碼、驗證碼或者輸入持卡人借記卡的姓名、身份證號、手機號碼、驗證碼。因此,如果用戶的信用卡卡面信息或是銀行卡號賬戶洩露,賬戶即可完全被他人操作,但這個攻擊場景相對難度較高。
與此相比,登錄支付寶及修改支付寶密碼則顯得容易得多。記者同樣使用自己的手機嘗試登錄同事的支付寶賬戶發現,只需知道短信驗證碼、手機號及用戶姓名即可登錄,如果再掌握主人的身份證號,還能修改支付密碼,於是記者成功修改了同事的支付密碼,完成了手機充值、轉賬等操作。
京東錢包和京東金融同樣通過用戶手機號、短信驗證碼、用戶姓名就可以對用戶的登錄密碼進行修改,修改支付密碼的驗證步驟也比銀行簡單得多,只需短信驗證碼、轉賬卡號和用戶身份證號即可修改支付密碼並轉賬。如果要在京東金融中貸款,則需要完善用戶的基本信息,比如姓名、身份證號、手機號、學校、學歷、家庭地址、月收入、工作地址,並要在刷臉認證中掃描身份證並進行人臉識別。
測試發現,如果黑客通過“短信嗅探”控制了你的手機短信驗證碼,同時根據手機號碼在此前已經掌握的各種信息“社工庫”中找到你的身份證姓名和號碼,那麼攻擊相對要容易得多,“獨釣寒江雪”的情況很可能就屬於這種。
第二波 電商+社交+郵箱類App:僅需手機+驗證碼
相較資金賬戶,登錄電商、社交、郵箱等互聯網應用就顯得輕鬆許多,手機加短信驗證碼即可登錄淘寶、京東、網易考拉、網易郵箱、189郵箱。
登錄QQ與微信需要勾選好友頭像、滑動拼圖等二次驗證,《IT時報》記者嘗試用已被攻破的同事支付寶賬戶直接登錄了她名下的淘寶賬戶,家庭地址、公司地址、聯繫方式一目瞭然,再加上之前記者已提前修改了支付密碼,充值或網購全無障礙。
修改京東的支付密碼則需要驗證6位原數字密碼、短信驗證碼,再加一張用戶名下的銀行卡號。
微信、QQ雖是社交應用,但亦涉及微信錢包、QQ錢包,即使記者成功登錄他人微信或QQ,在支付時依然需要輸入用戶原支付密碼來驗證身份。但與支付寶類似,如果掌握了用戶的姓名、銀行卡號、身份證號及短信驗證碼,即可成功修改用戶的支付密碼。
測試結果表明,銀行類App安全性最高,支付寶、微信支付次之,大部分電商、社交、郵箱類App雖只需手機號和短信驗證碼即可登錄,但若涉及支付環節,需要更多個人信息進行驗證。
深度分析
風險根源:隱私數據的洩露
通過上述測試不難發現,用戶即使遭遇了GSM劫持+短信嗅探,但若沒有洩露個人信息,騙子只能登錄賬戶,無法完成支付、轉賬等操作。
風險根源在於信息洩露,黑產攻擊會考慮性價比,根據目標價值採用相應的技術手段,對於普通網民來說,從隱私數據入手,依然是最廉價的。
“簡單的密碼基本沒什麼用,都在黑客的密碼字典裡。”李鐵軍說,密碼絕大部分是加密存儲,有一個秘文,通過解密算法也無法得到明文,但此前有些網站的數據庫明文加密文一起洩露,而明文和密文構成一張表,這就是黑客的密碼字典。
“早在幾年前,信息洩露的數據量以億計算,黑客手中掌握的社工庫數據有上百億條。除非特別複雜、個性且經常更換的密碼,否則基本都在黑客的密碼字典裡。”李鐵軍告訴《IT時報》記者。
許多資金被盜、詐騙案件的背後都有地下黑庫信息的推波助瀾。日常生活中,用戶信息洩露的渠道很多,黑客拖庫、網站出售、各類電商訂單等渠道都可以成為用戶信息遭洩露、販賣的源頭,比如訂酒店提供的姓名、身份證號、手機號,如果該酒店管理不嚴或系統存在漏洞,用戶會在一瞬間洩露三個關鍵信息。
網絡黑產的工作流程是怎樣的?廣州凌晨網絡科技有限公司DLG安全研究實驗室人士告訴《IT時報》記者,這條產業鏈分工明確,是有組織、有計劃的團伙式犯罪行為。過程大致分為開發製作、批發零售、詐騙實施、分贓銷贓四個流程。有人專門負責製作釣魚編輯、木馬開發、偽基站等黑產需要的軟硬件,之後通過釣魚零售商、域名販子將這些工具分銷出去,再由小馬仔去線下實施布點或線上詐騙,錢成功騙到後還有專門的財務會計將這部分資金洗白,比如通過人民幣購買Q幣,再將Q幣賣出去。洗白後的錢,通過分贓中間人進行分贓銷贓,“在這條黑產鏈條中,銀行卡販子、電話卡販子、身份證販子雖然也算是黑產中的一員,但比較邊緣化。”上述白帽子稱。
中國到底有多少用戶的信息被洩露很難統計,但從今年7月山東破獲的一起特大侵犯公民個人信息案中可見一斑,在這起案件中,公安機關共查獲公民信息數據4000GB、數百億條,此案涉及的數據隱私性高,包含了手機號、上網基站代碼等40餘項信息要素,記錄了每個手機用戶具體的上網行為,甚至部分數據能夠直接進入公民個人賬號主頁。
記者手記
不要不把身份證號當回事
看到“獨釣寒江雪”的經歷,再與幾位安全專家聊完後,記者感覺自己宛若一個“網絡透明人”,一口氣改掉了多個密碼,刪掉了早些年設置的密保問題,專家打趣道:你能意識到自己是透明的,反而更安全。
當我們習慣於把生活轉移至互聯網上時,那些行為軌跡在網絡上難以抹去,帶著個人信息的各種數據在互聯網上幾乎隨處可見,並可輕易獲得。李彥宏曾說,中國的消費者願意為一些利益提供自己的數據,雖然此觀點被網民狂噴,但事實上反思一下,你是不是也曾為了“薅點羊毛”,在某個網站上實名註冊了自己的身份信息?
此外,隨著手機實名制日益普及,越來越多的互聯網企業將手機短信驗證碼作為自己的安全屏障。各大銀行網上銀行、網上商城、團購網站、票務公司等企業使用短信驗證,確實可以依賴於手機卡實名制,大大降低非法註冊。
然而,當手機短信驗證碼可以登錄、修改密碼等操作出現在直接或間接與資金相關聯的應用時,大家似乎忽略了,你與賬戶之間只有一條驗證碼。建立在2G GSM網絡上的短信驗證,猶如將互聯網賬戶安全大廈建立在沙灘上,很容易被黑客釜底抽薪。
當然,安全與便捷從彼此出生的那天起,便如同坐上蹺蹺板,此高彼低,從目前來看,也確實很難找到比短信更加方便、快捷並可大範圍應用的驗證方式。然而,道高一尺魔高一丈,當黑客的技術在不斷進步,攻破互聯網上的一道道防線時,各家互聯網公司是不是也可以將自己的防護牆摞的更高一些?事實上,有專家表示,除了短信驗證碼,互聯網公司完全可以通過設備信息、地理信息等更多數據進行內部邏輯循環判斷,這個動作並不會在前端影響用戶體驗,卻可以更好判斷“你就是你”。
希望,一條驗證碼讓人傾家蕩產的案件只是個例。
閱讀更多 IT時報 的文章
