網銀支付,銀行轉賬,註冊號碼,開通服務,找回賬號密碼……曾經作為手機端聊天和社交主要工具的短信已經從歷史舞臺退出。取而代之它變成了各種驗證碼的聚集地。也是很多商家對重要的金融轉賬和身份驗證的重要依據。
然而你有沒有想過,短信驗證碼真的安全麼?
筆者的這個疑問是來自豆瓣網友“獨釣寒江雪”於8月1日發表的文章《新盜刷手法!手機裡的錢一夜被轉走,到底發生了什麼?》,該網友稱:她在7月30日凌晨5點多時迷迷糊糊發現手機一直在震。起身一看內容,嚇出了一身的冷汗。手機上顯示支付寶,餘額寶以及綁定了手機銀行的銀行卡里的錢都被以消費的形式盜刷,總計18000多元。同時還被莫名的開通了京東金條,白條等功能,借走了一萬多元。
這事聽起來不寒而慄的同時也讓人覺得十分詫異,為啥好端端手機就在身邊。犯罪分子還能盜刷到我們的銀行卡呢?這個事情在網上發酵了多日,目前看來最有可能的是犯罪分子利用了“GSM嗅探”的手段。
什麼是“GSM嗅探”?
筆者並不是通訊專業出身,但作為一個稍有手機知識的愛好者。理解其“GSM嗅探”並不困難:
實際上不管是早年的2G/3G網絡 還是目前的4G以及正在建設中的5G網絡。手機間的通訊依賴的是運營商的網絡基站。以通常通話為例,當我們拿出手機撥號以後,手機就會向當前所處的基站發出通話請求,基站會根據手機發出的請求將兩個手機進行連接,這時我們就可以通話了。短信也是一樣的道理只不過是不同的連接方式而已。
這裡值得注意的是基站和手機是以無線電波的方式進行連接的。也就是說,在你所在的基站範圍內所有的設備都能接受到你的手機驗證碼的短信。能保護你的短信的私密性的手段只有通過加密保護。“GSM嗅探”就是通過在同一基站下接收你的短信,並破解加密以後獲取你的短信驗證碼。
基於2G的GSM的短信和通話是十幾年前的技術,在技術更迭迅速的今天已經顯得落伍。筆者看到基於2G技術的GSM協議實現方案osmocomBB,在2012年的時候已經完全開源了。在2013年已經出現了比較完整的“GSM嗅探”整套的中文教程在網絡上出現。一套用戶“GSM嗅探”的設備在淘寶和京東上都能買到,除了一臺編輯所需的筆記本電腦,其餘設備中成本合計不過50元。
我們應當如何預防“GSM嗅探”給我們帶來的財產損失?
一.GSM應該儘早退網。淘汰落後的已經被開源的2G通訊技術。是解決“GSM嗅探”的最根本方法。不過這個做起來似乎遠沒有說起來容易。全國範圍內還存在大量的2G基站,運營商要逐個淘汰升級並非易事。而對於用戶來說如果用一部徹底淘汰了2G網絡的手機。就會面臨在很多地方沒有手機信號的窘境。
當然對於聯通和移動用戶而言,也可以開通volte服務來讓短信通過3G/4G網絡傳輸。具有加密通道的3G/4G網絡更加安全。然而不法分子同樣可以通過干擾區域信號的方式來干擾用戶的4G信號,讓手機向2/3G網絡下切。並再次去利用“GSM嗅探”。所以目前的現狀下,“GSM嗅探”的方式暫時無法從技術升級手段根除。
二,軟件服務商應該儘量利用多種驗證手段結合的方式。我們看到微信登陸時,不僅需要手機驗證碼,還需要你指出自己的微信好友。而支付寶支付時需要指紋認證或者刷臉。都是為了進一步提升安全性。利用“GSM嗅探”的方式竊取用戶賬戶資金案列是在今年才出現在公眾視野中的。說明這項技術只是剛剛被不法分子利用。對於用戶在平臺上的財產損失,相信支付寶,京東金融也不會坐視不理。相信此後對於各大平臺對於驗證支付的安全性會進一步升級。
三.作為用戶,我們自己在平時也要從細節注意自己的財產安全:看了以上文章內容我們應該知道,不法分子利用“GSM嗅探”作案。首先需要知道用戶的手機號碼,姓名等信息。所以平時在工作生活中儘量少洩露自己的個人信息。比如平時的快遞盒子不要隨手丟掉。一定要把面單撕下來再扔。
另外,介於此類盜刷事件一般都發生在深夜,受害人熟睡的時候。所以我們入睡以前隨手把手機關機或者調成飛行模式。也可以預防此類盜刷事件。
四.後悔藥,記得買份保險
事實上,前邊所說的那位網友“獨釣寒江雪”的事件發生以後,京東方面經過調查以後已經免除了她的還款責任。而支付寶方面也早就推出了“支付寶賬戶安全險”,購買了以後一旦有支付賬戶安全問題引起的財產損失,保險公司會第一時間賠付。所以在平臺上買一份保證財產安全的意外險。也可以將萬一發生了盜刷事件的損失降到最低。
其實單從此次豆瓣網友“獨釣寒江雪”發表的事件來說。因為受害者使用的是iPhone,所以有安全專家指出:還有可能和iCloud有關。iCloud有自動備份短信功能,不法分子如果破解了這位朋友的郵箱,同樣也可以達到獲得驗證碼的目的。所以利用“GSM嗅探”作案只是網絡上來自各方的猜測而已。具體是哪種情況,目前的顯示材料還不得而知。
- 以支付寶和微信支付為首的互聯網金融僅用了幾年時間就改變了人們支付和存款的方式。便捷性和安全性本身就是一對矛盾,人們在享受移動支付的便利的同時也必須面對網絡支付的安全性問題。這點不僅需要用戶在平時提高移動支付的安全意識,更需要移動運營商和各大網絡金融平臺積極改進網絡技術。才能確保移動支付的安全,讓其進一步得以發展。
