English  简体中文
   

近期犯罪分子利用“GSM劫持+短信嗅探”的方式盗刷网友账户的事件成为网络热点

2018-09-07       撰稿人:软件所


(http://digi.hsw.cn/system/2018/0820/111015.shtml)

“一觉醒来,手机里多了上百条验证码,而账户被刷光还背上了贷款”——近期犯罪分子利用“GSM劫持+短信嗅探”的方式盗刷网友账户的事件成为网络热点。那么,该如何防范这种短信嗅探犯罪呢?安全专家指出,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。

在主流App中,许多账户登录及资金操作都可以通过手机号码加短信验证码的方式实现,对于用户来说,这种操作为自己带来方便,无需记忆复杂的密码;但对于别有用心的犯罪分子来说,他们可以利用简单的设备获取用户的验证码,从而操控用户账户,提现、消费,甚至贷款。一位深圳网友日前就经历了这样的骗局,一觉醒来,手机上发现了上百条验证码,银行卡、支付宝、京东等账户中的资金不翼而飞,甚至还背上了网络贷款。

专家表示,这是犯罪分子利用“GSM劫持+短信嗅探”的方式,把银行卡或其他账户里的钱盗刷或者转移了。为此,消费者需要注意防范,尤其是在2G网络情况下,警惕遇到犯罪分子实施的强制“降频”等方式攻击,要及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况。

 

事件

一觉醒来收百条验证码存款全无

本月初,家住深圳的网友“独钓寒江雪”发文称,自己当天起床发现手机接受了100多条验证码,包括支付宝、京东、银行卡等,查询发现,“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。”

她的手机截图显示,她从凌晨1点多起,陆续收到来自中国银行、京东、京东支付、环迅支付、房天下等多个号码发来的“验证码”短信,仅在3点11分就收到了4条短信,一共100余条。

另外,她还查询到自己的多个账户中的钱已被交易,对方用自己的支付宝绑定的工商银行卡购买了1000元的Q币,还预定了南京一家高档酒店的套房,用京东卡充值了2000元的中国石化加油卡等。

 

分析

那么为何会出现“睡一觉把存款睡没”的情况?腾讯安全的技术人员表示,“这些人都是被犯罪分子用‘GSM劫持+短信嗅探’的方式,把银行卡或其他账户里的钱盗刷或者转移了。”

据技术人员介绍,短信嗅探通常由号码收集设备(伪基站)和短信嗅探设备组成。其犯罪具体分为以下四步:

第一步,犯罪团伙基于2G移动网络下的GSM通信协议,在开源项目OsmocomBB的基础上进行修改优化,搭配专用手机,组装成便于携带易使用的短信嗅探设备。

第二步,通过号码收集设备(伪基站)获取一定范围下的潜在的手机号码,然后在一些支付网站或移动应用的登录界面,通过“短信验证码登录”途径登录,再利用短信嗅探设备来嗅探短信。

第三步,通过第三方支付查询目标手机号码,匹配相应的用户名和实名信息,以此信息到相关政务及医疗网站社工获取目标的身份证号码,到相关网上银行社工,或通过黑产社工库等违法手段获取目标的银行卡号。由此掌握目标的四大件:手机号码、身份证号码、银行卡号、短信验证码。所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。

第四步,通过获取的四大件,实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作,实现对目标的盗刷或信用卡诈骗犯罪。因为,一般短信嗅探技术只是同时获取短信,并不能拦截短信,所以不法分子通常会选择在深夜作案,因为这时,受害者熟睡,不会注意到异常短信。

  

关注

由上可见,嫌疑人要实现盗刷需要很多条件:第一,受害者手机要开机并且处于2G制式下;第二,手机号必须是中国移动和中国联通,因为这两家的2G是GSM制式,传送短信是明文方式,可以被嗅探;第三,手机要保持静止状态,这也是嫌疑人选择后半夜作案的原因。第四,受害者的各类信息刚好能被社工手段确定;第五,各大网站、App的漏洞依然存在。

那么,作为普通网民来说,如何防范这种短信嗅探犯罪呢?腾讯安全的技术人员表示,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。另外还要注意自己手机信号模式改变。在稳定的4G网络环境下,手机信号突然降频“GSM”、“G”或者无信号时,警惕遇到黑产实施的强制“降频”及GSM?Hack攻击,要及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况。

在手机设置上,用户可以使用“VoLTE”保护信息安全:在手机设置中开启“VoLTE”选项,目前主流安卓或iphone手机均已支持。(VoLTE:Voice?over?LTE,是一种数据传输技术,无需2G或3G,可实现数据与语音业务在4G网络同时传输)

同时,用户最好关闭一些网站、App的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。

 

建议

针对网络平台方面,全国信息安全标准化技术委员会也下发了一份《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,建议个各App、网站服务提供商对业务系统中短信验证码的使用方式进行摸底。例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况,并评估相关安全风险,优化用户身份验证措施。全国信息安全标准化技术委员会建议的方式包括:短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择验证方式等。

如短信上行验证具体是:提供由用户主动发送短信用以验证身份的功能,如要求用户在规定时间内(如?60?秒),使用已绑定的手机号码向移动应用、网站服务提供商指定的短信服务号码发送指定内容短信,移动应用、网站服务根据短信内容对用户身份进行验证。常用设备绑定为:提供将用户账号与常用设备绑定的功能,原则上支付、转账等敏感操作只能通过该绑定设备执行。设备绑定、更换等操作应采用短信上行验证、语音通话传输验证码等方式,并采用诸如要求用户回答预设问题、提供注册时填写的相关用户信息或核对该用户账号近期操作记录等方法进一步确认用户身份。

中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4