近期,多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改,损失惨重。整个过程中,受害者处于熟睡状态,没有进行任何操作,取款密码等关键信息也保证没有泄露,留下众多谜团。
终结诈骗(微信ID:antifraud2)近日通过跟踪多地警方的抓捕审讯以及安全公司实验室的测试复盘发现:骗子通过“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,可以实现信息窃取、资金盗刷和网络诈骗等犯罪。经过审慎考虑和多方权衡,我们决定隐去关键技术信息,将该黑产链条公之于众,期望能为民众提供防御措施,并推动各行业有针对性的技术升级,共同减少这个“核武器”级别诈骗技术带来的伤害!
一、可怕的劫持与嗅探技术
我们都知道,要想保证手机正常使用,必须要有信号,而这个信号就要靠遍布各地的基站来实现。我们在用手机打电话、发短信、上网时,手机必须要基站相连才可以保证信息传输。一个基站可以服务一定数量的手机,人员越稠密,基站就越多。在人流量大的景点和公园,还会有一些应急基站,保证手机的正常使用。
车载应急基站
以前,骗子利用这个原理,会购买一些设备搭建“伪基站”,利用2G移动通信的缺陷,假装正规基站与手机“强行发生关系”,再冒充银行、运营商给手机发送一些诈骗短信,或者为一些公司发送垃圾推广广告。很多人对这类短信都已经习以为常,终结诈骗公众号也对这类骗局做过多次解读,如果不去点击短信中的不明链接,一般是不会有风险的。
后来,随着一项GSM劫持技术被国际黑客界公布,骗子已不再满足于只给用户发短信,而是想到要监视用户短信,因为用户短信里有包括验证码在内的很多敏感信息。他们通过淘宝等电商网站购买一些单机设备,再通过安装黑客开发的相关软件,很方便就能组装好一个GSM劫持设备。
警方查获的GSM劫持设备
这个劫持设备的原理和伪基站差不多,但它的可怕之处在于:他可以看到这个基站区域内所有用户收到的短信,并且用户毫无知觉。就像是一条经过专业训练的狗,悄无声息地辨别事物,因此也被专业人士叫做“短信嗅探”技术。
骗子通过该技术,可以看到该基站用户的所有短信内容
二、你永远不知道骗子有多狡猾
当然,骗子可没工夫去看那些谈情说爱、打情骂俏的短信内容,他们的目的只有一个,就是通过盗刷、贷款等手段要你的钱,这一切的前提就是要得到你的基本信息:姓名、手机号码、身份证号、银行卡账号、验证码。因为很多网站(包括网银APP)采取是“账号+手机+验证码”的安全策略,不需密码也能登录。
那么,在利用“GSM劫持+短信嗅探”技术获得用户的短信后,他们怎么获取其他信息呢,这就要利用各大公司提供的“便利”了。终结诈骗(微信ID:antifraud2)在这里仅对一些低级的、已被骗子普遍掌握的手段进行举例。
比如:骗子劫持到中国移动139邮箱发送来的短信后,复制其中的链接到浏览器,点击“进入掌上营业厅”,就可以直接看到手机号了。说实话,要不是骗子交待,恐怕很多人还不知道,不信你可以马上试试。
只需要劫持到139邮箱短信,就可以知道用户手机号码
知道了手机号以后,再通过登录其他一些网站,利用社工手段就可以很轻松地知道这个人的银行卡账号、身份证号。手段千奇百怪,让人大开眼界,这里不再详述。但二弟不得不说的是,在实际测验中,我们发现一些网站、轻应用的隐私保护意识奇差,有的输入手机号、验证码,所有的信息全部自动弹出,给骗子节省了大量时间,我们正在考虑以什么渠道把嫌疑人交待的漏洞反馈给这些公司。
三、可怕的后果
“姓名、手机号、身份证号、银行卡账号、验证码”这些信息被骗子掌握以后,结果到底有多可怕我相信你已经猜出个大概了。主要有三类:
1、个人信息被泄露
由于很多网站特别是购物网站、旅游网站采取的都是“手机号+验证码”的登录方式,而骗子又可以实时监控到验证码,所以很容易就可以登录。即使采取了“手机号+密码”的方式,但只要点击“忘记密码”,就可以通过验证码来找回密码,同样可以方便登录。实验室测试了几个主流网站,都能顺利登录,查看到商品订单、行程信息、支付信息等,而且还可以直接更改登录密码。
某购物网站可以方面地进行修改密码操作
2、资金被盗刷
通过犯罪嫌疑人的供述和实验室的测试,很多银行的官网安全策略虽然很高,但是一些APP的安全策略低得要命,不少APP只要输入“姓名+银行卡账号+身份证号码+手机号码+动态验证码”,就默认是本人操作,骗子进入以后马上就会盗刷或者购买点卡类虚拟物品。
3、其他网络犯罪
有些嫌疑人刷完了银行卡中的钱,还会通过这些信息在一些小的贷款网站、平台申请小额贷款,让受害人不但积蓄全无,还会背负债务。
四、哪些人最危险?
前面我们讲到,骗子利用的是黑客公布的“GSM劫持”技术。因此,只要你的手机用了GSM网络,都会存在这种风险。
所谓GSM,是全球移动通信系统(Global System for Mobile communications) 的简称。由于它的信令和语音信道是数字式的,和以前模拟蜂窝技术标准有很大不同,因此又被称作是第二代移动电话系统,也就是我们常说的2G。GSM标准的设备几乎占了全球市场的80%以上。
在2G通信网络下,国内使用的GSM通信协议,存在鉴权弱、短信明文传输的弊端,很容易会被劫持嗅探到。而在我们国家,由于移动和联通的2G是GSM网络制式,所以中国移动和中国联通的用户是这种劫持技术的风险客户。在警方侦办的案例中,尚未发现中国电信用户遭受该类技术攻击的情况。
五、到底该怎么防范、反制?
面对这种“核武器”级别技术的攻击,对于个人来说,方法极其有限和被动,更关键的是需要移动和联通运营商、移动应用和网站服务提供商共同努力,我们给出以下措施:
对于个人:
1、睡觉前关机或者把手机调成飞行模式,因为这样手机信号就无法被劫持,而此类犯罪也基本发生在后半夜。
2、看到奇怪的验证码和短信,要马上意识到可能已被劫持攻击,要马上联系短信所属的移动应用和网站服务提供商,并可考虑暂时关机。
3、如果自己的手机信号忽然从4G降到2G,可能会被骗子降维攻击,请马上启动飞行模式。
4、平时保护好个人的账号、手机号、身份证号等敏感信息,虽然好像没太大用。
对于各大公司:
1、请移动、联通公司考虑弃用GSM网络传送短信的可能性,尽快弥补这一漏洞,这是该黑产链条的根源所在。
2.请移动、联通公司对平时发给用户的短信做技术处理,避免被骗子倒查到手机号码。各大公司要检查自己的网站、应用号、公众号等,避免出现输入手机号、验证码就自动推送个人身份信息的情况。
3、请各移动应用和网站服务商按照全国信息安全标准化技术委员会在今年2月11日发布的《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,通过启动短信上行验证、启用语音通话传输验证码、对常用设备开展绑定、运用生物识别技术开展验证等,做好安全策略升级工作。
终结诈骗 原创出品
图片来源于网络 仅用于公益传播
郑州反诈中心 朱公子
腾讯守护者计划团队
对此文亦有贡献 特此鸣谢
联系 合作 投稿邮箱:antifraud@126.com
评论