楚天都市報記者陳紅劉閃實習(xí)生黃月
在沒有受害人身份證、銀行卡的情況下,犯罪嫌疑人是如何利用短信嗅探技術(shù)實施盜刷的呢?
民警介紹,嫌疑人通過“GSM劫持+短信嗅探技術(shù)”,可實時獲取受害人的手機(jī)短信內(nèi)容,進(jìn)而利用各大知名銀行、網(wǎng)站、移動支付APP存在的技術(shù)漏洞和缺陷,實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)犯罪等犯罪。
那么,如何防范這種新型犯罪?楚天都市報記者采訪了相關(guān)專家和業(yè)內(nèi)人士。
案件揭秘
短信嗅探盜刷案大多發(fā)生在凌晨
國內(nèi)網(wǎng)絡(luò)安全界知名的“黑客煉金術(shù)士”鄒曉東(Seeker)介紹,通常情況下,要想在沒有銀行卡、身份證的情況下實施盜刷,需要知道受害人的手機(jī)號、姓名、身份證號、銀行卡號和驗證碼。在目前的技術(shù)條件下,通過四步即可達(dá)到目的:
一,利用GSM技術(shù)的單向鑒權(quán)體系漏洞,通過偽基站自動搜索附近(一般是周邊幾百米內(nèi))的潛在手機(jī)號碼;二,通過查詢地下出售的個人隱私數(shù)據(jù),或登錄第三方支付平臺、網(wǎng)上銀行等,碰撞查詢到目標(biāo)手機(jī)號碼對應(yīng)的身份證號碼、銀行卡號等;三,通過短信嗅探設(shè)備,嗅探目標(biāo)手機(jī)號碼收到的驗證碼及運營商、銀行所發(fā)短信;四,在網(wǎng)上銀行或者移動支付平臺,通過驗證碼登錄、修改賬戶信息,進(jìn)行賬戶支付、借貸等資金流轉(zhuǎn)操作,如綁定銀行卡、申請網(wǎng)絡(luò)貸款、打白條等,實施盜刷和信用卡犯罪等犯罪行為。
鄒曉東進(jìn)一步解釋,這種犯罪手法主要針對2G手機(jī)的GSM信號,因此犯罪分子常常會干擾附近的基站通信,使手機(jī)信號從4G降級到2G,然后通過嗅探設(shè)備竊取手機(jī)短信等信息。由于嗅探設(shè)備只能嗅探但不能攔截短信,因此犯罪分子通常會選擇在深夜作案,這時受害人大多在酣然入睡,不會注意到短信異常。
專家建議
金融機(jī)構(gòu)通訊及驗證系統(tǒng)應(yīng)升級
盜刷案件的發(fā)生,與系統(tǒng)漏洞有著直接的關(guān)系。鄒曉東告訴記者,2011年,手機(jī)通信的GSM協(xié)議就遭到破解,有多種方式可以獲取用戶的短信驗證碼,只是這些技術(shù)一直沒有被犯罪分子所掌握。最近的案例表明,部分犯罪分子已經(jīng)掌握其中一種技術(shù)。
鄒曉東認(rèn)為,連續(xù)發(fā)生的短信驗證碼攻擊事件,可能是攻擊工具產(chǎn)業(yè)化的標(biāo)志。利用手機(jī)短信驗證用戶身份,已無法保證用戶信息和資金安全,金融機(jī)構(gòu)需要盡快改進(jìn),選擇安全性更高的身份認(rèn)證方式。同時,用戶也不必過于擔(dān)心,因為使用偽基站和短信嗅探,必須接近受害人,而警方很容易利用監(jiān)控錄像排查定位犯罪分子。隨著公安機(jī)關(guān)快速破案,這種犯罪會越來越少。
鄒曉東介紹,2016年6月,央行明確規(guī)定:各商業(yè)銀行、支付機(jī)構(gòu)、卡清算機(jī)構(gòu),要加強(qiáng)對支付敏感信息的內(nèi)控管理和安全防護(hù)工作;各商業(yè)銀行基于銀行卡與支付機(jī)構(gòu)、商業(yè)機(jī)構(gòu)建立關(guān)聯(lián)業(yè)務(wù)時,應(yīng)嚴(yán)格采用多因素身份認(rèn)證方式,直接鑒別客戶身份,并取得客戶授權(quán);身份鑒別應(yīng)使用數(shù)字證書、交易密碼、動態(tài)令牌設(shè)備等方式至少組合兩種認(rèn)證;針對批量或高頻登錄等異常行為,應(yīng)利用IP地址、終端設(shè)備標(biāo)識信息、瀏覽器緩存信息等進(jìn)行綜合識別,及時采取附加驗證、拒絕請求等手段。
如何防范
增加支付登錄關(guān)卡降低被盜風(fēng)險
記者了解到,要滿足盜刷需要的所有條件,不是一件容易的事。深圳警方抓獲的一名犯罪嫌疑人供述,他一個晚上雖然能嗅探到很多手機(jī)短信、捕獲到很多手機(jī)號碼,但盜刷成功的并不多。原因是很多金融公司風(fēng)控很嚴(yán),即使盜刷,單筆金額也不大。
武漢極意網(wǎng)絡(luò)科技有限公司網(wǎng)絡(luò)工程師許偉告訴記者,黑色產(chǎn)業(yè)者的攻擊方式很多,但最終的關(guān)鍵還是要獲取受害人的身份證號、銀行卡號、手機(jī)號碼等。缺少其中一環(huán),他們都不可能成功。
對于消費者來說,為了防止個人財產(chǎn)被盜,需要保護(hù)好敏感的私人信息。同時,微信、支付寶、京東等個人賬號,可以通過定期修改登錄密碼,或增加登錄和支付“關(guān)卡”來降低被盜風(fēng)險。銀行、高校等單位,應(yīng)該保護(hù)好消費者、學(xué)生群體的身份證、銀行卡等信息不被泄露,還要不斷完善平臺的風(fēng)控體系建設(shè),優(yōu)化風(fēng)控策略方案。只有安全意識增強(qiáng)了,犯罪分子鉆空子的機(jī)會才會越來越小。
許偉表示,目前傳統(tǒng)的驗證方式,有短信驗證、字符驗證等。短信驗證步驟繁雜,容易被盜??;而一些字符驗證碼越來越扭曲,體驗感差,也容易被一些圖像識別技術(shù)識別。驗證碼未來的發(fā)展趨勢,應(yīng)該在充分保證安全性的基礎(chǔ)上,做到零打擾、無感化。
大額資金賬戶建議不要開通網(wǎng)銀
湖北銀行業(yè)糾紛調(diào)解中心主任宋心鵬介紹,利用短信嗅探獲取銀行客戶信息,進(jìn)而盜取資金,在技術(shù)上有一定難度,在侵害對象上具有隨機(jī)性。目前,該中心尚未接到類似投訴舉報,但是中心已經(jīng)關(guān)注到這類案件的動向。公眾對此既要高度警惕,又不必過于恐慌。
宋心鵬建議,用戶要加強(qiáng)防范意識,做到以下幾點:
一、保護(hù)好個人手機(jī)號、身份證號、銀行卡號、支付平臺賬號等私人敏感信息。
二、存有大額資金的個人銀行賬戶,建議不要開通網(wǎng)銀功能。網(wǎng)上支付賬戶應(yīng)設(shè)置支付限額,支付密碼與取款密碼要有區(qū)別。
三、對不明來歷的短信、微信、驗證碼鏈接,不點、不收、不回復(fù)。對自行發(fā)起的轉(zhuǎn)賬和支付短信,一定要分辨清楚。
四、睡覺前,可將手機(jī)關(guān)機(jī)或設(shè)置為飛行模式,防止被短信嗅探設(shè)備探測。
五、如賬戶遭遇攻擊,應(yīng)立即查看自己的銀行卡和支付應(yīng)用,一旦確認(rèn)資金被盜刷,要立即凍結(jié)相關(guān)賬戶并報警。