“截獲短信驗證碼”盜刷案多地出現:利用2G網絡缺陷難防範
據澎湃新聞8月4日報道,“幾條奇怪的短信,半輩子的積蓄沒了。”日前,一種名為“GSM劫持+短信嗅探技術”的新型犯罪手段引起關注。鄭州、南京、廣州等多地警方發佈通報稱,有人早上起牀後發現手機收到很多驗證碼和銀行扣款短信,有的網上銀行APP登錄賬號和密碼被篡改,在毫無察覺的情況下,銀行賬户被盜刷。
據南京江寧警方官博8月2日通報,不同於傳統的偽基站只發詐騙短信的方法,此類新型偽基站詐騙使用的方法是利用GSM(2G網絡)設計缺陷,能實現不接觸目標手機而獲得目標手機所接收到的驗證短信的目的,對於普通用户來説基本上是無法防範,“比較穩妥的辦法是關閉手機的移動信號,只使用家中或者辦公室的WIFI。”
此前,全國信息安全標準化技術委員會秘書處發佈《網絡安全事件指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》,指出此類犯罪方式危害互聯網生態安全,建議各移動應用、網站服務提供商優化用户身份驗證措施,選用一種或採用多種方式組合,比如通過短信上行驗證、語音通話傳輸驗證碼、常用設備綁定、生物特徵識別、動態選擇身份等驗證方式,加強安全性。
警方繳獲的涉案物品 圖自澎湃新聞
新技術可“隔空”截獲驗證短信,被詐騙黑產利用
8月2日下午,南京江寧公安分局官方微博發佈消息稱,一種名為“GSM劫持+短信嗅探技術”的犯罪手法是近兩年來出現的新型偽基站犯罪手段,多地警方已經有所發現。“不同於傳統的偽基站只給你發詐騙短信的方法,這種新型手法實現不接觸目標手機而獲得目標手機所接收到的驗證短信的目的。”
該消息還稱,更危險的新技術則是重新定向手機信號,同時使用GSM中間人方法劫持驗證短信,此類劫持和嗅探並不僅限於GSM手機,包括LTE,CDMA類的4G手機也會受到相應威脅。此技術在2016年後逐步被詐騙等黑色產業注意到並迅速將其用於實際操作。”
手機長期處於2G狀態時,要格外小心
那麼,什麼是“GSM劫持+短信嗅探技術”?
據新快報7月27日消息,廣州警方介紹,GMS是俗稱的2G信號,利用上述技術可實時獲取使用2G信號的用户手機短信內容,進而利用各大銀行、網站、移動支付APP存在的技術漏洞和缺陷,實現信息竊取、資金盜刷和網絡詐騙等犯罪。“有條件的嫌疑人也會用干擾器將信號降至2G,這時他們就有了可乘之機。因此,如果市民手機信號長時間處於2G狀態時,要格外小心。”
另據廣州日報消息,騙子通過特種設備自動搜索附近的手機號碼,攔截如運營商、銀行發送的短信,劫持對象主要針對2G信號(GSM信號),竊取短信信息後通過登錄一些網站,從中碰撞機主身份信息,稱之為“撞庫”(即多個數據庫之間碰撞),試圖將機主的身份信息匹配出來,包括身份證、銀行卡號、手機號、驗證碼等信息,繼而在一些小眾的便捷支付平台開通賬號並綁定事主銀行卡,冒充事主消費或套現,盜取事主銀行卡資金。據悉,該團伙大多選擇凌晨作案,無需直接與事主接觸,因此大部分事主無法及時察覺資金被盜。
採集方圓500米移動手機號碼,有驗證短信就實施盜刷
截至今年8月,廣州、南京、鄭州警方已陸續破獲多起此類案件。
根據公開報道,廣州市增城警方破獲的一起案件中,犯罪團伙部分人員以無線電愛好者或電子通信設備“發燒友”為主,負責製造、銷售該類特種設備;還有部分嫌疑人負責利用公民個人信息實現盜刷套現。
而在2018年6月鄭州市公安局豐產路分局破獲的一起案件中,犯罪嫌疑人萬某交代“2G短信採集設備”是由電源(銀色金屬方盒)、手機號碼採集器、一根黑色天線組成,某品牌手機來接受採集到的號碼。“2G嗅探設備”是由黃色木盒(內置7個來攔截附近短信的某c118主板)、一台筆記本電腦,筆記本上面插有一個U盤裝置的嗅探系統組成。
萬某還交代,他檢測到附近有針對的移動用户後,用手機測試採集到附近方圓500米的移動手機號碼,看看哪個手機號碼來短信,從而盜刷這個手機機主的銀行卡和信用卡的錢。
缺陷由GSM設計造成,修復難度大、成本高
實際上,早在2018年2月11日,全國信息安全標準化技術委員會秘書處曾發佈《網絡安全事件指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》(下簡稱《技術指引》),指出由於GSM網絡(2G網絡)存在單向鑑權和短信內容無加密傳輸等侷限性,且短信截獲攻擊呈現工具化和自動化趨勢,“基於短信驗證碼實現身份驗證的安全風險顯著增加。”
該指南指出,此類攻擊主要利用了短信驗證碼在用户身份驗證方面存在的安全缺陷,“該缺陷由GSM設計造成,且GSM網絡覆蓋範圍廣,因此修復難度大、成本高。”而由於短信驗證碼技術被廣泛用於各類移動應用、網站服務的身份驗證,短信截獲攻擊手段一旦被大規模利用,可能導致基於短信驗證碼實現身份認證的技術失效,造成公民財產損失,危害互聯網生態安全。
《技術指南》建議各移動應用、網站服務提供商優化用户身份驗證措施,選用一種或採用多種方式組合,比如通過短信上行驗證、語音通話傳輸驗證碼、常用設備綁定、生物特徵識別、動態選擇身份等驗證方式,加強安全性。
普通用户基本無法防範,警方呼籲運營商儘快解決
那麼,如何防範此類犯罪?
江寧公安官博於8月2日發佈的通報顯示,此類新型偽基站詐騙“對於普通用户來説基本上是無法防範的,也給警方的偵破工作帶來了很大的挑戰,因為涉及到的網站APP銀行極其眾多”。
同時,江寧公安消息稱,大家不必過於擔憂,GSM協議的問題系統換代升級也在進行中。目前絕大多數支付類、銀行類app除了短信驗證碼往往還有圖片驗證,語音驗證,人臉驗證,指紋驗證等等諸多二次驗證機制,如果單單泄露驗證碼,問題是不大的。絕大多數中招的用户是因為同時泄露了身份證號等其他重要身份信。“GSM劫持防不了,其他信息泄露還是可防的。”
江寧公安建議,由於手機會接收到一些信息,有的防範策略是晚上關機或者開啓飛行模式,而實際上這樣做的意義並不大,因為有的手機可能被劫持後本身已經無法接收到短信。較為明顯的被攻擊特徵除了接收短信外,還有手機信號可能在4G和2G之間切換。而一旦你晚上關機或者開啓飛行模式,也可能導致其他詐騙風險的上升或者重要事件時親友無法聯繫你。“所以**比較穩妥的辦法是關閉手機的移動信號,只使用家中或者辦公室的WIFI,**這樣既能保持和大家的網絡聯繫,也能略微提高被嗅探的難度。如遭遇此類詐騙務必立刻報警,保留好短信內容。”
同時,江寧公安呼籲各大運營商和通信管理部門儘快採取有效技術手段,儘快解決此問題。一些安全機制不完善的銀行和金融類app可以考慮採用其他雙向驗證輔助手段提高安全效率。
記者 宋蔣萱 實習生 孟佳嫺