前不久,,豆瓣網(wǎng)友“獨(dú)掉寒江血”發(fā)帖稱凌晨收到100多條短信,,然后發(fā)現(xiàn)自己支付寶,、余額寶,、網(wǎng)銀的錢已經(jīng)不翼而飛,,還被申請(qǐng)了不少貸款,,而這個(gè)網(wǎng)友的手機(jī)并沒有離開身邊,。
無獨(dú)有偶,,近期多地警方陸續(xù)接報(bào)一類蹊蹺案件,,很多人早上起床后發(fā)現(xiàn)手機(jī)收到很多驗(yàn)證碼和銀行扣款短信,,甚至網(wǎng)上銀行APP登錄賬號(hào)和密碼也已被篡改,損失慘重,。整個(gè)過程中,,受害者處于熟睡狀態(tài),沒有進(jìn)行任何操作,,取款密碼等關(guān)鍵信息也保證沒有泄露,。
經(jīng)過調(diào)查,“GSM劫持+短信嗅探技術(shù)”浮出水面,,涉及到數(shù)億人安全漏洞暴露了出來,。
一、GSM劫持+短信嗅探技術(shù)是如何竊取錢財(cái)?shù)?
現(xiàn)在智能手機(jī)已經(jīng)非常普遍,,由于歷史原因,,手機(jī)有2G,、3G、4G網(wǎng)絡(luò),。
要想保證手機(jī)正常使用,,必須要有信號(hào),而這個(gè)信號(hào)就要靠遍布各地的基站來實(shí)現(xiàn),。我們?cè)谟檬謾C(jī)打電話,、發(fā)短信、上網(wǎng)時(shí),,手機(jī)必須要基站相連才可以保證信息傳輸,。一個(gè)基站可以服務(wù)一定數(shù)量的手機(jī),人員越稠密,,基站就越多,。
我們手機(jī)上傳輸?shù)男畔ⅲ紫纫ㄟ^基站,。
而騙子利用這個(gè)原理,,會(huì)購(gòu)買一些設(shè)備搭建“偽基站”,利用2G移動(dòng)通信的缺陷,,假裝正規(guī)基站與手機(jī)“強(qiáng)行發(fā)生關(guān)系”,,再冒充銀行、運(yùn)營(yíng)商給手機(jī)發(fā)送一些詐騙短信,,或者為一些公司發(fā)送垃圾推廣廣告,。
這里就涉及到2G技術(shù)的缺陷,GSM網(wǎng)絡(luò)只能基站鑒別手機(jī),,手機(jī)不能鑒別基站,,這樣偽基站就可以給手機(jī)發(fā)短信,而且還能獲取與基站通訊的手機(jī)信息,。
有了手機(jī)信息,,就可以同時(shí)收到你的驗(yàn)證碼,你需要短信驗(yàn)證的時(shí)候,,不僅你自己的手機(jī)受到了,,探測(cè)到你手機(jī)信號(hào),,復(fù)制你手機(jī)信息的人也收到了,。
本來,這只是個(gè)手機(jī)短信泄露的問題,。但是如今手機(jī)已經(jīng)和支付聯(lián)系在一起,。
很多網(wǎng)銀、支付工具,、申請(qǐng)貸款等操作,,都是通過手機(jī)驗(yàn)證碼來做最后認(rèn)證的,。
犯罪份子先拿你的手機(jī)號(hào),去各個(gè)網(wǎng)站找你的隱私信息,,你在各個(gè)網(wǎng)站,,各個(gè)APP留下姓名、地址,、電話,、身份證號(hào)就被拿下。
然后,,拿著這些信息,,在網(wǎng)銀、支付工具里面修改你的密碼,,你的錢就被轉(zhuǎn)走了,。
二、我們?nèi)绾尾拍鼙U腺Y金安全?
從這種犯罪的原理看,,利用的是GSM網(wǎng)絡(luò)的漏洞,。而我們并不一定要使用GSM網(wǎng)絡(luò)。
中國(guó)的三大運(yùn)營(yíng)商,,中國(guó)電信是不用GSM的,。只有中國(guó)移動(dòng)和中國(guó)聯(lián)通使用GSM。
而且中國(guó)移動(dòng)和中國(guó)聯(lián)通也不是一直使用GSM,,中國(guó)移動(dòng),、中國(guó)聯(lián)通日常使用的都是4G網(wǎng)絡(luò),只有在雙卡雙待手機(jī)(不能同時(shí)支持兩個(gè)4G)和4G信號(hào)不好的時(shí)候,,才可能使用2G的GSM信號(hào),。
其中,中國(guó)移動(dòng)因?yàn)樵谌珖?guó)大面積砍3G基站,,所以更危險(xiǎn)一些,,4G信號(hào)不好或者被干擾,會(huì)直接落回GSM信號(hào),。
4G信號(hào)和CDMA信號(hào)雖然也不是100%安全,,但是破解難度要比GSM大很多。所以,,斷掉GSM可以很大程度減少成為受害人的概率,。
所以,把涉及金融支付的卡換成電信卡,,或者把移動(dòng)卡,、聯(lián)通卡設(shè)為只用4G模式。
安全期間,,還可以把所有網(wǎng)絡(luò)認(rèn)證的電話專用,,這個(gè)電話號(hào)碼平時(shí)禁用,,僅僅在接受驗(yàn)證碼時(shí)開啟,聯(lián)入網(wǎng)絡(luò),,避免被偽基站嗅探到,。
三、運(yùn)營(yíng)商和銀行應(yīng)該行動(dòng)起來
GSM的漏洞不是新問題,,而是存在了幾十年的問題,,竊取個(gè)人短信意義不大,所以沒有流行開,。
但是最近幾年,,伴隨著移動(dòng)支付的發(fā)展,有了銀行快捷支付,,快捷支付只要銀行賬號(hào),、身份證、手機(jī)號(hào)就能開通,,而很多密碼更改的認(rèn)證方式就是手機(jī)驗(yàn)證碼,。
同時(shí),很多網(wǎng)站和APP,,要求用戶提供賬號(hào),,身份證號(hào),手機(jī)號(hào),。
于是,,能夠劫持手機(jī)短信,就可以登錄網(wǎng)站查看用戶的敏感信息,,有了敏感信息,,有了手機(jī)短信,就可以修改用戶的支付密碼,,用戶的錢就被偷走了,。
由于現(xiàn)在中國(guó)移動(dòng)和中國(guó)聯(lián)通的用戶眾多,這個(gè)問題涉及到數(shù)億人,,是一個(gè)非常嚴(yán)重的問題,。
個(gè)人能夠防范的只是少數(shù)人,運(yùn)營(yíng)商和銀行應(yīng)該行動(dòng)起來,,運(yùn)營(yíng)商應(yīng)該關(guān)閉GSM短信接口,,只通過3G、4G網(wǎng)絡(luò)發(fā)送短信,。減少出問題的概率,。
而支付類APP和銀行,應(yīng)該提高修改密碼的驗(yàn)證級(jí)別,,絕不允許僅靠一個(gè)驗(yàn)證碼就可以修改密碼,,而要通過指紋識(shí)別、人臉識(shí)別才能修改密碼,。
傳統(tǒng)上,,密碼是認(rèn)證重要一步,需要本人持身份證的到柜臺(tái)才能修改,。網(wǎng)絡(luò)時(shí)代不用本人,,也需要本人的生物識(shí)別才行。
僅僅靠短信驗(yàn)證碼就可以操作一切的做法必須立即停止,。