查看原文
其他

一夜之间倾家荡产!面对疯狂的通信劫案,我们如何保护自己?

2016-04-14 谈主 科技杂谈

【摘要】最重要的,还是我们自己懂得如何保护自己。如果自己把钥匙交给骗子,谁来都救不了。




| 科 | 技 | 杂 | 谈 |

中国通信行业第一自媒体



本文作者:谈主

杂谈投稿邮箱:631255063@qq.com


这几天,一起通信诈骗案再次刷爆网络。


害者称,由于一条短信,他支付宝、银行卡及百度钱包内的所以资金,都被骗子全部洗劫一空。(详见:http://www.7huoxing.com/?p=25703)


一夜之间,倾家荡产!


【黑客是如何实现疯狂洗劫的?】


经过运营商核查,黑客攻破用户手机的关键过程,昨天终于水落石出。




就此,黑客实现洗劫的整个过程全部浮出:


1、黑客以其他手段获得了受害者登陆网上营业厅的"网站密码";




2、黑客通过网上营业厅,为受害者订制增值业务,让受害者产生突然收到订制提示的恐慌;




3、黑客通过网上营业厅,为受害者申请4G自助换卡;




4、接到申请后,系统向受害者下发换卡二次确认验证码(6位USIM验证码);




5、黑客利用139邮箱的短信功能伪装,向受害者骗取验证码;


6、受害者被黑客迷惑,试图退订增值业务,按照黑客指示将验证码发给了黑客;




7、黑客远程完成关键的换卡,导致受害者原手机进入"瘫痪"状态,并将受害者的USIM卡替换到了自己手机上;


什么是USIM卡?USIM是Universal Subscriber Identity Module(全球用户识别卡)的缩写。它是运营商发给用户,放置在手机里的芯片,最重要的作用是让运营商识别用户身份。简单来说,它就是用户在运营商网络里的"身份证"。


这就相当于,黑客冒弃受害者报案,说我身份证掉了,然后骗受害者给公安开具证明,最后把受害者的身份证拿走了。


8、黑客利用手机号登陆受害者支付宝,通过找回密码功能,获得了受害者的邮箱地址。


9、黑客利用手机号,重置了受害者的邮箱密码;


10、黑客登陆受害者的邮箱,下载数字证书,并重置了受害者的支付宝密码;




11、黑客将受害者的支付宝资金进行转移,并通过支付宝关联,洗劫了受害者的银行资金;




12、黑客通过手机登陆百度钱包,完成绑定并进行洗劫。



13、洗劫结束后,黑客卸载数字证书,丢弃USIM卡,完成撤离。


显然,这是一个对电信运营商、支付宝、银行的业务都极为稔熟,对用户心理把握也非常到位的高智商犯罪。


【那么,受害者犯了哪些致命错误?】


1、可能网上营业厅密码设置得过于简单,黑客通过暴力破解,或是没有做好安全防护,被黑客以网络嗅探、木马等手段获得密码。


2、在不了解验证码用途的情况下,直接将验证码发送给其他人。


3、从18点左右发出验证码,到当晚20点后黑客开始转移资金,在手机通讯出现异常的2个小时内,没有从安全角度有任何的警觉,未进行任何检查或补救。


我们应该得到什么教训?】


互联网充满了木马、病毒和钓鱼网站,只靠一个固定的密码,无法保证安全。


所以,当前几乎所有的网站,在进行更改密码、交易、转账等重要操作时,都会通过静态密钥(用户自己设定的密码)+动态密钥(实时的随机验证码)的方式,来实现对用户身份的交叉验证。而手机短信,正是最普遍、最主要的动态密钥方式。


简单来说,每次用户有重要的交易,都需要开锁。用户自己设的密码是一把钥匙,系统会通过手机短信,再临时给用户随机发一把钥匙。只有同时插入两把正确的钥匙,锁才打得开。


然而,为了方便用户在遗忘密码时找回密码,大多数网站也都允许用户通过手机找回密码。甚至各家金融机构,只要通过注册手机验证码确认,也都会开放各种密码修改和转账权限。


这意味着,手机号码已经成为我们在互联网上最重要的"身份证"和电子保险箱。如果黑客和骗子将它劫持,就可以轻松配齐另一把钥匙,而我们就可能像这个案件受害者一样,被人洗劫一空。


当然,手机我们一般都是贴身携带,所以以前黑客没有做到这一点。


但现在,这个案件为我们敲响了警钟!如果我们不注意安全,很可能连手机号码,也会被人悄然顶替。


所以,我们需要对新的通信诈骗提高警惕!提高警惕!再提高警惕!


如果你上当,不再是丢失个人隐私或是骗点小钱,而是有可能一辈子积蓄瞬间消失,倾家荡产!


那么,我们应该如何防范】


1、密码一定要足够复杂,并妥善保管。


2、当前,伪基站、木马、IP电话、黑客有太多的手段来对短信和电话进行伪装,以此对用户进行误导、恐吓或诱导。所以不要轻信"运营商"、"银行"、"公安"、"税务"等身份的手机短信和来电。


3、短信验证码不要发给别人!短信验证码不要发给别人!短信验证码不要发给别人!所有通过短信向你索要验证码的信息,都是骗子!重要的事情一定要说三遍!


4、类似的另一种换卡的骗局,是要求你向运营商回复一个HK开头的短信。这样要求你发送你不熟悉指令给运营商的短信,也一定不能信,不能照做!




5、如果手机通讯出现问题,一定要马上查清原因!如果出现问题,立刻想办法补救(挂失手机,冻结支付宝与银行卡,提醒亲友注意等等)因为无论是黑客洗劫你的财产,还是骗子准备欺骗你的亲戚朋友,都会对你进行"通讯隔离",顶替你的身份,这是他们犯罪行动中,最关键的一环!


6、对自己的银行、支付宝及网络资产做好管理,确保部分资金不要与手机和网银关联。在最坏的可能下,这是降低损失的有效办法了。


7、最好准备两部手机,两个号码,这样如果一部手机遗失或遭窃,也能及时补救,这也能减低你被骗子"通讯隔离"的可能。


8、如果,真的被手机木马强行订制、恶意扣费了,怎么办?不要着急退订,可以先到运营商营业厅查清楚,如果真的被强行订制和恶意扣费了,截图保留好证据,打10086(移动)、10010(联通)、10000(电信)投诉。如果运营商拖延不给解决,就打12321投诉。绝对有着落!


【对于运营商和银行的责任】


这个案件的受害者质问中国移动,很多人也都在指责运营商和银行,那么,它们对案件负有责任吗?


就本案而言,他们没有责任。


这是因为,在运营商和银行的系统里,他们都是按照正常的业务流程在办理业务,而网上营业厅密码是用户自己泄露或黑客以其他手段获取的;最关键的换卡验证码,也是用户自己发给黑客的。


但是,从更多用户的利益来讲,运营商和银行的业务流程都存在隐患,需要尽快完善:


1、就运营商来说,本案已暴露了两个重大的业务隐患:


(1)用户换卡流程问题。


远程换卡(其中还包括网选短写、快速换卡、在线申请4G换卡等)业务的设计初衷,是为了方便用户。但实际的情况是,由于SIM白卡(指空白的用于写入用户身份信息的SIM卡)的流出,黑客可以通过骗局手段,顶替用户更换SIM卡,进而对用户实施洗劫。在此过程中,远种换卡如何加强安全?SIM白卡如何管理,都需要重新考虑。


(2)用户提醒问题。


显然,中移动在设计换卡业务时,并没有考虑到黑客借机行骗的可能,所以这个极为重要的业务,给用户下发的短信中,并没有任何的风险提示。




如果,其中有对验证码用途、可能风险,以及用户安全建议的提示,虽然不一定能阻止所有的人,但至少会有大半的人,都有可能在最后一刻,停住迈向深渊的脚步。


在此,我呼吁,运营商对用户发送的各种短信验证码,都应该明确告知用户验证码用途、风险,使用方式,以及不能告诉任何人的安全建议!


(3)值得注意的是,以上问题都并不是单一业务产生的问题。


事实上,黑客是利用了破解营业厅密码+申请远程补卡+骗取用户验证码,这样多业务叠加方式实现的犯罪。


我们可以肯定的是,黑客、骗子或其他的犯罪者,永远比普通用户,甚至比一些行业专家,都更熟悉系统的业务规则与技术漏洞。因为他们一直试图从中的疏漏,并籍此获取黑色利益。


运营商的目的是建设,而他们的目的是破坏与渗透。


事实上,在中国,运营商和银行的系统,已经处于最安全的行列,但在系统复杂到一定程度之后,多个业务、多个架构、多个流程的叠加,所产生的问题,依然防不胜防。


尤其是像中移动的专家宁宇所说,在运营商内部,还存在一些用户并不常用的冷门业务,虽然带来的收益并不大,但是依然能在系统中运行--比如通过短信指令远程换卡就是其中之一。


在这方面,运营商与犯罪者之间,会一直处于魔道斗法的常态,在新的骗局出现后,运营商也应及时研究,并在系统架构、业务流程和技术各个环节打好补丁,避免更多的用户成为受害者。


2、对于银行和其他网站来说,最大的问题在于安全责任。


本案暴露出来的一个重要问题是,运营商短信验证这个"电子保险箱",已经不能百分百保证用户安全了。


事实上,在当前手机发烧友只顾体验不计安全,导致root安卓和越狱苹果遍地裸奔的现状下,黑客还有除了伪基站、SIM卡、钓鱼短信、手机木马等太多的方式黑掉一部手机,而当新的eSIM国际规范施行后,手机的安全性还将进一步降低。


所以,过去银行、网站将安全验证全部推给用户和手机短信的做法,已经越来越危险。他们迫切需要找到能够远程验证用户身份的新手段。


不然,纵然运营商百般防范,类似的受害者依然会如雨后春笋,不断出现。


【最后说一下关于公安部门】


我有两个朋友。在通信诈骗问题上,他们的观点完全对立。


其中一位朋友,是20年的老公安。虽然现在已经离开公安系统,进了一个家电公司,但每年开两会,他都至少有一个铁打不动的提案,是在死磕电信诈骗。


他一直认为,运营商的管理漏洞和技术缺陷,是通信诈骗猖獗的核心原因之一。他认为,用户被骗之后,一定要将电信运营商告上法庭,才能倒逼其"阻断诈骗源头"。


另一位朋友,也已经在运营商呆了20多年,是通信网络方面的专家。在他看来,通信诈骗屡禁不绝的原因,是公安部门查案不力。


"如果公安不严力清查,只靠运营商防范,又能防范多少?"这位朋友认为,现在部分基层公安对相关案件不重视,甚至"能不立案就不立案"的心态,降低了犯罪分子的作恶成本。


他们的心态,并非个案,而是很多通信系统和公安系统从业者的共同心态。


他们到底谁对,谁错?


在我看来,都对,也都错。


现实的情况,是大家都看到了对方的问题,看到了自己的努力,却都没有看到对方的作为与苦衷。


每年,从工信部到三大运营商,一个极为重要的工作,都是严打通信欺诈。


但中国手机用户已达12.9亿,在这样的数量级,任何内部管理、业务流程、系统结构或是技术上的疏漏,都会被放大到一个可怕程度。而且,通信技术非常复杂,新技术新业务新漏洞层出不穷,有的从技术上很难全面彻底防范。


而在通信诈骗问题上,无论工信部还是运营商,都有一个最大的问题,就是没有执法权,所以面对各种诈骗,只能防守,却很难遏制甚至惩治作恶者。


而公安系统普遍面临的问题是,通信诈骗多是异地甚至跨境的集团作案。每起案件涉及的通信账号、银行账号、银行卡都数量巨大,涉及地区广,涉及机构多,导致办案手续复杂,办案周期长,办案成本高,侦查工作艰巨,取证难度大,难以形成完整证据链,抓捕难度大。


同时,我国法律对通信诈骗缺乏专门规定,只能参照普通诈骗犯罪的《刑法》条文定罪及处罚,一些地方的检察、法院对电信诈骗犯罪认识不一,同一犯罪事实不同罪名处理,很多案件无法认定,严重影响打击效果。


这就导致很多人的不理解,比如这一次的受害者:





甚至,有基层公安对通信诈骗案件态度纠结,毕竟,人家每年工作的一项重要KPI是"破案率"。所以,你懂的……


所以,中国对通信诈骗的治理,越来越转向多部门联合打击。


比如,2015年6月,国务院就批准建立了由公安部、工信部、中宣部、中国人民银行、银监会等23个部门和单位组成的打击治理电信网络新型违法犯罪工作部际联席会议制度,加强对全国打击治理工作的组织领导和统筹协调,并于同年11月1日起在全国范围内组织开展打击治理电信网络新型违法犯罪专项行动。


截至今年2月,共破获通讯信息诈骗案件2.7万起,抓获犯罪嫌疑人9432名,为群众挽回直接经济损失1.6亿元。这一专项行动将延长至今年年底。


不过,不论他们力度多大,最重要的,还是我们自己懂得如何保护自己。如果自己把钥匙交给骗子,谁来都救不了。


在2015年,2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元。


你想成为这59万分之一吗?


科技杂谈已经开通文章评论

点击下方“评论”表达我的态度


【昨日文章索引】

点击下方 【阅读原文】加入 “科技杂谈菁英会”。



2013年度最佳IT原创自媒体

2014年度最佳新媒体人

2014年度最受企业关注自媒体

国资委微公益行动联合发起人


| 新科技 | 睿思想 |

已入驻百度百家、腾讯新闻、搜狐新闻、今日头条、网易阅读

一点资讯、互联网实验室

犀牛财经自媒体联盟(xinews)成员


转载授权、商务合作,联系微信号:sophie0306



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存