细思恐极!武汉女子银行卡深夜被盗刷5万元!作案新技术,警方紧急提醒!
犯罪团伙不碰你的手机
也能盗取你的银行密码
你什么都没做
没丢手机也没丢卡
没扫二维码也没点链接
一觉醒来
网银里的钱竟然不翼而飞?
https://v.qq.com/txp/iframe/player.html?vid=r0747za56i2&width=500&height=375&auto=0
案件回顾
1
7月28日,武汉徐东
女子8张卡中5万余元不翼而飞
7月28日早晨,家住武昌徐东的张女士醒来,她拿起手机,发现竟然有99条未读短信。经查看,这些短信有的是验证码,由翼支付、环迅支付、畅捷支付等平台发来;有的是扣款短信,涉及张女士在4家银行的8张银行卡,共产生了27笔交易。
此外,她的名下还莫名产生了一笔1万元的网络贷款,而且也被转走。初步统计,张女士一夜之间损失了5万多元。
图为:张女士收到的被盗刷信息
张女士来不及多想,逐一拨打银行客服和网贷平台的电话,挂失账号、反映问题,并向警方报案。期间,她的手机信号很不稳定,明显不如平时,通话中断了七八次。当晚,她无法入睡,一直看着手机,想不通到底发生了什么,生怕再收到提醒短信。
经过申诉,翼支付退还了张女士被盗刷的1000元;另一支付平台认定她当时的交易属于盗刷,赔付了3.4万元;一家互联网金融支付公司向她赔付了1万元贷款。
图为:警方缴获的作案设备
2
深夜收到100多条验证码短信
一夜之间一无所有
受害者的手机在半夜连续接到了100多条验证码,醒来发现自己支付宝等账号被盗,损失很惨重。
据广州警方通报,近期多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改。
该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来积蓄已飞走,只有手机里莫名其妙出现的验证码……
案件分析
1我们的手机是怎么被劫持的?
这种手法利用了一种新型技术
“GSM劫持+短信嗅探技术”
伪基站主要利用GSM通信网络,就是传统的2G信号中的漏洞,实现不接触你的手机就能获得你手机所接收到的验证短信。
如今不少网站都是使用手机验证码登录。
第一步:不法分子首先通过伪基站获取一定范围内潜在的手机号码。
第二步:再利用GSM嗅探技术,窥探用户短信中的验证码信息,以便完成密码重置、身份验证等步骤。
第三步:通讯网络是信号,通过接入点就可以劫持到这些信号。目前来说,劫持对象主要针对那些2G的GSM信号,有时不法分子也会干扰附近的手机信号,使之变为2G信号来窃取短信信息。
第四步:再通过登陆其他一些网站,从中碰撞你的身份信息,称为“撞库”。
第五步:将你的身份信息匹配出来,包括身份证、银行卡号等,继而在一些便捷支付平台开通账号并绑定事主的银行卡,冒充事主消费或套现。
2如何防范短信验证漏洞?
银行、支付宝等机构会选择使用短信验证码这个机制,而这个机制为什么不够安全,那么我们普通用户到底有什么能防范的呢?
但随着智能手机的普及,入侵手机窃取短信已经变得比较容易。比如,很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞,或者干脆本身就是恶意的,那你的短信也就危险了。
另外,对于用电脑访问的业务来说,短信验证码是相对独立的一个因子。但对在手机上访问的业务来说,短信验证码就没那么独立了。电脑沦陷后,短信可能还是安全的。但手机沦陷后,短信也很可能也会被攻击者拿到。
虽然目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过不安全的GSM网络在发送,而GSM是非常容易被监听的。
为了能在靠不住的信息系统里比较靠得住地进行一些重要操作,人们用了很多办法,其中一个叫“双因子验证”(Two-factor verification)。
比如你要用电脑进行网银转账。设计网银安全体系的人就要假设你的账号密码早晚会被坏人窃取。在这种情况下怎么防止坏人用你的账号密码登录你的网银呢?
大家比较熟悉的“U盾”就是一种解决办法。这个设备是独立于电脑而存在的。要在电脑上操作网银,把你账户里的钱转给别人,就需要把这个设备连在电脑上。坏人没有你的“U盾”,所以即使拿到了你的账户密码,也动不了你的钱。在这里,你的密码是一个验证因子,U盾是另一个验证因子。需要密码+U盾才能验证身份登录网银转账,这就是双因子验证。
网警提醒
此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子。好在此类技术在具体实践中受到硬件和原理的限制,暂时不能覆盖过多的手机号,所以受害人较少。
虽然这种手法难以防范,但是大家也不用太担心。
GSM协议的问题早已经被关注到,目前这方面的系统换代升级也在进行中。而验证码短信主要还是由于本身处于明文传递才导致泄露高风险。目前绝大多数支付类,银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制。
此外,如果单单泄露验证码,问题是不大的,绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。GSM劫持防不了,其他信息泄露还是可防的!
对于这种“黑科技”,
普通人必须注意这些!
1、禁止手机终端连接GSM网络,开通VoLTE,移动使用“仅4G”,联通使用“仅3/4G”模式。
2、科学设定密码。为避免一个平台被盗引起多个平台被盗的情况,不要使用自己的手机号、姓名全拼或首字母、生日缩写。重要密码不要与常用密码相同或者相关,需要定期更换。
3.平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。
4.睡觉前关机或者设置飞行模式,或者关闭手机的移动信号,这样能略微提高被嗅探的难度。
5.如果早上起来,看到半夜收到奇怪的验证码短信,要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,保留短信内容,报警。
6.如果突然发现手机信号变成2G,要立刻意识到自己可能正遭遇这种攻击,并采取以上方式防御!
此外
有些银行APP安全功能可以对此进行防备。
比如开启常用设备管理
设置夜间不可交易
▼▼▼
转发,
让更多人知道!
来源 | 楚天都市报、深圳网警
编辑 | 沈素芬
出品 | 荆楚网(湖北日报网)
更多精彩▼
中国多了个节日!省里发来慰问信!今天,这3位湖北人赴京领奖
惊呆!外卖小哥在电梯里大口偷吃还喝汤,吃完悄悄放回…监控曝光
办公室摆太师椅、铺老虎皮,非法牟利数百万……如今,这位“族长”栽了