什么都没干,钱就被转走了!《焦点访谈》曝光“短信嗅探技术”
前天,央视《焦点访谈》播出了一期节目,名字叫做《狡猾的“嗅探”》,曝光了一宗发生在海南省三亚市的离奇案件。
受害人宋女士,在没有对手机进行任何操作的情况下,银行卡内的5万元在几分钟之内被转走。
细思极恐!但这种犯罪手法,并不能算是新型手法,早在2018年就已经在国内多地发现,并已经被公安机关打击过。本号(终结诈骗)也在两年前亲临采访了犯罪嫌疑人,了解了详细的犯罪过程。
相关文章:豆瓣网友“独钓寒江雪”的案件破了!终结诈骗独家还原嗅探盗刷全过程!
有兴趣探寻技术细节的读者可以自行回顾一下。
我们先来看看三亚的案件。这宗案件严格意义来讲,并不属于“诈骗”,但由于涉及到黑产技术,也在我们的分析范围内。为了通俗易懂,我们给这种犯罪手法找到了以下几个关键词:
1
短信验证码
这种被命名为“短信嗅探”的技术,最关键的一个环节,就是我们在各类APP里,经常用到的“短信验证码”。
虽然绝大多数人都知道“验证码”不能轻易给人,然而这次的“验证码”不是被给出去的,而是被偷走的。
“短信验证码”,一直被行业内公认作为最便捷的鉴权或认证方式。而这种方式是建立在一个理念之上,那就是“只要手机号在你手里,我就认定你是机主”。因为大部分人都设置了手机的锁屏密码,就算是手机丢失或被盗,一般人也会马上挂失。所以,手机不在机主手里的情况比较少见。
正是基于这一理念的漏洞,才让犯罪分子有机可乘。因为在他们看来:手机号在你手里,无所谓,但“验证码”在我手里。
上面犯罪嫌疑人最后一句话,真是令人哭笑不得。
2
信号降级
尽管现在已经开始进入5G时代,4G/3G基本是手机运营商的标配,但是,在偏远地区或信号不好的区域,当手机搜寻不到高级别的网络信号时,会自动降级为2G模式。
犯罪分子也会利用信号干扰设备,使得一定范围内的手机信号,降级为2G模式(目前移动或联通存在此漏洞)。
2G(GSM)属于早期的手机信号模式,它与4G最大的区别在于2G使用单向鉴权。
举个简单的例子方便大家了解:
有人说:不许动,我是警察!
2G下的手机:好的,我服从。
4G下的手机:你怎么证明?把你的工作证先给我看看,我得继续核实你的身份才能听你的……
那么冒充警察的是谁?这里需要了解一下——伪基站。
如果不能让手机信号降级为2G,那么犯罪分子根本连一毛钱都无法拿走。
3
社工库
社工,在这里并不是指“社会工作者”,而是特指“社会工程”。这么高大上的名称,其实简单来说,就是指充分利用互联网上,通过黑客手段获取或者内鬼出售等各种渠道泄露出来的用户个人信息。
这就是所谓“社工库”的来源。只要我们在网上填写过个人信息,那么基本上在“社工库”里都可以找到。所以不用怀疑,离不开手机的我们,在网络上都是赤裸的。
犯罪分子拿到“验证码”后,不断进行“撞库”操作,试探哪些账号可以被登录。
如果没有社工库,犯罪分子拿到的“验证码”没有任何用处。
你会不会想,那我不用手机不就行了?看看前两天的一则新闻,一位没有手机的老人,因无法提供健康码,被拒绝乘车,只好徒步一千公里……
科学技术,本来就是一把双刃剑,在给人们的生活带来便利的同时,也带来了风险。
如果你不能做到睡觉关机或飞行模式,那么要记得在突然收到大量短信验证码时,立即关闭手机。
就算不巧真的遇到这种情况,也大可不必感到恐慌。因为:
01
犯罪分子必须与受害人保持较近距离才能实施犯罪,容易暴露行踪。
02
通信管理部门都在不断加强“伪基站”的实时监测和打击工作,在作案之前可能就被抓了。
03
银行部门和电商平台也在不断加强风控措施,根据用户习惯判断是否为风险操作,从而加以阻断。
04
运营商也在逐步完善高级别网络覆盖,逐步淘汰2G的手机信号服务,改为工业及物联网用途,此类案件会越来越少。
05
假如真的不巧遇到,及时报警!相信与犯罪分子不共戴天的警察叔叔,不会让他们逍遥法外……