短信验证码又被劫持,我们的账户到底还安不安全?
点击上方蓝字关注数据玩家
最近又出了一起短信嗅探的案件,详情可见:
《什么都没干,钱就被转走了!《焦点访谈》曝光“短信嗅探技术”》
其实18年就出现了类似的案件,上文也有提及。整个作案过程,简单来说分为三阶段:
阶段一:短信嗅探。
通过简易组装的设备,干扰附近的手机信号,使其信号降级为2G,在此模式下,可以通过短信嗅探将手机短信劫持,但是要求手机不能移动。
听起来很吓人,但是光拿到你的验证码并没有什么用,还需要其他信息才能完成套利。
阶段二:信息盗取。
要想获利,一般需要手机号,姓名,身份证,银行卡号等四要素信息。获取这些信息又有几种方式,理想状况是通过已有社工库寻找附近手机号的已泄露的信息,也就是说,附近抓到的手机号,以前已经在历次数据泄露事件中被泄露过了,可能包含姓名,手机号,邮箱,密码等,再通过邮箱和密码获取更多的信息,这个过程也可以叫做社工。当然,一般情况下,不会这么理想,只能通过短信验证码,不断地尝试获取其他信息,如忘记密码/重置密码,忘记卡号等等。
上面讲了这么多社工,其实都是指“社会工程学”这个词本来是美国顶尖白帽提出来的,指的是通过欺骗手段套取被害人主动提供敏感信息。发展到今天,通常意义上的电信诈骗和各类欺诈都可以归为此类。
阶段三:套现获利。
这年头,没人直接转账了,转了账就有目标账户,不管转几次,在银行系统内都可以追踪,而且总要取现,根据取现ATM地址顺藤摸瓜就会找到黑产的地址,然后人赃并获。现在通过虚拟商品变现的模式是主流,各种羊毛平台上买家卖家自由交易,各种黄牛负责收集和分发,这些虚拟物品来无影去无踪,可能最后充到千里之外的N个手机号或者视频会员上,难以追查。
先重置一下支付密码,购买各类虚拟商品套现,如手机充值、游戏点卡、各类视频会员,统一渠道半夜购买这类商品,肯定会被风控,因此黑产会从多渠道下单。
有人说,我卡里没钱啊,怎么购物,你借记卡没钱,信用卡总可以吧,支付密码都改了,想买什么买什么。
来源:深圳市反电信网络诈骗中心公众号
信用卡高频小额交易会触发银行风控,不着急,还有花呗呢,花呗用完了还有借呗呢,借呗也用完了,还有微粒贷。
持牌机构的借完了,还可以去借各种小贷,通过姓名身份证,用黑产工具可以获取到身份证照片,这些小贷通常贷前风控很弱,用PS的照片或者直接把身份证照片抠出来就能过人脸,还别说有的平台不用人脸。
FaceApp大家都玩了吗,换脸技术已经炉火纯青
网络借贷的便利,给了黑产更大的利润空间,那么我们如何防范呢?
如何防范?
先来说说金融机构们应该如何防范。有的银行借记卡做了一些安全功能,比如【夜间锁】、【异地锁】,在夜间或者异地是没法动账的,建议各家银行抄作业,特别建议各家银行的信用卡抄作业。
另外,整个安全体系需要动态立体的防护,任何一个安全工具都有可能被攻破的情况,因此,在一个完整的交易链路中,不允许一个客户只经过单一要素安全工具就能动账,比如从登录到查询到转账,全部只要几个手机验证码就搞定了。当然,可以根据手机客户端的特征来判断,一个常规登录的低风险设备和用户,并不需要用高安全级别的工具,只有当用户账户特征发生变化的时候,才需要启用高安全级别的工具,并且都要求双因素认证。
动态安全策略体系示例
再来看看做为个人用户应该怎么防范,前面提到,嗅探是技术上关键的一阶段,但是成功率最低的是社工这一阶段,就是要能够获取你的四要素信息,飞行模式睡觉可以帮你杜绝第一步,但是总有忘记的时候,而且开了飞行模式,真有急事可能还是会影响正常生活。
我们看看怎么防住第二步,各类限额注意控制,各类的验证手段能选的不要单选短信验证码,选短信验证码+另一个验证手段的双因素验证手段,各类支付工具里不要绑过多的卡,一张主力信用卡,1-2张借记卡即可。
另外就是注意个人信息的保护了,这些在之前的隐私系列里有比较详细的论述,感兴趣的朋友可以看历史文章。总的来说,不必太慌张,但是一定要重视。
相关阅读