查看原文
其他

梦中收短信醒来钱没了?短信嗅探盗刷来袭,运营商服务该升级了!

冯群星 李玲 隐私护卫队 2022-01-23

账户盗刷

这两天,网友“-美年达芬奇”遭遇的账户盗刷事件广泛传播,许多人第一次听说了“GSM劫持+短信嗅探”这种新型黑产手段。据隐私护卫队了解,黑产综合利用了手机通信和快捷支付平台的既有漏洞,普通用户可以使用一些方法降低盗刷风险,但无法杜绝自己遭受攻击的可能。漏洞的封堵,仍需倚仗运营商和金融机构等方面的安全升级。

事件回顾

根据“-美年达芬奇”的自述,盗刷从7月30日凌晨一点多开始出现,手机频繁地收到改密和支付验证码,但她在睡觉,对此并不知情。待她五点多醒来时,手机上多出100多条验证码短信,支付宝和银行卡里的钱已被转走。(详情可参考此前报道《睡梦中账户被盗刷,手机未曾离身!这种新型黑产任何人都可能碰上》)。


随后有警方科普,这是一种叫做“GSM劫持+短信嗅探”的黑产新招术,2016年以来逐步被运用到实际操作中。据媒体报道,广州警方7月底才刚刚破获一起同类案件,抓获疑犯3人,此前3人已作案16宗。


被曝光的案例中,受害者的手机和银行卡并没有丢失,验证码短信也没有转发给他人,照理说,资金安全应该很有保障。黑产竟然能凭借“短信嗅探”,在不接触受害人的情况下,悄无声息地获知短信验证码内容,再绕过多个平台的防护机制去盗取钱财。这是让网友们感到最不安的地方。

微博网友评论。

应对办法

1.夜间关机或者开启飞行模式?仍有风险

据隐私护卫队了解,一些网友提出的夜间关机/开启飞行模式的办法,并不是100%有效。


360无线电安全专家杨卿告诉隐私护卫队,关机/开启飞行模式能起到的作用是,防止攻击者获取目标用户的手机号。(获取手机号,是攻击者去各类平台进行密码找回、支付授权的前提。)


据“-美年达芬奇”自述,她的手机曾于凌晨往南京打过一个电话。杨卿说,这是因为攻击者进行GSM劫持时,只能看到目标手机的SIM卡识别码,看不到手机号。为了拿到手机号,攻击者需要操作目标手机,呼出一个电话到自己的手机上。关机/开启飞行模式,可避免攻击者实行这一操作。


不过,当攻击者发起攻击时,机主关机/开启飞行模式,只能避免其手机成为被嗅探的目标,某些情况下,攻击者依然能完成短信的劫持和嗅探。公安局江宁分局微博“江宁公安在线”解答网友疑问时就说,“GSM劫持+短信嗅探”目前基本没有办法防范,有的手机被劫持后,本身可能已无法收到短信(不管关机与否)。


换言之,关机/开启飞行模式状态下,攻击者依然有办法看到你的短信内容。中国电子技术标准化研究院信息安全研究中心专家刘硕介绍,目前手机所谓的“关机”不是真正关机,有人给手机发短信,基站就会有数据传输,攻击者还是能通过伪基站抓取这些短信。


江宁警方提醒,晚上关机/开启飞行模式,也可能导致其他诈骗风险的上升。比较稳妥的办法是关闭手机的移动信号,只使用家中或者办公室的WiFi,这样既能保持和大家的网络联系,也能略微提高被嗅探的难度。

2.开通VoLTE功能?对运营商服务有要求

值得注意的是,“GSM劫持+短信嗅探”能成功,与当前手机通信制式存在的缺陷有关。江宁警方在解释短信嗅探很难防范的原因时指出,不法分子钻了手机信号协议的空子,各大运营商和通信管理部门应尽快采取有效技术手段解决此问题。


据了解,GSM全名为全球移动通信系统,俗称2G。虽然现在3G/4G已经普及(5G都已经呼之欲出了),但国内运营商提供的3G/4G服务通常只是给用户传输网络数据用的,打电话、发短信这些基础功能还是走2G通道。


而2G通道的若干特性,导致它的安全风险更高。其一,2G通信有一种加密算法,运营商为了保证通话性能,没有启用这种加密,也就是说,人们日常收发短信全都是明文传输,短信内容很容易被攻击者获知。


其二,2G通信中,负责处理信号的基站能验证手机的真伪,手机却无法验证基站的真伪。攻击者往往利用这一原理,在某个区域设置信号更强的伪基站,让附近的手机优先选择伪基站进行通信,进而实现短信嗅探。


考虑到2G传输的上述现状,网络安全专家“杨卿-Ir0nSmith ”与“tombkeeper”都在公开平台撰文建议,用户可以尝试开通VoLTE功能,让短信也通过3G/4G通道传输,提高短信被窃取的难度。

三大运营商VoLTE开通方式。图自 tombkeeper 微博。


但这种办法也不是对所有人都适用,因为开通VoLTE功能既需要用户手机本身硬件的支持,又需要运营商在该地区有VoLTE网络的覆盖。隐私护卫队梳理三大运营商公开资料发现,中国移动目前在22个省份/直辖市全部覆盖,在7个省份部分覆盖。中国电信在今年4月开放了10个省份/直辖市的覆盖。中国联通开通试点的消息虽然有公开报道,但客服告诉隐私护卫队,VoLTE网络还在测试阶段,开通了也无法保障效果,比如北京联通客户就无法使用。


中国移动VoLTE覆盖区域。图自中国移动官网。


另外一个棘手的地方在于,攻击者还有可能通过信号干扰的办法,把你的手机通信强制“驱赶”回2G状态。“当3G和4G信号较弱时,手机为了保证通话优先,会主动降级到2G。所以攻击者在设立伪基站时,还会干扰3G和4G信号。”刘硕说。他认为,要让短信嗅探的问题得到实质性解决,还是需要运营商升级硬件设备,并开启算法加密。


隐私护卫队注意到,今年4月,中国联通确认正在清退2G网络,并表态将协助现有2G用户升级到4G。中国移动则一直没有类似的举措,有人分析是中国移动的2G用户体量过于庞大,在一些偏远地区使用率很高,不能贸然进行清退。盗刷事件出现后,也有微博网友@三大运营商,要求其提供更好的解决方案。

江宁警方微博下的最高赞评论。图自微博。


3.排查支付类APP安全隐患,开启多因子验证

需要提醒大家的是,“GSM劫持+短信嗅探”虽然厉害,还需配合用户的个人信息才能完成盗刷。


支付宝在回溯“-美年达芬奇”被盗刷的经历时就表示,保险公司最初拒绝了“-美年达芬奇”的理赔申请,是因为所有涉及到用户名下银行卡号、身份证号、手机号甚至是实时验证码的验证均是一次性操作,看起来极像是本人或身边人操作。

支付宝调查小组复原了“-美年达芬奇”支付宝账户的状态,发现所有的验证手段均是一次性成功通过。图自支付宝知乎。


江宁警方提醒,绝大多数中招用户是因为同时泄露了身份证号等其他重要身份信息。所以在日常生活中,保护好自己的个人信息也很重要。


此外,在这批盗刷案件中,银行、支付、电商类APP的漏洞也暴露出来。过去,人们通过电脑登录网上银行,一般需要U盾和密码才能完成支付,这就是一种“双因子验证”。而在移动支付场景下,“手机号+短信验证码”日渐普及,初衷是为了方便用户,却在黑产的威胁下出现新的安全隐患。


“很多互联网平台会最大程度地信任2G网络传递的信息,认为短信验证码只可能由用户自己的手机接收并看到。所以这些互联网平台在验证操作者身份时,都通过验证码正确与否来鉴别。然而在现在的网络攻防技术博弈之下,用综观视角去审视,这种做法是不够严谨的,需要优化改进。”杨卿说。


要解决这一问题,主要还是得靠APP背后的企业或机构进行安全升级。在有条件的APP内,用户最好开通图片、语音、人脸、指纹等多种验证方式,防止不法分子仅凭密码就完成盗刷。江宁警方呼吁,一些安全机制不完善的银行和金融类APP,可以考虑采用其他双向验证辅助手段,提高安全效率。

“-美年达芬奇”提供的支付宝账户异常消费截图。

支付宝称,第一笔900多元的消费出现后,系统要求操作者进行人脸校验以完成第二笔消费,操作者校验失败。


那么,除了被动地静待APP更新,普通人能做点什么吗?也是有的。看雪学院技术人员建议,不要在电商及网银业务的关联银行卡存放大量金额,有必备金额即可,这样可以避免黑客攻击造成的重大财物损失。用户最好关闭手机的短信云备份功能,也不要安装来路不明的APP。


此外,隐私护卫队注意到,目前一些平台已经推出了“账户安全险”,用户遭受损失时可获得全额赔付,价格也不贵。购买这样的保险,用户也多了一层保障。


报料请点击 

推荐阅读:

暑假让孩子科学上网?南都发起“万人调查”:六成家长没把握

工信部整治电信诈骗成绩单: “400”涉案号码月均降到个位数

睡梦中账户被盗刷,手机未曾离身!这种新型黑产任何人都可能碰上

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存