楚天都市報記者陳紅劉閃實習生黃月
在沒有受害人身份證、銀行卡的情況下,犯罪嫌疑人是如何利用短信嗅探技術實施盜刷的呢?
民警介紹,嫌疑人通過“GSM劫持+短信嗅探技術”,可實時獲取受害人的手機短信內容,進而利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷,實現信息竊取、資金盜刷和網絡犯罪等犯罪。
那么,如何防范這種新型犯罪?楚天都市報記者采訪了相關專家和業內人士。
案件揭秘
短信嗅探盜刷案大多發生在凌晨
國內網絡安全界知名的“黑客煉金術士”鄒曉東(Seeker)介紹,通常情況下,要想在沒有銀行卡、身份證的情況下實施盜刷,需要知道受害人的手機號、姓名、身份證號、銀行卡號和驗證碼。在目前的技術條件下,通過四步即可達到目的:
一,利用GSM技術的單向鑒權體系漏洞,通過偽基站自動搜索附近(一般是周邊幾百米內)的潛在手機號碼;二,通過查詢地下出售的個人隱私數據,或登錄第三方支付平臺、網上銀行等,碰撞查詢到目標手機號碼對應的身份證號碼、銀行卡號等;三,通過短信嗅探設備,嗅探目標手機號碼收到的驗證碼及運營商、銀行所發短信;四,在網上銀行或者移動支付平臺,通過驗證碼登錄、修改賬戶信息,進行賬戶支付、借貸等資金流轉操作,如綁定銀行卡、申請網絡貸款、打白條等,實施盜刷和信用卡犯罪等犯罪行為。
鄒曉東進一步解釋,這種犯罪手法主要針對2G手機的GSM信號,因此犯罪分子常常會干擾附近的基站通信,使手機信號從4G降級到2G,然后通過嗅探設備竊取手機短信等信息。由于嗅探設備只能嗅探但不能攔截短信,因此犯罪分子通常會選擇在深夜作案,這時受害人大多在酣然入睡,不會注意到短信異常。
專家建議
金融機構通訊及驗證系統應升級
盜刷案件的發生,與系統漏洞有著直接的關系。鄒曉東告訴記者,2011年,手機通信的GSM協議就遭到破解,有多種方式可以獲取用戶的短信驗證碼,只是這些技術一直沒有被犯罪分子所掌握。最近的案例表明,部分犯罪分子已經掌握其中一種技術。
鄒曉東認為,連續發生的短信驗證碼攻擊事件,可能是攻擊工具產業化的標志。利用手機短信驗證用戶身份,已無法保證用戶信息和資金安全,金融機構需要盡快改進,選擇安全性更高的身份認證方式。同時,用戶也不必過于擔心,因為使用偽基站和短信嗅探,必須接近受害人,而警方很容易利用監控錄像排查定位犯罪分子。隨著公安機關快速破案,這種犯罪會越來越少。
鄒曉東介紹,2016年6月,央行明確規定:各商業銀行、支付機構、卡清算機構,要加強對支付敏感信息的內控管理和安全防護工作;各商業銀行基于銀行卡與支付機構、商業機構建立關聯業務時,應嚴格采用多因素身份認證方式,直接鑒別客戶身份,并取得客戶授權;身份鑒別應使用數字證書、交易密碼、動態令牌設備等方式至少組合兩種認證;針對批量或高頻登錄等異常行為,應利用IP地址、終端設備標識信息、瀏覽器緩存信息等進行綜合識別,及時采取附加驗證、拒絕請求等手段。
如何防范
增加支付登錄關卡降低被盜風險
記者了解到,要滿足盜刷需要的所有條件,不是一件容易的事。深圳警方抓獲的一名犯罪嫌疑人供述,他一個晚上雖然能嗅探到很多手機短信、捕獲到很多手機號碼,但盜刷成功的并不多。原因是很多金融公司風控很嚴,即使盜刷,單筆金額也不大。
武漢極意網絡科技有限公司網絡工程師許偉告訴記者,黑色產業者的攻擊方式很多,但最終的關鍵還是要獲取受害人的身份證號、銀行卡號、手機號碼等。缺少其中一環,他們都不可能成功。
對于消費者來說,為了防止個人財產被盜,需要保護好敏感的私人信息。同時,微信、支付寶、京東等個人賬號,可以通過定期修改登錄密碼,或增加登錄和支付“關卡”來降低被盜風險。銀行、高校等單位,應該保護好消費者、學生群體的身份證、銀行卡等信息不被泄露,還要不斷完善平臺的風控體系建設,優化風控策略方案。只有安全意識增強了,犯罪分子鉆空子的機會才會越來越小。
許偉表示,目前傳統的驗證方式,有短信驗證、字符驗證等。短信驗證步驟繁雜,容易被盜取;而一些字符驗證碼越來越扭曲,體驗感差,也容易被一些圖像識別技術識別。驗證碼未來的發展趨勢,應該在充分保證安全性的基礎上,做到零打擾、無感化。
大額資金賬戶建議不要開通網銀
湖北銀行業糾紛調解中心主任宋心鵬介紹,利用短信嗅探獲取銀行客戶信息,進而盜取資金,在技術上有一定難度,在侵害對象上具有隨機性。目前,該中心尚未接到類似投訴舉報,但是中心已經關注到這類案件的動向。公眾對此既要高度警惕,又不必過于恐慌。
宋心鵬建議,用戶要加強防范意識,做到以下幾點:
一、保護好個人手機號、身份證號、銀行卡號、支付平臺賬號等私人敏感信息。
二、存有大額資金的個人銀行賬戶,建議不要開通網銀功能。網上支付賬戶應設置支付限額,支付密碼與取款密碼要有區別。
三、對不明來歷的短信、微信、驗證碼鏈接,不點、不收、不回復。對自行發起的轉賬和支付短信,一定要分辨清楚。
四、睡覺前,可將手機關機或設置為飛行模式,防止被短信嗅探設備探測。
五、如賬戶遭遇攻擊,應立即查看自己的銀行卡和支付應用,一旦確認資金被盜刷,要立即凍結相關賬戶并報警。
