在没丢手机、没丢卡,没乱扫二维码、没乱点链接的情况下,一觉醒来,钱就没了,甚至还可能背上了债。近期,全国多地接连发生银行卡被盗刷案件,一种利用伪基站、短信嗅探器等电子设备,在一定距离范围内“嗅探”受害者手机号、身份证号及银行卡等信息,然后在电商平台进行盗刷套现的新型犯罪行为引起警方的密切关注。专家表示,这是一种新型的黑产攻击手段,网上支付过于依赖“短信验证”存在重大安全隐患。
多地出现短信嗅探盗刷案
据新华网报道,深圳警方近日宣布,在经一个多月缜密侦查,辗转全国四省六市后,打掉一个全链条盗刷银行卡团伙,抓获10名犯罪嫌疑人,查缴伪基站等电子设备6套。
据警方介绍,该犯罪团伙分布在深圳龙岗、四川达州、湖北武汉等多地,分工明确,有操作伪基站、短信嗅探设备的技术员,还有专门洗钱的成员。在盗刷过程中,犯罪嫌疑人先利用受害者银行卡在各大电商平台购买充值油卡、充话费等,再交给洗钱成员进行销售提现。目前,该犯罪团伙在各地作案50余宗,涉案金额逾百万元。
据悉,这是目前全国同类案件中涉案人数最多、金额最大的一起。事实上,今年6月以来,广州、郑州、厦门等地警方也相继破获了同类案件。
6月,广州警方端掉一利用特种设备进行网络盗窃的犯罪团伙,抓获疑犯3人。该团伙作案16宗。团伙部分人员以无线电爱好者或电子通信设备“发烧友”为主,负责制造、销售该类特种设备,还有部分嫌疑人负责利用公民个人信息实现盗刷套现。
此外,郑州警方7月初抓获的万某,厦门警方8月初抓获的林某均是采取同样手法作案多起的犯罪嫌疑人。
新型“黑产”手段防不胜防
网友“独钓寒江雪”遭遇的账户盗刷事件近日被广泛传播,许多人由此第一次听说了“GSM劫持+短信嗅探”这种新型黑产手段。
专家分析,2G网络设计缺陷是产生新型案件的主要诱因,而移动应用过度依赖短信验证码安全机制和个人信息泄露严重的现状是造成此类案件频发的客观因素。
为了吸引用户和降低使用门槛,移动应用普遍在注册登录、找回密码等环节采用“手机号+短信验证码”安全机制。短信验证码以明文形式在通讯链路中传递,导致其容易被不法分子截获并利用。
在所发生的案件中,不法分子通过以下四个步骤实施盗窃:首先,不法分子将手机组装成便于携带的短信嗅探设备;紧接着,通过伪基站获取受害者的手机号码,利用短信嗅探设备获取验证码短信,登陆用户的支付应用界面;随后,通过各种渠道获取受害者身份证号码、银行卡号等信息;最后,暗中转移用户银行卡中的钱。
南京江宁警方表示,这种叫做“GSM劫持+短信嗅探”的黑产新招术,2016年以来逐步被运用到实际操作中。黑产综合利用了手机通信和快捷支付平台的既有漏洞,普通用户可以使用一些方法降低盗刷风险,但无法杜绝自己遭受攻击的可能。
打击黑产需多方协同
在被曝光的案例中,受害者的手机和银行卡并没有丢失,验证码短信也没有转发给他人,照理说,资金安全应该很有保障。黑产竟然能凭借“短信嗅探”,在不接触受害人的情况下,悄无声息地获知短信验证码内容,再绕过多个平台的防护机制去盗取钱财。这是让网友们感到最不安的地方。当前,使用短信验证码验证用户身份的技术,被广泛应用于各类移动应用和网站服务。专家表示,“短信验证码虽然方便高效、容易普及使用,但存在‘是否用户本人使用本人手机完成验证操作’这样的漏洞,给不法分子伪装受害者提供了机会。”
实际上,早在2018年2月11日,全国信息安全标准化技术委员会秘书处发布的相关文件就指出,由于GSM网络(2G网络)存在单向鉴权和短信内容无加密传输等局限性,且短信截获攻击呈现工具化和自动化趋势,“基于短信验证码实现身份验证的安全风险显著增加。”信息安全标准委建议各移动应用、网站服务提供商优化用户身份验证措施,选用一种或采用多种方式组合,比如通过短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式,加强安全性。
专家指出,连续发生的短信验证码攻击事件,是攻击工具产业化的标志。目前,手机短信验证仍是主要验证方式,加强防范,需要全社会形成联动,包括政府、公安、运营商、企业和个人都要开始共同协作,方能更有效地保护我们的信息安全。
验证码攻击
一位网友近日发帖称,早上醒来,发现手机接收到100多条验证码,支付宝余额、余额宝和关联银行卡的钱都被转走了,京东账户被开通金条、白条功能,借款并转走一万多元。同类案件近期已在多地出现。专家指出,连续发生的短信验证码攻击事件,是攻击工具产业化的标志。目前,手机短信验证仍是主要验证方式,应加强防范,不能任由黑科技攻击。漫画/郑怡