楚天都市報記者陳紅劉閃實習生黃月
在沒有受害人身份證�、銀行卡的情況下,犯罪嫌疑人是如何利用短信嗅探技術實施盜刷的呢�?
民警介紹,嫌疑人通過“GSM劫持+短信嗅探技術”����,可實時獲取受害人的手機短信內(nèi)容,進而利用各大知名銀行����、網(wǎng)站、移動支付APP存在的技術漏洞和缺陷���,實現(xiàn)信息竊取�、資金盜刷和網(wǎng)絡犯罪等犯罪。
那么����,如何防范這種新型犯罪?楚天都市報記者采訪了相關專家和業(yè)內(nèi)人士�����。
案件揭秘
短信嗅探盜刷案大多發(fā)生在凌晨
國內(nèi)網(wǎng)絡安全界知名的“黑客煉金術士”鄒曉東(Seeker)介紹���,通常情況下����,要想在沒有銀行卡���、身份證的情況下實施盜刷,需要知道受害人的手機號���、姓名�、身份證號�、銀行卡號和驗證碼�����。在目前的技術條件下�,通過四步即可達到目的:
一��,利用GSM技術的單向鑒權(quán)體系漏洞����,通過偽基站自動搜索附近(一般是周邊幾百米內(nèi))的潛在手機號碼;二�,通過查詢地下出售的個人隱私數(shù)據(jù),或登錄第三方支付平臺����、網(wǎng)上銀行等,碰撞查詢到目標手機號碼對應的身份證號碼��、銀行卡號等�;三,通過短信嗅探設備����,嗅探目標手機號碼收到的驗證碼及運營商、銀行所發(fā)短信�����;四,在網(wǎng)上銀行或者移動支付平臺�,通過驗證碼登錄、修改賬戶信息���,進行賬戶支付���、借貸等資金流轉(zhuǎn)操作,如綁定銀行卡����、申請網(wǎng)絡貸款、打白條等���,實施盜刷和信用卡犯罪等犯罪行為�。
鄒曉東進一步解釋����,這種犯罪手法主要針對2G手機的GSM信號,因此犯罪分子常常會干擾附近的基站通信���,使手機信號從4G降級到2G��,然后通過嗅探設備竊取手機短信等信息��。由于嗅探設備只能嗅探但不能攔截短信��,因此犯罪分子通常會選擇在深夜作案���,這時受害人大多在酣然入睡,不會注意到短信異常�。
專家建議
金融機構(gòu)通訊及驗證系統(tǒng)應升級
盜刷案件的發(fā)生,與系統(tǒng)漏洞有著直接的關系���。鄒曉東告訴記者���,2011年,手機通信的GSM協(xié)議就遭到破解�����,有多種方式可以獲取用戶的短信驗證碼���,只是這些技術一直沒有被犯罪分子所掌握����。最近的案例表明,部分犯罪分子已經(jīng)掌握其中一種技術�����。
鄒曉東認為�����,連續(xù)發(fā)生的短信驗證碼攻擊事件���,可能是攻擊工具產(chǎn)業(yè)化的標志�。利用手機短信驗證用戶身份�����,已無法保證用戶信息和資金安全��,金融機構(gòu)需要盡快改進����,選擇安全性更高的身份認證方式。同時����,用戶也不必過于擔心���,因為使用偽基站和短信嗅探���,必須接近受害人����,而警方很容易利用監(jiān)控錄像排查定位犯罪分子����。隨著公安機關快速破案,這種犯罪會越來越少���。
鄒曉東介紹����,2016年6月��,央行明確規(guī)定:各商業(yè)銀行�����、支付機構(gòu)、卡清算機構(gòu)��,要加強對支付敏感信息的內(nèi)控管理和安全防護工作����;各商業(yè)銀行基于銀行卡與支付機構(gòu)、商業(yè)機構(gòu)建立關聯(lián)業(yè)務時����,應嚴格采用多因素身份認證方式,直接鑒別客戶身份�,并取得客戶授權(quán);身份鑒別應使用數(shù)字證書�、交易密碼、動態(tài)令牌設備等方式至少組合兩種認證�����;針對批量或高頻登錄等異常行為��,應利用IP地址�����、終端設備標識信息���、瀏覽器緩存信息等進行綜合識別��,及時采取附加驗證��、拒絕請求等手段�。
如何防范
增加支付登錄關卡降低被盜風險
記者了解到,要滿足盜刷需要的所有條件��,不是一件容易的事�。深圳警方抓獲的一名犯罪嫌疑人供述�����,他一個晚上雖然能嗅探到很多手機短信��、捕獲到很多手機號碼�,但盜刷成功的并不多。原因是很多金融公司風控很嚴���,即使盜刷���,單筆金額也不大。
武漢極意網(wǎng)絡科技有限公司網(wǎng)絡工程師許偉告訴記者�����,黑色產(chǎn)業(yè)者的攻擊方式很多,但最終的關鍵還是要獲取受害人的身份證號�����、銀行卡號����、手機號碼等。缺少其中一環(huán)�����,他們都不可能成功���。
對于消費者來說�����,為了防止個人財產(chǎn)被盜���,需要保護好敏感的私人信息。同時��,微信、支付寶����、京東等個人賬號,可以通過定期修改登錄密碼����,或增加登錄和支付“關卡”來降低被盜風險。銀行��、高校等單位�,應該保護好消費者�����、學生群體的身份證��、銀行卡等信息不被泄露�,還要不斷完善平臺的風控體系建設,優(yōu)化風控策略方案�����。只有安全意識增強了�����,犯罪分子鉆空子的機會才會越來越小。
許偉表示�,目前傳統(tǒng)的驗證方式,有短信驗證����、字符驗證等。短信驗證步驟繁雜�,容易被盜取����;而一些字符驗證碼越來越扭曲,體驗感差����,也容易被一些圖像識別技術識別。驗證碼未來的發(fā)展趨勢��,應該在充分保證安全性的基礎上�,做到零打擾、無感化�����。
大額資金賬戶建議不要開通網(wǎng)銀
湖北銀行業(yè)糾紛調(diào)解中心主任宋心鵬介紹,利用短信嗅探獲取銀行客戶信息���,進而盜取資金����,在技術上有一定難度�����,在侵害對象上具有隨機性���。目前���,該中心尚未接到類似投訴舉報�,但是中心已經(jīng)關注到這類案件的動向。公眾對此既要高度警惕�����,又不必過于恐慌���。
宋心鵬建議�,用戶要加強防范意識,做到以下幾點:
一����、保護好個人手機號、身份證號����、銀行卡號、支付平臺賬號等私人敏感信息�。
二、存有大額資金的個人銀行賬戶����,建議不要開通網(wǎng)銀功能。網(wǎng)上支付賬戶應設置支付限額��,支付密碼與取款密碼要有區(qū)別����。
三、對不明來歷的短信��、微信���、驗證碼鏈接�����,不點�����、不收����、不回復。對自行發(fā)起的轉(zhuǎn)賬和支付短信��,一定要分辨清楚�����。
四���、睡覺前,可將手機關機或設置為飛行模式��,防止被短信嗅探設備探測���。
五�、如賬戶遭遇攻擊,應立即查看自己的銀行卡和支付應用���,一旦確認資金被盜刷�����,要立即凍結(jié)相關賬戶并報警�。
