緊急安全提醒:惡性盜刷就在你我身邊 偽基站升級簡訊嗅探劫持簡訊驗證碼
日前豆瓣網友獨釣寒江雪遭遇讓人恐懼的銀行卡盜刷案,該網友在清晨五點的睡夢中被數百條的驗證碼驚醒。
數百條簡訊驗證里包括螞蟻金服的支付寶和京東旗下京東金融以及各個銀行的等然後各個賬戶餘額遭到洗劫。
令人失望的是該網友開通的支付寶賬戶保險遭到拒賠,京東金融未經驗證的情況下被開通京東金條借貸服務。
先說支付寶的情況:
該網友支付寶的問題主要是通過簡訊驗證碼重置登錄密碼和支付密碼,然後攻擊者即可隨意進行支付和轉賬。
通過支付寶綁定的各種儲蓄卡直接將所有賬戶餘額轉出,通過綁定的信用卡購買虛擬產品進行套現操作等等。
遺憾的是儘管在已開通支付寶安全險的情況下出現盜刷,但支付寶稱保險公司不認可盜刷情況所以直接拒賠。
京東未經驗證開通高額借貸:
攻擊者通過重置京東賬號密碼順利登陸京東金融賬號,然後再開通京東白條和京東金條等借貸服務進行洗劫。
按相關監管要求開通此類服務需要用戶上傳身份證等信息,關於這點京東金融的官方客服同樣是這麼回答的。
然而實際情況是攻擊者只是通過簡訊驗證碼即開通借貸,未能確定是用戶本人的情況下審核通過並放出貸款。
最後對於該網友的申訴同樣是踢皮球狀態不認可盜刷情況,簡單來說不論支付寶還是京東都在互相推諉狀態。
攻擊者如何劫持用戶的簡訊驗證碼:
本次攻擊事件中攻擊者並不是通過補卡攻擊來獲得驗證碼,而是通過升級版的偽基站嗅探該網友的所有簡訊。
此方面內容我們在查看微信公眾號守護者計劃後才算看明白,簡單來說就是現行的GSM通信協議存在漏洞。
攻擊者使用自造的偽基站嗅探周邊連接的手機,然後再通過改造過的設備用來監視受害者手機收到的驗證碼。
這種攻擊屬於單向攻擊能夠嗅探並查看受害者接收的驗證碼,但是這並不能阻止受害者設備也接收到驗證碼。
這也是文章開頭該網友收到數百條簡訊的原因,在這名網友收到簡訊的同時攻擊者那邊也已成功獲得驗證碼。
社會工程學+定點攻擊:
這次攻擊顯然也屬於定點攻擊的範疇,因為拿到的關鍵信息如完整身份證號碼依然是通過其他途徑收集到的。
從網友敘述來看儲蓄卡和信用卡盜刷主要通過支付寶完成的,所以網友的銀行卡信息應該是沒有出現泄漏的。
第二攻擊者就在這名網友的周邊:因為只要在周邊才能使用偽基站嗅探該網友的簡訊、超出範圍無法完成的。
知道這名網友的身份證號碼、手機號碼、以及住所在哪裡,才能在清晨跑到受害者周邊使用偽基站進行嗅探。
如何防禦此類型的攻擊:
這種類型的攻擊防禦起來並不算容易,但如果你有決心的話防禦起來也不算太難:那就是每天晚上睡覺關機。
綁定的各種銀行卡按情況解綁:解綁後可以避免所有卡片餘額被盜刷,前提是你的銀行卡號碼並沒有泄露掉。
因為如果銀行卡號碼也已經被攻擊者收集到了,那麼攻擊者也可以輕易地將其綁定到各個支付渠道進行盜刷。
倘若你在白天也遇到這種攻擊最佳方案是發現異常驗證碼後立即關機,然後趕緊坐車跑的遠遠地再開機處理。
只要跑的遠遠地就能避免被攻擊者的偽基站嗅探到驗證碼,否則即便你立即進行處理也無法阻止攻擊者盜刷。
最後懇請大家幫忙轉發該網友的微博:
對於互相扯皮推諉的結果就是受害最終可能必須通過起訴才能挽回損失,這個流程可能會持續兩年甚至三年。
※Android P開發者預覽版新增藍牙連接的文件傳輸記錄
※安全專家日前公布藍牙配對協議未嚴格校驗公鑰的漏洞
TAG:藍點網 |