新型盜刷銀行卡犯罪 給簡訊驗證碼加把安全鎖
8月14日,深圳龍崗警方宣布打掉一個新型盜刷銀行卡犯罪團伙,抓獲10名嫌疑人,查繳偽基站等電子設備6套,帶破同類案件50餘宗,涉案金額逾百萬元。據專家分析,嫌疑人通過「GSM劫持 簡訊嗅探」技術截獲受害人簡訊驗證碼,從而完成盜刷等操作。截至目前,這是全國該類案件中打掉涉案人數最多、金額最大的一起。
「基於簡訊驗證碼實現身份驗證的安全風險顯著增加。」全國信息安全標準化技術委員會在《網路安全實踐指南——應對截獲簡訊驗證碼實施網路身份假冒攻擊的技術指引》中指出。
網友遇怪事
夢中收簡訊 網銀被盜刷
7月30日凌晨5點,從夢中醒來的網友「獨釣寒江雪」發現了一件怪事:「手機一直在震,一看,接收了100多條驗證碼,支付寶、京東、銀行什麼都有。嚇得一下子清醒,去看支付寶,餘額寶、餘額和關聯銀行卡的錢都被轉走了。京東開了金條、白條功能,借走1萬多元。」
人在睡夢中,手機在身邊。是誰遠程偷看了簡訊驗證碼,還利用簡訊驗證碼完成了轉賬購物借貸等操作?據了解,這是不法分子通過「GSM劫持 簡訊嗅探」技術,實時獲取用戶手機簡訊內容,竊取用戶信息,盜刷用戶賬戶。
「不法分子先使用偽基站獲取用戶手機號,再通過網上泄露的資料庫,根據手機號碼反查用戶的姓名、身份證號、銀行賬號等信息。然後在某些網站啟動註冊或交易,並利用和用戶位置相近的特點竊取用戶簡訊驗證碼。」北京大學信息科學技術學院副教授陳江說。
有業內人士形容,嗅探硬體「小的跟手機差不多,大得像行李箱,最低成本只用花一頓必勝客的錢」。騰訊守護者計劃安全專家周正介紹,目前絕大多數移動互聯網服務都採用以手機號和簡訊驗證為基礎的識別策略,但國內GSM的語音和簡訊業務鑒權和加密性偏弱。犯罪分子使用定製化、成本低、易攜帶的嗅探系統,獲取受害人的手機號和簡訊驗證碼,進而實施犯罪。
此前已有多地出現「GSM劫持 簡訊嗅探」盜刷案件。2017年底至2018年8月,騰訊守護者計劃安全團隊協助北京、福建、廣東等地警方打擊此類犯罪團伙5個,抓獲犯罪嫌疑人25人。
簡訊漏洞多
身份可偽裝 內容易泄露
註冊新賬號,需要簡訊驗證碼;忘記密碼又想登錄網站,需要簡訊驗證碼;在網上轉賬提現,需要簡訊驗證碼……當前,使用簡訊驗證碼驗證用戶身份的技術,被廣泛應用於各類移動應用和網站服務。
陳江說:「簡訊驗證碼雖然方便高效、容易普及使用,但存在『是否用戶本人使用本人手機完成驗證操作』這樣的漏洞,給不法分子偽裝受害者提供了機會。」
「簡訊驗證碼是賬號安全的核心,承擔著實名認證的任務,是保證資金安全的一把密匙,但目前的關注程度還不高。」中國政法大學傳播法研究中心副主任朱巍說。
通過簡訊驗證碼登錄賬號後,不法分子可以獲取用戶的快遞地址、消費記錄、通訊錄等隱私信息,還可以通過「撞庫」「社工」等方式,「集齊」用戶的姓名、身份證、銀行卡號,實施資金盜刷、電信詐騙、敲詐勒索等活動。
除了被「偷窺」,泄露簡訊驗證碼的途徑還有很多。有的用戶點擊了非法鏈接,手機被安裝監聽木馬;有的不法分子偽裝銀行客服,直接索取驗證碼內容;還有運營商內鬼主動泄露,里外勾結。此外,簡訊雲同步、自動填寫驗證碼等功能的初衷雖是方便用戶,卻也可能被不法分子利用。
安全待升級
改發送方式 加生物識別
「改變簡訊設置,使用VoLTE技術(基於4G的語音傳輸技術),改用4G網路傳輸簡訊。」「關閉手機蜂窩功能,改用無線網路」「晚上睡覺時關閉手機或調整到飛行模式」……為了避免簡訊驗證碼被「偷窺」,不少媒體和熱心用戶給出了解決方案。
但是,這些方案並不能一勞永逸。比如,就算改用4G傳輸簡訊,不法分子也可能在4G網路薄弱的地區「監聽」,或用特殊手段把簡訊「逼」上不夠安全的2G通道。
全國信息安全標準化技術委員會建議,網路平台可以要求用戶主動發送簡訊用以驗證身份,使用語音通話傳輸驗證碼,將用戶常用設備和賬號綁定,採用指紋識別、人臉識別等生物特徵識別技術,同時隨機選擇多種方式進行驗證。
「用戶傳輸敏感隱私信息時,應選擇安全性相對高的通信軟體,發現手機信號模式異常時應及時更換網路環境。網路平台應增加多維度動態驗證機制,對賬號異常行為進行強校驗,採用生物特徵識別技術。運營商應提高4G網路覆蓋率和穩定性,推動VoLTE等高清數據傳輸方式的普及。」周正建議。
「第三方支付機構要注意資金安全,發現異常及時停止服務,避免用戶損失。同時,第三方支付也要和銀行開展配合,形成立體化風控體系。」朱巍說。
