网络专家揭秘短信嗅探 市民要提高警惕但不必恐慌
楚天都市报记者陈红刘闪实习生黄月
在没有受害人身份证、银行卡的情况下,犯罪嫌疑人是如何利用短信嗅探技术实施盗刷的呢?
民警介绍,嫌疑人通过“gsm劫持+短信嗅探技术”,可实时获取受害人的手机短信内容,进而利用各大知名银行、网站、移动支付app存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络犯罪等犯罪。
那么,如何防范这种新型犯罪?楚天都市报记者采访了相关专家和业内人士。
案件揭秘
短信嗅探盗刷案大多发生在凌晨
国内网络安全界知名的“黑客炼金术士”邹晓东(seeker)介绍,通常情况下,要想在没有银行卡、身份证的情况下实施盗刷,需要知道受害人的手机号、姓名、身份证号、银行卡号和验证码。在目前的技术条件下,通过四步即可达到目的:
一,利用gsm技术的单向鉴权体系漏洞,通过伪基站自动搜索附近(一般是周边几百米内)的潜在手机号码;二,通过查询地下出售的个人隐私数据,或登录第三方支付平台、网上银行等,碰撞查询到目标手机号码对应的身份证号码、银行卡号等;三,通过短信嗅探设备,嗅探目标手机号码收到的验证码及运营商、银行所发短信;四,在网上银行或者移动支付平台,通过验证码登录、修改账户信息,进行账户支付、借贷等资金流转操作,如绑定银行卡、申请网络贷款、打白条等,实施盗刷和信用卡犯罪等犯罪行为。
邹晓东进一步解释,这种犯罪手法主要针对2g手机的gsm信号,因此犯罪分子常常会干扰附近的基站通信,使手机信号从4g降级到2g,然后通过嗅探设备窃取手机短信等信息。由于嗅探设备只能嗅探但不能拦截短信,因此犯罪分子通常会选择在深夜作案,这时受害人大多在酣然入睡,不会注意到短信异常。
专家建议
金融机构通讯及验证系统应升级
盗刷案件的发生,与系统漏洞有着直接的关系。邹晓东告诉记者,2011年,手机通信的gsm协议就遭到破解,有多种方式可以获取用户的短信验证码,只是这些技术一直没有被犯罪分子所掌握。最近的案例表明,部分犯罪分子已经掌握其中一种技术。
邹晓东认为,连续发生的短信验证码攻击事件,可能是攻击工具产业化的标志。利用手机短信验证用户身份,已无法保证用户信息和资金安全,金融机构需要尽快改进,选择安全性更高的身份认证方式。同时,用户也不必过于担心,因为使用伪基站和短信嗅探,必须接近受害人,而警方很容易利用监控录像排查定位犯罪分子。随着公安机关快速破案,这种犯罪会越来越少。
邹晓东介绍,2016年6月,央行明确规定:各商业银行、支付机构、卡清算机构,要加强对支付敏感信息的内控管理和安全防护工作;各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权;身份鉴别应使用数字证书、交易密码、动态令牌设备等方式至少组合两种认证;针对批量或高频登录等异常行为,应利用ip地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等手段。
如何防范
增加支付登录关卡降低被盗风险
记者了解到,要满足盗刷需要的所有条件,不是一件容易的事。深圳警方抓获的一名犯罪嫌疑人供述,他一个晚上虽然能嗅探到很多手机短信、捕获到很多手机号码,但盗刷成功的并不多。原因是很多金融公司风控很严,即使盗刷,单笔金额也不大。
武汉极意网络科技有限公司网络工程师许伟告诉记者,黑色产业者的攻击方式很多,但最终的关键还是要获取受害人的身份证号、银行卡号、手机号码等。缺少其中一环,他们都不可能成功。
对于消费者来说,为了防止个人财产被盗,需要保护好敏感的私人信息。同时,微信、支付宝、京东等个人账号,可以通过定期修改登录密码,或增加登录和支付“关卡”来降低被盗风险。银行、高校等单位,应该保护好消费者、学生群体的身份证、银行卡等信息不被泄露,还要不断完善平台的风控体系建设,优化风控策略方案。只有安全意识增强了,犯罪分子钻空子的机会才会越来越小。
许伟表示,目前传统的验证方式,有短信验证、字符验证等。短信验证步骤繁杂,容易被盗取;而一些字符验证码越来越扭曲,体验感差,也容易被一些图像识别技术识别。验证码未来的发展趋势,应该在充分保证安全性的基础上,做到零打扰、无感化。
大额资金账户建议不要开通网银
湖北银行业纠纷调解中心主任宋心鹏介绍,利用短信嗅探获取银行客户信息,进而盗取资金,在技术上有一定难度,在侵害对象上具有随机性。目前,该中心尚未接到类似投诉举报,但是中心已经关注到这类案件的动向。公众对此既要高度警惕,又不必过于恐慌。
宋心鹏建议,用户要加强防范意识,做到以下几点:
一、保护好个人手机号、身份证号、银行卡号、支付平台账号等私人敏感信息。
二、存有大额资金的个人银行账户,建议不要开通网银功能。网上支付账户应设置支付限额,支付密码与取款密码要有区别。
三、对不明来历的短信、微信、验证码链接,不点、不收、不回复。对自行发起的转账和支付短信,一定要分辨清楚。
四、睡觉前,可将手机关机或设置为飞行模式,防止被短信嗅探设备探测。
五、如账户遭遇攻击,应立即查看自己的银行卡和支付应用,一旦确认资金被盗刷,要立即冻结相关账户并报警。
我市公安机关举行“向人民报告”文艺演出
“合力跑”系列赛首站照母山开跑 52支跑团来参赛
洋县推动生态特色农业持续发展
高要回龙大田塱村基层党建引领乡村振兴路
成都:年底家门口买世界各地商品
网络专家揭秘短信嗅探 市民要提高警惕但不必恐慌
我省开展固废污染防治“一法一条例”执法检查
致敬坚守者 你们辛苦了
省人大调研组来湖调研乡村振兴工作
吴海平在参加路桥和仙居代表团审议时强调做好大谋划 全力推动高质量发展
崔永辉督办复兴大道及荆州大道重点项目建设情况
[台州好制造]科锐数控:为生产线“个性化”定制装备
市委党校:处级班学员到阳江日报社调研融媒发展
九措并举 让丹东旅游由大变强
刘强主持召开市政府八届45次常务会议
市人大常委会副主任马振宇带队到瀍河区开展环保执法检查
韩国平昌冬奥会将于今晚闭幕 “北京8分钟”融入人工智能
抓好基层基础 强化社会治理
群星闪耀俄罗斯世界杯 谁能摘得金靴奖荣耀?
贵州用创新思维推进小城镇建设 实现五率先五突破