手機(jī)嗅探犯罪:強(qiáng)制“降維” 偷走你的驗(yàn)證碼
凌晨,突然發(fā)現(xiàn)手機(jī)信號從4G降為2G,接收到來自銀行、支付寶和移動公司的各類短信驗(yàn)證碼。隨后,銀行賬戶被轉(zhuǎn)空、支付寶余額被轉(zhuǎn)走、手機(jī)自動訂購了一堆無用的增值業(yè)務(wù)……這并非科幻電影中的場景,而是現(xiàn)實(shí)世界中短信嗅探設(shè)備對手機(jī)用戶實(shí)施不法侵害。
嗅探:犯罪分子“隔空取物”
今年8月,一位新浪微博網(wǎng)友向警方和相關(guān)金融機(jī)構(gòu)報(bào)案:凌晨2時(shí)至5時(shí),手機(jī)先后收到100余條來自支付寶、京東金融和銀行等金融機(jī)構(gòu)的短信驗(yàn)證碼,相關(guān)賬戶內(nèi)的余額及綁定銀行卡內(nèi)的余額全部“憑空蒸發(fā)”。
事后經(jīng)安全技術(shù)專家鑒定,認(rèn)為這是一起較為典型的利用短信嗅探技術(shù)實(shí)施財(cái)產(chǎn)侵害的案例。據(jù)中國電子技術(shù)標(biāo)準(zhǔn)化研究院技術(shù)專家何延哲介紹,短信嗅探技術(shù)是在不影響用戶正常接收短信的情況下,通過植入手機(jī)木馬或者設(shè)立偽基站的方式,獲取用戶的短信內(nèi)容,這其中就包括來自銀行、第三方支付平臺和移動運(yùn)營商的短信驗(yàn)證碼。
公開報(bào)道顯示,近期,全國已有多地破獲諸如利用短信嗅探技術(shù)使用他人金融賬戶購買虛擬物品實(shí)施銷贓的相關(guān)案件。
網(wǎng)售嗅探設(shè)備“包教包會”
記者在互聯(lián)網(wǎng)和社交軟件搜索,發(fā)現(xiàn)大量嗅探設(shè)備交易帖和交流群。記者添加了尾號為0960的QQ用戶。嗅探設(shè)備價(jià)格不菲,對方稱,可通過傻瓜式教程“包教包會”。
一位售賣設(shè)備的賣家告訴記者,他們有一個(gè)專門的工作室,有人負(fù)責(zé)制作硬件,有人負(fù)責(zé)軟件編程。
有賣家提醒記者,要遵守“行規(guī)”。例如,在盜取他人話費(fèi)時(shí),一天盜取的話費(fèi)上限不能超過3000元。
還有賣家給記者發(fā)來了大量的照片和視頻錄像,證明所售賣的設(shè)備真實(shí)可靠。在一段視頻影像中,嗅探設(shè)備正在運(yùn)行,對方還演示了如何操作軟件,并成功截獲了一條發(fā)自銀聯(lián)的短信驗(yàn)證碼。
專家建議加快淘汰2G網(wǎng)絡(luò)
何延哲表示,在2G通道下進(jìn)行的短信和通話信息使用明文傳輸。為成功劫持信號完成短信嗅探,不法分子有時(shí)還會干擾3G和4G信號,強(qiáng)制讓用戶“降維”到2G網(wǎng)絡(luò)狀態(tài)。
騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸建議,用戶可以要求運(yùn)營商開通VoLTE功能(一種數(shù)據(jù)傳輸技術(shù)),讓短信通過4G網(wǎng)絡(luò)傳輸,防范無線監(jiān)聽竊取短信。
于旸表示,在網(wǎng)絡(luò)安全領(lǐng)域存在一個(gè)“不可能三角”,即無法同時(shí)實(shí)現(xiàn)安全、便捷和廉價(jià)三個(gè)要素。從短信嗅探技術(shù)盜刷他人金融賬戶的案例來看,目前,被多數(shù)金融機(jī)構(gòu)采用的基于賬戶登錄密碼和短信驗(yàn)證碼的“雙因子安全認(rèn)證”雖然方便,但在該環(huán)境下有失效風(fēng)險(xiǎn)。
何延哲等業(yè)內(nèi)專家建議,通信運(yùn)營商應(yīng)考慮加快淘汰2G網(wǎng)絡(luò)技術(shù),確保用戶的短信和通話內(nèi)容不被他人截獲竊取。此外,有關(guān)專家建議,在“雙因子安全認(rèn)證”出現(xiàn)漏洞的情況下,包括銀行和第三方支付平臺在內(nèi)的金融機(jī)構(gòu)應(yīng)加強(qiáng)安全因子的多重驗(yàn)證,推出更為完善可靠的校驗(yàn)手段。
責(zé)任編輯:卓金芳