一种新型盗刷方式正在逐渐蔓延,越来越多的人成为了受害者,无需用户点击任何链接,甚至在没有察觉的情况下,可以轻松获取验证码,盗取网银资产。目前,遭遇该手段的受害者经历非常类似:从凌晨某个时间点开始手机不断收到各种验证码短信,一般从支付宝登录验证码开始,接下来就是修改支付宝支付密码,银行卡余额转出、消费、贷款等一些列行为。
最诡异的是,与普通的盗刷不同,所有受害人均没有点击未知链接,也没有主动将验证码等敏感信息转发他人,甚至多数人都是在早晨起床后才发现已经被盗刷。
这刷新了我们对于盗刷的理解,难道不法分子的技术已经能够远程操纵手机了吗?其实这个技术并不以新颖,使用的都是一种可以远程获取收集信息的方式:GSM 短信嗅探。
GSM 短信嗅探原理
拦截手机信号,分析通话和短信内容。这听起来像是电影中才会发生的情节,但现实生活中实现并没有想象中那么难。
手机作为一种无线终端,无论 2G,3G 还是 4G 网络,都必须通过基站进行数据交换,手机和基站的本质是通过无线电波进行通讯,而无线电波通常是向四周扩散的,理论上只要在手机功率发射颠簸的范围内的任何设备都可以接收到这些无线电波。
而基站和手机之间的无线点播接收方式和格式就是通信协议。2G 网络使用的 GSM 协议就是发生盗刷的罪魁祸首。2G 网络架构是开源的,而且本身传输数据时也没有加密,导致短信内容是明文传输,给了不法分子可乘之机。
由于限制 2G 网络没有完全淘汰,GSM 嗅探的门槛断崖式降低,将修改后的软件编译进入任意手机,即可变身成为反向获取附近基站发出的无线电设备,在电脑上就可以轻松获取周围手机传输的短信内容。
只需配备一套简易设备,不法分子就可以实施犯罪:深夜在随机位置获使用伪基站获取附近设备的手机号码,将号码用于请求登录普通网站,过滤数据,拿到手机验证码,即开始盗刷过程,消费余额,甚至利用机主姓名、身份证号、手持身份证照片申请大额贷款。
为什么突然爆发
既然这样的技术所利用 2G 协议的漏洞,并不是新技术,为什么最近时间突然爆发出大面积的盗刷事件呢?
1.技术门槛降低:硬件成本与编译方法难度降低,有更多不法分子采用这种方法实施盗刷。
2.实名制范围广:随着实名制手机号码的普及,大部分服务强制绑定手机号码,抛弃了之前以邮箱登录的方式。
3.在线支付方式的普及:网络支付与网银的大面积推广,使得短信验证码的重要性日趋提高,之前只是用于窃听个人信息的手段稍加改成则可以用于盗刷。
不过随着运营商逐渐废弃 2G 网络,这种技术方法的可实施程度将进一步提高,虽然其他网络协议也有类似的攻击方法,不过难度将大幅提升。
问题根源
手机验证码本身是一个很不安全的验证方式,它能够实现的(转账、身份认证)功能,已经远远超出了它本身的安全性范围。
应对方法
1.手机定时开关机/飞行模式:晚上睡觉前关机或打开飞行模式,这样手机不会连接到伪基站,基站无法获取到手机状态信息则不会将短信发送至手机,不法分子无法获取手机号码即验证码短信。
2.开通 VoLTE :开通后如果手机支持,通话与短信不会再以 2G 网络传输,转用 4G 通道。
3.专门使用一个手机号码接收验证码:可以准备一个手机号码专门用于接收验证码短信,这样手机卡平时可以禁用或开启飞行模式,这样的虽然麻烦,但是是目前最有效的方式。
4.使用两步验证:最好打开支持该功能网站的两步验证,对方仅凭手机号和验证码也无法进入账户。
5.受到损失后及时报警查看附近监控。
注意:中国电信使用的 2G 协议是 CDMA,天然免疫 GSM 嗅探的攻击方式。