首页 资讯 关注 生活 汽车 房产 图片 公益 视频 常识

天下

旗下栏目: 武汉 湖北 天下 历史 民生 体育 文化 热评

网络专家揭秘短信嗅探 市民要提高警惕但不必恐慌

来源:网络 媒体:武汉网 人气: 发布时间:2018-08-20 11:33:54
摘要:在没有受害人身份证、银行卡的情况下,犯罪嫌疑人是如何利用短信嗅探技术实施盗刷的呢?

 

在没有受害人身份证、银行卡的情况下,犯罪嫌疑人是如何利用短信嗅探技术实施盗刷的呢?民警介绍,嫌疑人通过“GSM劫持+短信嗅探技术”,可实时获取受害人的手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络犯罪等犯罪。

那么,如何防范这种新型犯罪?记者采访了相关专家和业内人士。
网络专家揭秘短信嗅探 市民要提高警惕但不必恐慌(图1)

案件揭秘

短信嗅探盗刷案大多发生在凌晨

国内网络安全界知名的“黑客炼金术士”邹晓东(Seeker)介绍,通常情况下,要想在没有银行卡、身份证的情况下实施盗刷,需要知道受害人的手机号、姓名、身份证号、银行卡号和验证码。在目前的技术条件下,通过四步即可达到目的:

一,利用GSM技术的单向鉴权体系漏洞,通过伪基站自动搜索附近(一般是周边几百米内)的潜在手机号码;二,通过查询地下出售的个人隐私数据,或登录第三方支付平台、网上银行等,碰撞查询到目标手机号码对应的身份证号码、银行卡号等;三,通过短信嗅探设备,嗅探目标手机号码收到的验证码及运营商、银行所发短信;四,在网上银行或者移动支付平台,通过验证码登录、修改账户信息,进行账户支付、借贷等资金流转操作,如绑定银行卡、申请网络贷款、打白条等,实施盗刷和信用卡犯罪等犯罪行为。

邹晓东进一步解释,这种犯罪手法主要针对2G手机的GSM信号,因此犯罪分子常常会干扰附近的基站通信,使手机信号从4G降级到2G,然后通过嗅探设备窃取手机短信等信息。由于嗅探设备只能嗅探但不能拦截短信,因此犯罪分子通常会选择在深夜作案,这时受害人大多在酣然入睡,不会注意到短信异常。

专家建议

金融机构通讯及验证系统应升级

盗刷案件的发生,与系统漏洞有着直接的关系。邹晓东告诉记者,2011年,手机通信的GSM协议就遭到破解,有多种方式可以获取用户的短信验证码,只是这些技术一直没有被犯罪分子所掌握。最近的案例表明,部分犯罪分子已经掌握其中一种技术。

邹晓东认为,连续发生的短信验证码攻击事件,可能是攻击工具产业化的标志。利用手机短信验证用户身份,已无法保证用户信息和资金安全,金融机构需要尽快改进,选择安全性更高的身份认证方式。同时,用户也不必过于担心,因为使用伪基站和短信嗅探,必须接近受害人,而警方很容易利用监控录像排查定位犯罪分子。随着公安机关快速破案,这种犯罪会越来越少。

邹晓东介绍,2016年6月,央行明确规定:各商业银行、支付机构、卡清算机构,要加强对支付敏感信息的内控管理和安全防护工作;各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权;身份鉴别应使用数字证书、交易密码、动态令牌设备等方式至少组合两种认证;针对批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等手段。

如何防范

增加支付登录关卡降低被盗风险

记者了解到,要满足盗刷需要的所有条件,不是一件容易的事。深圳警方抓获的一名犯罪嫌疑人供述,他一个晚上虽然能嗅探到很多手机短信、捕获到很多手机号码,但盗刷成功的并不多。原因是很多金融公司风控很严,即使盗刷,单笔金额也不大。

武汉极意网络科技有限公司网络工程师许伟告诉记者,黑色产业者的攻击方式很多,但最终的关键还是要获取受害人的身份证号、银行卡号、手机号码等。缺少其中一环,他们都不可能成功。

对于消费者来说,为了防止个人财产被盗,需要保护好敏感的私人信息。同时,微信、支付宝、京东等个人账号,可以通过定期修改登录密码,或增加登录和支付“关卡”来降低被盗风险。银行、高校等单位,应该保护好消费者、学生群体的身份证、银行卡等信息不被泄露,还要不断完善平台的风控体系建设,优化风控策略方案。只有安全意识增强了,犯罪分子钻空子的机会才会越来越小。

许伟表示,目前传统的验证方式,有短信验证、字符验证等。短信验证步骤繁杂,容易被盗取;而一些字符验证码越来越扭曲,体验感差,也容易被一些图像识别技术识别。验证码未来的发展趋势,应该在充分保证安全性的基础上,做到零打扰、无感化。

大额资金账户建议不要开通网银

湖北银行业纠纷调解中心主任宋心鹏介绍,利用短信嗅探获取银行客户信息,进而盗取资金,在技术上有一定难度,在侵害对象上具有随机性。目前,该中心尚未接到类似投诉举报,但是中心已经关注到这类案件的动向。公众对此既要高度警惕,又不必过于恐慌。

宋心鹏建议,用户要加强防范意识,做到以下几点:

一、保护好个人手机号、身份证号、银行卡号、支付平台账号等私人敏感信息。

二、存有大额资金的个人银行账户,建议不要开通网银功能。网上支付账户应设置支付限额,支付密码与取款密码要有区别。

三、对不明来历的短信、微信、验证码链接,不点、不收、不回复。对自行发起的转账和支付短信,一定要分辨清楚。

四、睡觉前,可将手机关机或设置为飞行模式,防止被短信嗅探设备探测。

五、如账户遭遇攻击,应立即查看自己的银行卡和支付应用,一旦确认资金被盗刷,要立即冻结相关账户并报警。

☺大江大湖大武汉欢迎你♡湖北省武汉市综合生活信息门户网站•更多资讯☛武汉网www.wuhannews.cn
免责声明:
1、本站信息仅供参考,不作为最终指导方案;请谨慎参阅,本站不承担由此引起的法律责任。本站文章均由网友收集提交。文字、图片、音频、视频来自互联网及公开渠道,仅供学习与参考,不作商业用途,转载目的在于传递更多的信息,不代表本网立场和观点,亦不代表本网赞同其观点。
2、本站为信息网络储存空间,武汉网网站信息(包括但不限于文章、图片、音视频等信息)是由用户发布整理上传,对此类分享作品,本站仅提供交流平台,无法证实其真实性,不为其版权负责。如果因作品内容、版权有异议或其它问题,请第一时间与我们取得联系,我们会及时进行处理。

首页 | 资讯 | 关注 | 生活 | 汽车 | 房产 | 图片 | 公益 | 视频 | 常识

关于武汉网 | 合作洽谈 | 刊例服务 | 服务协议 | 常见问题 | 网站声明 | 联系我们 | 网站地图

Copyright © 2009-现在 本地生活门户 信息仅供参考,本站不承担引起的法律责任。本站为非盈利公益网站,部分内容及图片为网友发布来源于互联网,如有异议,请联系本站删除。
监督热线电话 合作/建议在线QQ:273275115鄂ICP备2022004376号 法律顾问:张斌律师 湖北武汉生活信息门户 武汉网 生活网 wuhannews.cn

武汉| 湖北| 资讯| 关注| 财经| 手机| 网络| 女人| 娱乐| 情感| 美体| 汽车| 房产| 家装| 美食| 旅游| 指南| 教育| 办事| 健康| 购物| 交通| 职场| 商讯| 常识| 公益|