在没有受害人身份证、银行卡的情况下,犯罪嫌疑人是如何利用短信嗅探技术实施盗刷的呢?民警介绍,嫌疑人通过“GSM劫持+短信嗅探技术”,可实时获取受害人的手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络犯罪等犯罪。
那么,如何防范这种新型犯罪?记者采访了相关专家和业内人士。 案件揭秘 短信嗅探盗刷案大多发生在凌晨 国内网络安全界知名的“黑客炼金术士”邹晓东(Seeker)介绍,通常情况下,要想在没有银行卡、身份证的情况下实施盗刷,需要知道受害人的手机号、姓名、身份证号、银行卡号和验证码。在目前的技术条件下,通过四步即可达到目的: 一,利用GSM技术的单向鉴权体系漏洞,通过伪基站自动搜索附近(一般是周边几百米内)的潜在手机号码;二,通过查询地下出售的个人隐私数据,或登录第三方支付平台、网上银行等,碰撞查询到目标手机号码对应的身份证号码、银行卡号等;三,通过短信嗅探设备,嗅探目标手机号码收到的验证码及运营商、银行所发短信;四,在网上银行或者移动支付平台,通过验证码登录、修改账户信息,进行账户支付、借贷等资金流转操作,如绑定银行卡、申请网络贷款、打白条等,实施盗刷和信用卡犯罪等犯罪行为。 邹晓东进一步解释,这种犯罪手法主要针对2G手机的GSM信号,因此犯罪分子常常会干扰附近的基站通信,使手机信号从4G降级到2G,然后通过嗅探设备窃取手机短信等信息。由于嗅探设备只能嗅探但不能拦截短信,因此犯罪分子通常会选择在深夜作案,这时受害人大多在酣然入睡,不会注意到短信异常。 专家建议 金融机构通讯及验证系统应升级 盗刷案件的发生,与系统漏洞有着直接的关系。邹晓东告诉记者,2011年,手机通信的GSM协议就遭到破解,有多种方式可以获取用户的短信验证码,只是这些技术一直没有被犯罪分子所掌握。最近的案例表明,部分犯罪分子已经掌握其中一种技术。 邹晓东认为,连续发生的短信验证码攻击事件,可能是攻击工具产业化的标志。利用手机短信验证用户身份,已无法保证用户信息和资金安全,金融机构需要尽快改进,选择安全性更高的身份认证方式。同时,用户也不必过于担心,因为使用伪基站和短信嗅探,必须接近受害人,而警方很容易利用监控录像排查定位犯罪分子。随着公安机关快速破案,这种犯罪会越来越少。 邹晓东介绍,2016年6月,央行明确规定:各商业银行、支付机构、卡清算机构,要加强对支付敏感信息的内控管理和安全防护工作;各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权;身份鉴别应使用数字证书、交易密码、动态令牌设备等方式至少组合两种认证;针对批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等手段。 如何防范 增加支付登录关卡降低被盗风险 记者了解到,要满足盗刷需要的所有条件,不是一件容易的事。深圳警方抓获的一名犯罪嫌疑人供述,他一个晚上虽然能嗅探到很多手机短信、捕获到很多手机号码,但盗刷成功的并不多。原因是很多金融公司风控很严,即使盗刷,单笔金额也不大。 武汉极意网络科技有限公司网络工程师许伟告诉记者,黑色产业者的攻击方式很多,但最终的关键还是要获取受害人的身份证号、银行卡号、手机号码等。缺少其中一环,他们都不可能成功。 对于消费者来说,为了防止个人财产被盗,需要保护好敏感的私人信息。同时,微信、支付宝、京东等个人账号,可以通过定期修改登录密码,或增加登录和支付“关卡”来降低被盗风险。银行、高校等单位,应该保护好消费者、学生群体的身份证、银行卡等信息不被泄露,还要不断完善平台的风控体系建设,优化风控策略方案。只有安全意识增强了,犯罪分子钻空子的机会才会越来越小。 许伟表示,目前传统的验证方式,有短信验证、字符验证等。短信验证步骤繁杂,容易被盗取;而一些字符验证码越来越扭曲,体验感差,也容易被一些图像识别技术识别。验证码未来的发展趋势,应该在充分保证安全性的基础上,做到零打扰、无感化。 大额资金账户建议不要开通网银 湖北银行业纠纷调解中心主任宋心鹏介绍,利用短信嗅探获取银行客户信息,进而盗取资金,在技术上有一定难度,在侵害对象上具有随机性。目前,该中心尚未接到类似投诉举报,但是中心已经关注到这类案件的动向。公众对此既要高度警惕,又不必过于恐慌。 宋心鹏建议,用户要加强防范意识,做到以下几点: 一、保护好个人手机号、身份证号、银行卡号、支付平台账号等私人敏感信息。 二、存有大额资金的个人银行账户,建议不要开通网银功能。网上支付账户应设置支付限额,支付密码与取款密码要有区别。 三、对不明来历的短信、微信、验证码链接,不点、不收、不回复。对自行发起的转账和支付短信,一定要分辨清楚。 四、睡觉前,可将手机关机或设置为飞行模式,防止被短信嗅探设备探测。 五、如账户遭遇攻击,应立即查看自己的银行卡和支付应用,一旦确认资金被盗刷,要立即冻结相关账户并报警。 |