电信用户才能幸免?这漏洞能让你一夜倾家荡产

411 892

事情是这样的(来自豆瓣UP主独钓寒江雪):

是的,手机在手,身家全丢。如果你还记得3年前那场闹得沸沸扬扬的「换卡诈骗」,就知道类似这样绕过用户的诈骗方式已经发生不止一次了。不同的是,换卡诈骗最后在运营商取消在线换卡业务后得以遏制,而这一次,解决代价太大,防御手段太少。

天降短信验证码?你的网银支付宝可能被盗了

在UP主描述中,最醒目的字眼就是「接收了100多条验证码」。按理来说,即便是有人用UP主的手机号登陆网银支付宝,验证码都是发送到UP主手机上的,别人怎么会知道?

问题就出在「接收环节」上。大部分手机短信都是通过GSM(2G)网络传输,由于GSM短信无加密措施,短信内容因而能够轻易地被不法分子监听,这种监听手段被称为「短信嗅探」。

但是短信嗅探只能监听到短信内容,还无法获知短信接收者的手机号码。于是,不法分子就通过「GSM劫持」的方式伪造目标手机活动。这个GSM劫持也被称为「GSM中间人攻击」,其原理是:

攻击者搭建GSM(2G)伪基站,诱使目标手机驻留在伪基站上,同时联通伪终端与运营商网络。如果在联网过程中被要求鉴权,鉴权请求会通过伪基站发送至目标手机,目标手机返回鉴权响应并传回至伪基站,伪基站将鉴权响应传给伪终端,再由伪终端返回到运营商网络,完成鉴权。

▲UP主同样经历莫名外呼情况

接下来,不法分子通过黑产途径或者撞库的非法手段窃取目标关键信息,包括目标的身份证号码、银行卡号、关联账号以及其他可以证明「我就是本人」的重要信息。凭借这些信息,不法分子就可以冒充你的身份,伪装你的手机,实行一系列的资产转移、盗刷活动。

根据支付宝官方对UP主资金被盗事件的公告:攻击者成功骗过了判定系统,让系统误认为是「用户本人操作」,不触发风控,而且「多次短信验证码等多个安全校验都是一次性成功通过」。

而且攻击者通常都比较鸡贼,选择团伙作案,深夜作案。一方面,团伙作案流程化、速度快,几小时内就能把受害者的资金账户清空。UP主睡着的这几小时,支付宝、京东金条、银行卡无一幸免。

就这样,神不知鬼不觉的,UP主半辈子积蓄就没了。

犯罪成本低至一顿必胜客,运营商和互联网公司头大了

不少媒体在事后建议用户「开通VoLTE业务」,这实则是在扬汤止沸。开通VoLTE业务意味着短信优先从安全等级更高的3G/4G网络上传输,注意这里是「优先」而非「绝对」。也就是说,当3G/4G信号不好或者受到干扰时,短信传输通道仍会回落到2G网络。

▲伪装成外卖保温箱的伪基站

在2016年的HITB安全峰会上,就已经有安全专家指出,攻击者可以通过干扰3G/4G信号或者设立4G伪基站等途径强制将用户网络降级至GSM(2G),从而实施「降级攻击」。所以,开通VoLTE业务并不是绝对靠谱的,只能一定程度上提高不法分子的犯罪成本罢了。

至于犯罪成本,权威机构和人士是这么说的:

全国信息安全标准化技术委员会在年初发布的一份网络安全实践指南指出,截获短信的攻击手段早在2010年已出现。而诈骗事件在现在才爆发,原因之一是犯罪成本的降低。

指南提到,攻击手法各主要环节已经工具化和自动化,攻击门槛降低,一般攻击者可通过购买工具实施攻击。据腾讯安全玄武实验室负责人TK所述,「最小实现的硬件成本只要一顿必胜客的钱」。

然而,一定程度上的安全就是不安全。当下,信息黑产已经公开密码,获取他人的敏感信息只剩一个钱的问题。目标对象的所有资料都能获得,区区一个短信验证码又怎么可能拦得住犯罪的脚步?更何况,短信验证码这一环已经被攻破了。

对此,互联网公司甚至是银行金融业有必要对存在的短信验证码方式进行摸底,评估安全风险,升级验证措施。根据全国信息安全标准化技术委员会提供的建议,公司可以通过增加短信上行验证、语音通话传输验证码、常用设备绑定、动态选择身份验证等方式增强用户账户安全性。

然而增强安全性又意味着公司成本的增加,这笔投入对巨头来说也许不值一提,但对初创甚至是小微企业而言,可能就只能在成本和用户信息安全之间二选一了。所以,在有关部门出台相应政策之前,建议性措施的落实效果很有可能要大打折扣。

可怜弱小又无助的用户,这些方法真能金身保命?

许多媒体已经针对这次网络诈骗给出了应对方法,但是经实际查证,几乎每个方法都存在被成功攻击的概率。是比较悲壮,但我们还是很有必要了解一下这些方法,也算是曾经挣扎过。

1.转网,成为电信用户

有别于中国移动和中国联通的GSM,中国电信的2G网络制式为CDMA,几乎无法嗅探。也就是说,中国电信用户是此类攻击的唯一免疫人群。

2.睡前关机

关机可以从短信接收端防止被嗅探,只能增加攻击者的犯罪成本。因为即便是目标手机处于关机状态,攻击者仍可以尝试到短信发送端嗅探短信。

3.开通VoLTE业务

这个方法前面已经提到,只能增加攻击者的犯罪成本,而不能抵御攻击。具体开通方式如下:

电信用户:短信ktvolte发送至10001

移动用户:短信ktvolte发送至10010

联通用户:短信vbncdgfbde发送至10010

是的,对贼人的手段,你能做的只有这么多。

最后,祝,天下无贼。

您当前使用的浏览器版本过低,导致网站不能正常访问,建议升级浏览器

THE END

谨防“短信嗅探”盗取手机信息解放军报

关注卡在,钱没了!"短信嗅探"三公里内刷爆所有银行卡

“短信嗅探器”如何让你的钱财不翼而飞?

手机短信嗅探犯罪是什么意思?短信嗅探技术如何偷走你的钱?科技数码

多地发生手机短信嗅探窃财案

电信用户才能幸免?这漏洞能让你一夜倾家荡产

收到垃圾短信怎么办?如何屏蔽垃圾短信?号码通知

1.这些手机设置,可能对个人信息安全构成威胁!在安装应用时,仔细审查其请求的权限,确保仅授予必要的存储访问权限;使用手机的安全设置,对敏感文件进行加密,防止未经授权的访问。 2.位置信息权限 在现代社会中,随着智能手机的普及和定位技术的飞速发展,我们的位置信息被频繁地收集和记录。位置数据的泄露可能暴露用户的日常活动轨迹、个人习惯。更为严重的是,位置数据的https://www.010lf.com/news/485856.html
2.给“老人机”把好安全关新浪财经虽然手机屏幕大、字体大,操作简单,但也相应地缺乏扫码支付等相对复杂的功能,也只能通过短信订购等方式通知付费信息。其次,从设计层面来看,一些“老人机”只关注到了基本功能的实现,而在系统安全、代码防护等方面也存在不足。一旦遇到暗中扣费、控制指令、屏蔽拦截等操作,便会让老年人落入“陷阱”。http://finance.sina.com.cn/jjxw/2024-12-09/doc-incyvnxz2854192.shtml
3.银行信用卡发短信警告随之而来的信用卡消费风险也日渐凸显。为了保护持卡人的权益,银行通常会通过短信的方式向客户发送警告信息。这些短信不仅仅是简单的消费提醒,更是对持卡人消费行为的一种监控与保护。本站将从多个角度探讨银行信用https://www.jmnews.cn/yqnews/wdxieshang/33037.html
4.谨防电信网络诈骗丨防范于心反诈于行——防范电信网络诈骗知识宣传电信诈骗是指不法分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给不法分子打款或转账的犯罪行为。电信诈骗手段翻新速度很快,有的时候一、两个月就能产生新的骗术,令人防不胜防。 【预防方法】 1.不接陌生人电话。 https://www.thepaper.cn/newsDetail_forward_29641569
5.年轻人分享如何对抗大数据杀熟算法智斗算法保护隐私年轻人分享如何对抗大数据杀熟算法 智斗算法保护隐私 通过在评论和点赞中积极表达自己的选择,主动寻求更多样化的信息流,建立个人形象,可以影响算法推送,从而接触更多元的信息。一些年轻人为了享受优惠,使用虚拟手机号码注册后弃用,每次都能以新客的身份节省开支。如果某款App使用频率不高,但偶尔有购物需求时,可以选择暂时https://news.china.com/socialgd/10000169/20241215/47748700.html
6.有人日赚208万,有人日骗208万,七大诈骗手法须警惕至于短信嗅探的电信诈骗,大家也不要恐慌,一是遭遇概率低,国家有关部门也在加大力度打击伪基站;二是这种攻击方式主要针对2G网络进行,随着5G不断普及,“4G用来上网,2G用来通信”的尴尬局面或将打破。 当然,要留意的是,如果你发现自己的手机突然变成2G信号,并收到大量短信,就要小心了,有可能遭遇短信嗅探,可以关闭手机https://m.gmw.cn/2021-04/30/content_1302266074.htm
7.谨防诈骗突然收到不明短信验证码?小心被“嗅探”设备盯上4. 如果发现资金被盗刷,请火速冻结银行卡,并保留短信内容,向警方报警。 目前 大家使用的手机基本上是4G信号 “嗅探”设备难以“入侵” 请大家不必过于恐慌 如果不是工作需要及特殊情况 睡觉前可以关闭手机 或者开启飞行模式 防止“嗅探”设备截取手机号码和验证码 https://static.nfapp.southcn.com/content/202303/15/c7457657.html
8.利用短信嗅探技术盗窃新型犯罪需防范新闻频道本报讯(记者张吟丰 通讯员余颖 罗小红)手机、银行卡都在自己身边放着,一觉醒来后,银行卡、支付宝、微信里的钱莫名其妙地被盗刷了,只剩下手机里若干条短信验证码信息和信用卡消费记录。11月15日,湖南省长沙市雨花区检察院以涉嫌盗窃罪对王某依法提起公诉。据悉,此案系湖南检察机关办理的首例利用嗅探技术实施的新型https://news.cctv.com/2018/11/21/ARTIG5Ittzmy2jy5wGFUi62w181121.shtml
9.短信“半夜盗刷”该如何防范(图)中工民生“一觉醒来,手机里多了上百条验证码,而账户被刷光还背上了贷款”——近期犯罪分子利用“GSM劫持+短信嗅探”的方式盗刷网友账户的事件成为网络热点。那么,该如何防范这种短信嗅探犯罪呢?安全专家指出,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。 https://www.workercn.cn/32852/201808/20/180820012318841.shtml
10.ETC也能被盗刷预防攻略来了赶紧操作3、开通短信提示功能。ETC信用卡使用者,最好开通短信提醒功能,万一被盗刷,马上就能知道。一旦发现信用卡被盗刷,也可以拨打发卡银行电话申请赔付。 4、在发现被盗刷后,及时取证并报警。 同时,“嗅探”、蹭刷、境外盗刷、ATM机陷阱等黑招连绵不绝,消费者手机不要绑定大额银行卡。 https://www.qingdaonews.com/wap/2019-11/21/content_20908092.htm
11.盗采号码拦截短信隔空刷走多人存款14万余元支付类、银行类应用除了短信验证码,还要开启图片验证、人脸验证、指纹验证等二次验证机制;2.有些银行类应用可以设置夜间不可交易,防止不法分子趁夜盗刷;3.将手机信号设定为“只用4G”,即可有效防范短信被劫持;4.睡觉前关机、设置飞行模式,或者关闭手机移动信号只连接wifi,可以提高被嗅探难度;5.平时做好敏感个人信息https://www.qzwb.com/gb/content/2019-08/27/content_7002079.htm
12.“睡前关机防盗刷”让人情何以堪“一觉醒来,手机里多了上百条验证码,而账户被刷光还背上了贷款”,近期犯罪分子利用“GSM劫持+短信嗅探”的方式盗刷网友账户的事件,成为网络热点。该如何防范这种短信嗅探犯罪呢?安全专家指出,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。(8月20日《北京青年报》) https://tech.qianlong.com/2018/0821/2773106.shtml
13.科技文摘小白:可怕,我看有一些疑似专业人士分析,说这是一种伪基站实施“GSM劫持+短信嗅探”的网络身份攻击的技术又重出江湖,“GSM劫持+短信嗅探”是什么技术啊? 大东:其实这件事儿还得从短信验证的漏洞说起~ 二、短信验证的漏洞 大东:在非智能手机时代,要入侵手机窃取短信是比较困难的——不是不可能,但比较困难。但随着https://www.whb.cn/zhuzhan/kjwz/20180809/207676.html
14.焦点访谈:当心你的验证码被嗅探什么是嗅探?犯罪嫌疑人又是怎么嗅取了受害人的动态验证码的呢? 犯罪嫌疑人顾某某说:“用摩托罗拉118的手机,通过一番改造,把它变成一个接收的天线,再配合上特定的优盘系统,在电脑打开之后,就可以模仿基站的信号,拦截相当于嗅取探测到周围手机短信。一个手机15块钱,相当于一个简单的拼接过程。” https://www.wxrb.com/doc/2020/06/22/15773.shtml
15.规避“短信嗅探”需多方发力凌晨,突然发现手机信号从4G降为2G,接收来自银行、支付宝和移动公司的各类短信验证码。随后,银行账户被转空、支付宝余额被转走、手机自动订购了一堆无用的增值业务……这并非科幻电影中的场景,而是现实世界中短信嗅探设备对手机用户实施不法侵害。近期,全国多地发生利用短信嗅探技术窃取钱财的案件,有的涉案金额逾百万元https://news.sznews.com/content/mb/2018-10/19/content_21155032.htm
16.“短信嗅探”调查:可用来盗刷银行卡成本只要不到30元——上海“觉得隐私被泄露了,很害怕。”不久前的一天下午,石家庄科技工程职业技术学院的小程在学校附近突然接到许多短信验证码。小程不知道的是,她的这次特殊经历的背后,极可能隐藏着一条盘踞已久的黑色产业链。 多位安全圈人士向新京报记者表示,小程的遭遇可能与一种被称为“GSM劫持+短信嗅探”的技术有关。其实,这并非https://rich.online.sh.cn/content/2019-05/07/content_9277049.htm