在最新的一篇博文中,谷歌向公众发出警告,介绍了当今最常见的短信攻击手段之一。同时,他们还提到了Android集成的工具,以阻止此类攻击得逞。
据该博文介绍,许多短信攻击都使用了假基站(FalseBaseStations,简称FBS)。这些设备也被称为蜂窝基站模拟器或Stingrays,它们会模拟运营商网络,诱使你的设备尝试连接。通常,这些设备会广播2G网络,但有时也会伪装成5G。攻击者需要将你的设备网络降级到2G,以利用仅存在于2G网络中的SMS协议漏洞,这些漏洞在4G或5G网络中并不存在。
如果攻击者成功将你的设备诱入2GFBS网络,就会开始实施短信钓鱼攻击(也称为“短信轰炸器”)。钓鱼攻击涉及发送带有恶意意图的短信,伪装成来自真实、可信的公司。使用FBS的攻击者对短信及其显示方式拥有完全控制权,因此这些短信极具欺骗性。欺诈短信中经常包含链接,这些链接会将你重定向到窃取数据的网站或诱使你下载带有恶意软件的应用程序。
在解释了短信轰炸器(SMSBlaster)攻击的背景后,谷歌提到了Android提供的一些选项,这些选项将帮助你免受短信欺诈企图的影响。首先,从Android12开始,用户可以在调制解调器级别禁用2G搜索。这样,你的手机将忽略2G网络,从而使通过假基站(FBS)进行的攻击尝试完全无效。最初,此选项仅面向Pixel手机,但现在已支持所有Android设备。
此外,从Android14开始,操作系统可以禁用空密码。这一点非常重要,因为基于FBS的攻击会设置空密码来启动钓鱼注入。仅这两个功能就应该能让你相当安全,但还有更多。Android还在操作系统级别集成了反垃圾邮件保护。因此,如果潜在的FBS绕过了你运营商的网络保护,它还必须应对Android的安全层。
此外,操作系统还包括已验证短信(VerifiedSMS)系统。此系统通过蓝色勾选标记来告知你消息是否来自合法公司。
您当前使用的浏览器版本过低,导致网站不能正常访问,建议升级浏览器