手机网站
手机网站
网上银行支付、银行转账、账户注册、服务开通、账户密码检索...短信,曾经作为人们之间交流的主要手段,已经从时代的舞台上走了下来,成为各种验证码的聚集地。一些需要身份验证的个人金融服务尤其与短信验证码密不可分。
,但是短信验证码真的安全吗?
“一无所有”
“100多个验证码,支付宝、JD.com和银行拥有一切“
7年1月30日凌晨5点,豆瓣网友@一位在冰冷的河边钓鱼的老人——雪被他手机的震动惊醒。直到醒来,他才意识到不法分子转移了他支付宝、余额宝和相关银行卡的余额。此外,他还通过京东金条和白条的功能借了一万多元豆瓣网友贴出一条帖子:他一夜之间什么都没有。网民立即报警,并联系手机运营商处理关机事宜。由于所涉及的平台起初并不了解党的情况,在索赔失败后,他将自己的经验写成文字并发表在豆瓣集团。
”没什么这篇文章揭示了字里行间的无助和绝望,发表后吸引了大量网民观看。就在人们震惊的时候,8月3日,微博用户@ Songad Jiang的一篇文章“记录支付宝和银行应用被盗的画笔”再次引起人们对被盗画笔的关注。
网民@宋家江的手机在盗窃和刷洗过程中不断收到类似的验证码< br>
。在这种情况下,犯罪分子利用支付宝消费和借款,并“买单”消费,建行银行卡支出总计18696.29元,全部发生在8月3日05:01至07:39的两个半小时内。虽然这是一周内网上曝光的第二起盗刷事件,但根据后来去派出所报案的网民反馈,可能会有两起以上类似的案件:“3号派出所报案时,派出所抓到了一名盗刷嫌疑人,这与我被盗的方式非常相似。”“
确实是这样。广州市公安机关上月末举行的“打击新型违法犯罪成果”发布会上公布的数据显示,今年上半年,仅广州一地发现的电信诈骗案件就同比增长77.7%。这些电信欺诈中有许多类似于本月早些时候在互联网上曝光的两起失窃的刷子——大多数发生在半夜,受害者都睡着了,不知道手机经常收到各种金融和在线贷款服务的验证码。罪犯是如何得知受害者的短信的?我们如何防止类似的刷子盗窃?
“全球移动通信系统嗅探”花费不到50元
“对于我们的内部人士来说,这种盗窃刷子的方式一点也不新鲜“有疑问,我们联系了一位移动通信安全从业人员,他告诉记者:“虽然我们还没有看到相关的声明和公告,但从案件的细节来看,我们基本上可以确认这与GSM嗅探’有关。”
是什么意思?
我们都知道,无论是早期的2G/3G,现在的4G还是正在铺设的5G,手机之间的通信在很大程度上取决于运营商铺设的网络基站。以一个电话为例。当我们拿出手机打电话时,手机会向附近的基站发送呼叫请求。基站在尝试与目标手机建立连接之前,需要根据一定的标识凭证判断我们所在基站的覆盖区域:如果对方离我们很近,呼叫数据将只在本地基站之间传输,这是一个本地呼叫;如果双方相距较远,需要与其他基站连接,则需要传输距离长、过程更复杂的长途呼叫。
基站是连接移动设备< br>
的关键节点。值得注意的是,默认情况下,网络基站以无线电波的形式将信号发送到所有各方。在SIM中不存储IMSI识别码和通信协议的前提下,任何设备都可以接收基站在其覆盖区域内发送的所有信息这也是伪基站垃圾消息的工作方式——借助高功率伪基站设备,犯罪分子可以将垃圾消息推送到伪基站附近的移动电话,就像在各处分发小广告一样。
更重要的是,使用GSM协议的2G信道至今仍未完全淘汰,而2G信道使用的网络架构是完全开源的,在传输数据时缺乏必要的加密保护毫不夸张地说,以2G为主要承载模式的短信内容几乎以明文形式在空中传播。当
接收到大量验证码短信时,“GSM嗅探器”一方也学习到
,而未加密的GSM短信传输也给犯罪分子一个在GSM短信传输过程中借助一些特殊的监控设备阅读这些短信内容的机会这里的
“特种设备”看起来很高端,但实际上很便宜。
名相关人士表示,“全球移动通信嗅探”技术早在2010年左右就已经成熟。2012年,在GSM协议实施方案osmocomBB完全开源后,稍有阅读能力的人可以在不掌握复杂网络通信专业知识的情况下添加或删除GSM协议和功能。目前,主流的“GSM嗅探”技术是基于osmocomBB开源项目
在此基础上,“全球移动通信嗅探”相关中文教程也在2013年左右出现在中国根据本教程,制作一套“手机短信嗅探”设备所需的材料可以在淘宝、京东等常见的电子商务平台上购买。一台二手摩托罗拉C118功能机,数据线约10元,外加一个最便宜的20-30元的USB转串口模块,总成本不到50元。
摩托罗拉C118,常用于制造“GSM嗅探器”设备,已跌破10元的价格。在这些廉价设备的基础上,只需要将修改后的osmocomBB固件编译并刷入手机,就完成了一个可以用来监控附近短信内容的“GSM嗅探器”工具。如何预防
?2G“退休”迫在眉睫
既然“全球移动通信系统嗅探器”是一项由来已久的技术,门槛又如此之低,为什么与之相关的犯罪事件直到最近才开始出现?这里
有四个主要原因首先,软件和硬件的门槛在不断降低。全球移动通信系统嗅探核心组件的成本已经从五年前的20元降至30元,现在还不到10元。与此相关的编译和计算机刷教程已经跳出了最初的“极客圈”,可以用一点阅读和动手技能来练习。其次,近年来移动支付和电子商务的发展使得手机成为“身份验证”的关键环节。手机也大多与网上银行支付、银行转账、账户注册和检索等行为联系在一起,这些行为与个人财产安全密切相关。
再次,无论是社交媒体、网上支付平台还是网上银行,我们日常生活中接触到的各种网络服务基本上都实现了实名制,犯罪分子可以通过假冒基站“撞进图书馆”等行为轻松获取我们的私人信息,然后用“GSM嗅探”来实施盗窃刷。
“GSM嗅探”教程现在给< br>
带来了“新手”的困难。最后,不难发现,虽然主要运营商正在逐步“淘汰”2G网络,但将2G从历史舞台上完全淘汰还为时过早。市场上许多双卡双待机手机仍然使用“单4G”待机模式。喜欢“一张4G上网流水卡和一张2G日常联络电话卡”的朋友直接暴露在手机短信嗅探的风险之下。
正因为如此,特别是在“如何预防”的问题上,我们实际能操作的部分非常有限。虽然对于移动和联通用户来说,开通VoLTE业务并允许短消息通过3G/4G网络传输的方法可以有效增加短消息监控的难度,但单个用户的努力效果显然非常有限,打击刷卡需要用户谨慎,公安机关加大处罚力度,运营商加快VoLTE甚至RCS统一通信业务的推广。
用短信收件箱打包的验证码实际上携带了超出其自身安全性所能承受的东西。防止盗窃的关键是尽快“关闭”手机短信,尽快完成2G的退出。
