toppic
当前位置: 首页> 了解信托> 调查银行卡盗刷:短信漏洞多 应加把安全锁

调查银行卡盗刷:短信漏洞多 应加把安全锁

2022-02-14 16:19:52

8月14日,深圳龙岗警方宣布,已破获一个新的盗窃银行卡犯罪团伙,抓获了10名犯罪嫌疑人,缴获了6台假基站等电子设备,破获了50多起类似案件,涉案金额超过100万元。据专家分析,犯罪嫌疑人通过“GSM劫持短信嗅探”技术截取受害人的短信验证代码,从而完成盗窃刷子等操作。到目前为止,这是全国此类案件数量最多、金额最大的一次。

“基于短信验证码实现身份验证的安全风险显著增加。”全国信息安全标准化技术委员会在《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》中指出。  

奇怪的事情发生在网民身上

在梦中,接收短信,在线银被偷和刷。

早上5点。7月30日,从梦中醒来的网友们发现了一件奇怪的事情:“手机一直在摇晃。一瞥,它收到了100多个验证代码,支付宝、京东和银行。害怕醒来,看到支付宝、余额和相关银行卡的钱被转移了。京东打开金条,白条功能,借了1万多元。”

人在睡梦中,手机在身边。是谁远程偷看了短信验证码,还利用短信验证码完成了转账购物借贷等操作?据了解,这是不法分子通过“GSM劫持+短信嗅探”技术,实时获取用户手机短信内容,窃取用户信息,盗刷用户账户。  

`非法用户首先使用获取用户的移动电话号码,然后根据网上披露的数据库检查用户的姓名、身份证号码、银行帐号。然后在一些网站上开始注册或交易,窃取具有与用户位置相似特征的用户短信验证代码。北京大学信息科学与技术学院副教授陈江说。

有业内人士形容,嗅探硬件“小的跟手机差不多,大得像行李箱,最低成本只用花一顿必胜客的钱”。腾讯守护者计划安全专家周正介绍,目前绝大多数移动互联网服务都采用以手机号和短信验证为基础的识别策略,但国内GSM的语音和短信业务鉴权和加密性偏弱。犯罪分子使用定制化、成本低、易携带的嗅探系统,获取受害人的手机号和短信验证码,进而实施犯罪。  

此前已有多地出现“GSM劫持+短信嗅探”盗刷案件。2017年底至2018年8月,腾讯守护者计划安全团队协助北京、福建、广东等地警方打击此类犯罪团伙5个,抓获犯罪嫌疑人25人。  

短信有很多漏洞。

身份可以伪装,内容容易泄露。

注册新账号,需要短信验证码;忘记密码又想登录网站,需要短信验证码;在网上转账提现,需要短信验证码……当前,使用短信验证码验证用户身份的技术,被广泛应用于各类移动应用和网站服务。  

陈江说:“短信验证码虽然方便高效、容易普及使用,但存在‘是否用户本人使用本人手机完成验证操作’这样的漏洞,给不法分子伪装受害者提供了机会。”  

短信认证代码是账号安全的核心,承担着实名制认证的任务,是保证资金安全的关键,但目前的关注程度并不高。中国政法大学传播法研究中心副主任朱伟说。

非法人员通过短信验证码登录账户后,可以获取用户的快递地址、消费记录、通讯录等隐私信息,还可以开展资金被盗、电信欺诈、勒索等活动。通过“打图书馆社会工作者”的方式收集用户名、身份证号码。

除了被“偷窥”,泄露短信验证码的途径还有很多。有的用户点击了非法链接,手机被安装监听木马;有的不法分子伪装银行客服,直接索取验证码内容;还有运营商内鬼主动泄露,里外勾结。此外,短信云同步、自动填写验证码等功能的初衷虽是方便用户,却也可能被不法分子利用。  

安全升级

改发送方式加生物识别  

改变短信设置,使用VoLTE技术(基于4G的语音传输技术),切换到4G网络传输短信。关闭手机的蜂窝功能并切换到无线网络。“晚上睡觉时关掉手机或调整飞行模式。”为了避免短信验证代码被窥探,许多媒体和热情的用户给出了解决方案。

//s3.pfp.sina.net/ea/ad/9/15/0b1661530da6e29417e86f4aa2d174d8.jpg  

然而,这些计划不可能一劳永逸地完成。例如,即使4G短信被转移,违法者也可能会在4G网络薄弱的地区“监视”他们,或者使用特殊手段在2G较不安全的信道上“强迫”短信。

全国信息安全标准化技术委员会建议,网络平台可以要求用户主动发送短信用以验证身份,使用语音通话传输验证码,将用户常用设备和账号绑定,采用指纹识别、人脸识别等生物特征识别技术,同时随机选择多种方式进行验证。  

用户在传输敏感隐私信息时,应选择安全性较高的通信软件,当手机信号模式异常时,应及时改变网络环境。网络平台应增加多维动态验证机制,对账户异常行为进行强有力的检查,采用生物识别技术。运营商应提高4G网络复盖率和稳定性,促进VoLTE等高清晰度数据传输方法的普及。周铮建议。

“第三方支付机构要注意资金安全,发现异常及时停止服务,避免用户损失。同时,第三方支付也要和银行开展配合,形成立体化风控体系。”朱巍说。



友情链接