首页 >旅游

被短信嗅探盯上一觉醒来一无所有

2019-05-15 05:21:06 | 来源: 旅游

没丢、没丢卡,没扫二维码没点链接,没连WiFi没被远程换卡,只是睡了一觉便资产全无。当中的应用愈来愈多、绑定的服务也越来越多时,谁会想到短信验证码引发的连锁反应,能让一个人在一夜间存款为零?

8月1日,友独钓寒江雪的在半夜连续接到100条短信验证码,她醒来发现不但自己的支付宝、银行账户被盗,还被贷了款。《IT时报》通过独钓寒江雪描述的被骗经过,试着重走幕后黑手攻击之路发现,全部链条风谲云诡、环环紧扣。独钓寒江雪被黑客掌握的不但仅是短信验证码,还有她的身份证等个人信息,而有了这些,黑客完全可以做到交叉验证修改你的登录、支付密码。

专家提示,当越来越多的站要求你填写身份证信息时,一定要审慎填写,而银行、第三方支付、互联企业在验证你是你时,不要过度依赖短信。

事件调查

一觉醒来 账户被盗刷

8月1日,友独钓寒江雪在上发帖,称其在7月30日凌晨5点多醒来后,发现一直在震,来自支付宝、京东、银行等站发来的100多条验证码密密麻麻,时间都在7月30日凌晨1点至4点之间。 独钓寒江雪一下睡意全无,查询名下账户时发现,不但支付宝、余额宝、余额和关联银行的钱都被转走,骗子还在京东开通了金条、白条功能,借款1万多元。独钓寒江雪不明白,为什么在自己手里,验证码没有告知任何人,骗子却像另一个自己一样,熟练地操作所有的账户。

支付宝回应:

操作者通过了多个验证因子

独钓寒江雪的遭受在上引发热议,支付宝成立调查小组,复原其1点42分至3点21分的支付宝账户状态发现,骗子在登录支付宝账户后修改了登录密码、支付密码、绑定银行卡之后便开始上购物,并三次通过支付密码将支付宝的资金提现到用户名下的银行卡,再将银行卡中的钱转走。

支付宝相关人士告知《IT时报》,独钓寒江雪次联系支付宝理赔时,支付宝拒绝了,因为从账户当晚操作的状态来看,像是账户本人或是熟人操作,登录账户、修改密码、购物、提现的校验全部一次通过。

这件事比较罕见,操作者验证通过了多个校验因子,包括短信验证码、用户的多个个人信息,而且绝大多数钱都转到了用户自己的银行卡上,这和以前出现的被盗案子不太一样。支付宝调查小组认为,保险公司次判定拒赔的原因,是从操作状态来看,极像本人或身边人操作,短信验证码等所有验证手段均一次性成功通过,给判断这起案例的性质带来了极大困难。现在,支付宝会先行全额补偿用户的损失,配合警方,对案件进行处理。

安全专家分析:

短信嗅探、木马都有可能

发帖中,独钓寒江雪猜测自己遭受了GSM劫持+短信嗅探。这是一种新型伪基站诈骗手段,利用GSM 2G络的设计缺陷,实现不接触目标就能获得所接收到的验证短信,进而利用各大银行、站、移动支付App存在的技术漏洞和缺陷,实现信息盗取、资金盗刷和络诈骗等犯罪。骗子多在用户睡熟的深夜操作,黑客可以看到这个基站区域内所有用户收到的短信,从而获取短信内验证码等敏感信息,而他做这一切的时候,用户毫无知觉。

在这个进程中,黑客就像是一条经过专业训练的猎犬,在黑暗中悄无声息地辨别事物,因此被专业人士称为短信嗅探。

一位运营商内部人士告知《IT时报》,短信嗅探涉及的关键技术缺陷是GSM通信协议采用的单向鉴权方式,鉴权弱、明文传输的弊端,很容易被劫持,目前中国移动与中国联通的短信依然是通过2G的GSM络制式传输,而中国电信采用的是CDMA络,由于CDMA络会对每一次通话、短信的过程进行鉴权,鉴权的过程相当复杂,且秘钥只在络核心侧和基站侧之间传输,不法分子无法获取,也没法通过鉴权拦截用户的短信。

截至目前,从警方侦办的案例来看,确实尚未发现中国电信用户遭受该类技术攻击的情况。

五6年前,我的同事就曾经试过,监听短信很简单,伪基站覆盖范围内,所有受影响的2G短信都会被监听,但现在大多升级到4G,这意味着攻击者的门槛更高了,成功几率更低了。络安全专家李铁军告诉《IT时报》,虽然通过延续的信号干扰能让熟睡中的人们信号一直处于2G状态,但会被无线电监管部门发现。除了GSM劫持+短信嗅探,此外,其他可能性也应考虑到,比如某个App同步备份了短信内容。

中木马也可以盗取用户通讯录和短信内容,如果受害者中了类似木马,可能难以及时发现。广州凌晨络科技有限公司DLG安全研究实验室的白帽子告诉《IT时报》,虽然从案例分析,本案并不像被钓鱼Wi-Fi攻击致使,但用户也应注意到,钓鱼热点和寄生虫热门是现在恶意Wi-Fi攻击常见的攻击方式,一旦用户连上寄生虫热门,热门上的恶意程序会不断捕捉和篡改用户信息。

实测

短信验证码+身份证信息能做啥?

8月6日至8月8日,《IT时报》选取部分样本,根据独钓寒江雪被骗的经过,假设自己已遭到GSM劫持+短信嗅探,分别尝试登录银行、移动支付、电商站、社交平台及电子邮箱,看看究竟我们的络生活是否安全。

波 银行+支付类App:+验证码+身份证号 便可转账

8月7日,尝试在非常用上登录同事的招商银行掌上生活App,登录需要两个步骤的验证,短信验证码+手势密码,而修改手势密码只需要用户的身份证号。

虽然同事还设置了面部识别登录,但由于已经修改了手势密码,面容登录即被关闭。若要在App里动用资金,修改支付密码和开通小额免密功能,操作人需要输入信用卡的安全码、有效期、查询密码、验证码或输入持卡人借记卡的姓名、身份证号、号码、验证码。因此,如果用户的信用卡卡面信息或是银行卡号账户泄漏,账户便可完全被他人操作,但这个攻击场景相对难度较高。

与此相比,登录支付宝及修改支付宝密码则显得容易得多。同样使用自己的尝试登录同事的支付宝账户发现,只需知道短信验证码、号及用户姓名便可登录,如果再掌握主人的身份证号,还能修改支付密码,于是成功修改了同事的支付密码,完成了充值、转账等操作。

京东钱包和京东金融一样通过用户号、短信验证码、用户姓名就可以对用户的登录密码进行修改,修改支付密码的验证步骤也比银行简单很多,只需短信验证码、转账卡号和用户身份证号即可修改支付密码并转账。如果要在京东金融中贷款,则需要完善用户的基本信息,比如姓名、身份证号、号、学校、学历、家庭地址、月收入、工作地址,并要在刷脸认证中扫描身份证并进行人脸辨认。

测试发现,如果黑客通过短信嗅探控制了你的短信验证码,同时根据号码在此前已经掌握的各种信息社工库中找到你的身份证姓名和号码,那么攻击相对要容易很多,独钓寒江雪的情况极可能就属于这类。

第二波 电商+社交+邮箱类App:仅需+验证码

相较资金账户,登录电商、社交、邮箱等互联应用就显得轻松许多,加短信验证码便可登录淘宝、京东、易考拉、易邮箱、189邮箱。

登录与需要勾选好友头像、滑动拼图等二次验证,《IT时报》尝试用已被攻破的同事支付宝账户直接登录了她名下的淘宝账户,家庭地址、公司地址、联系方式一目了然,再加上之前已提前修改了支付密码,充值或购全无障碍。

修改京东的支付密码则需要验证6位原数字密码、短信验证码,再加一张用户名下的银行卡号。

、虽是社交运用,但亦触及钱包、钱包,即便成功登录他人或,在支付时依然需要输入用户原支付密码来验证身份。但与支付宝类似,如果掌握了用户的姓名、银行卡号、身份证号及短信验证码,便可成功修改用户的支付密码。

测试结果表明,银行类App安全性,支付宝、支付次之,大部分电商、社交、邮箱类App虽只需号和短信验证码即可登录,但若涉及支付环节,需要更多个人信息进行验证。

深度分析

风险根源:隐私数据的泄露

通过上述测试不难发现,用户即使遭受了GSM劫持+短信嗅探,但若没有泄露个人信息,骗子只能登录账户,没法完成支付、转账等操作。

风险本源在于信息泄漏,黑产攻击会考虑性价比,根据目标价值采用相应的技术手段,对于普通民来说,从隐私数据入手,仍然是的。

简单的密码基本没什么用,都在黑客的密码字典里。李铁军说,密码绝大部分是加密存储,有一个秘文,通过解密算法也无法得到明文,但此前有些站的数据库明文加密文一起泄露,而明文和密文构成一张表,这就是黑客的密码字典。

早在几年前,信息泄漏的数据量以亿计算,黑客手中掌握的社工库数据有上百亿条。除非特别复杂、个性且经常更换的密码,否则基本都在黑客的密码字典里。李铁军告诉《IT时报》。

许多资金被盗、诈骗案件的背后都有地下黑库信息的推波助澜。日常生活中,用户信息泄漏的渠道很多,黑客拖库、站出售、各类电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头,比如订酒店提供的姓名、身份证号、号,如果该酒店管理不严或系统存在漏洞,用户会在一瞬间泄露三个关键信息。

络黑产的工作流程是怎样的?广州清晨络科技有限公司DLG安全研究实验室人士告诉《IT时报》,这条产业链分工明确,是有组织、有计划的团伙式犯罪行为。进程大致分为开发制作、批发零售、欺骗实行、分赃销赃四个流程。有人专门负责制作钓鱼、木马开发、伪基站等黑产需要的软硬件,以后通过钓鱼零售商、域名贩子将这些工具分销出去,再由小马仔去线下实行布点或线上诈骗,钱成功骗到后还有专门的财务会计将这部分资金洗白,比如通过人民币购买Q币,再将Q币卖出去。洗白后的钱,通过分赃中间人进行分赃销赃,在这条黑产链条中,银行卡贩子、卡贩子、身份证贩子虽然也算是黑产中的一员,但比较边缘化。上述白帽子称。

中国到底有多少用户的信息被泄露很难统计,但从今年7月山东破获的一起特大侵犯公民个人信息案中可见一斑,在这起案件中,公安机关共查获公民信息数据4000GB、数百亿条,此案触及的数据隐私性高,包含了号、上基站代码等40余项信息要素,记录了每一个用户具体的上行为,甚至部份数据能够直接进入公民个人账号主页。

手记

不要不把身份证号当回事

看到独钓寒江雪的经历,再与几位安全专家聊完后,感觉自己仿佛一个络透明人,一口气改掉了多个密码,删掉了早些年设置的密保问题,专家打趣道:你能意识到自己是透明的,反而更安全。

当我们习惯于把生活转移至互联上时,那些行动轨迹在络上难以抹去,带着个人信息的各种数据在互联上几乎随处可见,并可轻易取得。李彦宏曾说,中国的消费者愿意为一些利益提供自己的数据,虽然此观点被民狂喷,但事实上反思一下,你是不是也曾为了薅点羊毛,在某个站上实名注册了自己的身份信息?

此外,随着实名制日益普及,愈来愈多的互联企业将短信验证码作为自己的安全屏障。各大银行上银行、上商城、团购站、票务公司等企业使用短信验证,确实可以依赖于卡实名制,大大下降非法注册。

但是,当短信验证码可以登录、修改密码等操作出现在直接或间接与资金相干联的应用时,大家似乎忽略了,你与账户之间只有一条验证码。建立在2G GSM络上的短信验证,犹如将互联账户安全大厦建立在沙滩上,很容易被黑客釜底抽薪。

当然,安全与便捷从彼此出身的那天起,便犹如坐上跷跷板,此高彼低,从目前来看,也确切很难找到比短信更加方便、快捷并可大范围运用的验证方式。但是,道高一尺魔高一丈,当黑客的技术在不断进步,攻破互联上的一道道防线时,各家互联公司是否是也可以将自己的防护墙摞的更高一些?事实上,有专家表示,除了短信验证码,互联公司完全可以通过设备信息、地理信息等更多数据进行内部逻辑循环判断,这个动作并不会在前端影响用户体验,却可以更好判断你就是你。

希望,一条验证码让人倾家荡产的案件只是个例。

月经推迟经量少原因
月经量异常吃什么药
月经量异常是什么问题

猜你喜欢