• <bdo id="yic4m"><samp id="yic4m"></samp></bdo>
    <input id="yic4m"></input>
  • 百科 > IT百科 > 百科學堂 > 正文
    百科學堂

    電信用戶才能幸免?這漏洞能讓你一夜傾家蕩產

      事情是這樣的(來自豆瓣UP主獨釣寒江雪):

    獨釣寒江雪

      是的,手機在手,身家全丟。如果你還記得3年前那場鬧得沸沸揚揚的「換卡詐騙」,就知道類似這樣繞過用戶的詐騙方式已經發生不止一次了。不同的是,換卡詐騙最后在運營商取消在線換卡業務后得以遏制,而這一次,解決代價太大,防御手段太少

    天降短信驗證碼?你的網銀支付寶可能被盜了

      在UP主描述中,最醒目的字眼就是「接收了100多條驗證碼」。按理來說,即便是有人用UP主的手機號登陸網銀支付寶,驗證碼都是發送到UP主手機上的,別人怎么會知道?

      問題就出在「接收環節」上。大部分手機短信都是通過GSM(2G)網絡傳輸,由于GSM短信無加密措施,短信內容因而能夠輕易地被不法分子監聽,這種監聽手段被稱為「短信嗅探」。

    短信嗅探

      但是短信嗅探只能監聽到短信內容,還無法獲知短信接收者的手機號碼。于是,不法分子就通過「GSM劫持」的方式偽造目標手機活動。這個GSM劫持也被稱為「GSM中間人攻擊」,其原理是:

      攻擊者搭建GSM(2G)偽基站,誘使目標手機駐留在偽基站上,同時聯通偽終端與運營商網絡。如果在聯網過程中被要求鑒權,鑒權請求會通過偽基站發送至目標手機,目標手機返回鑒權響應并傳回至偽基站,偽基站將鑒權響應傳給偽終端,再由偽終端返回到運營商網絡,完成鑒權。

      鑒權完成意味著偽終端成功欺騙運營商網絡,取代目標手機聯網。之后,攻擊者只需要以目標手機身份向自己持有設備呼出電話,就可以獲取目標手機號碼。

    外呼電話
    ▲ UP主同樣經歷莫名外呼情況

      接下來,不法分子通過黑產途徑或者撞庫的非法手段竊取目標關鍵信息,包括目標的身份證號碼、銀行卡號、關聯賬號以及其他可以證明「我就是本人」的重要信息。憑借這些信息,不法分子就可以冒充你的身份,偽裝你的手機,實行一系列的資產轉移、盜刷活動。

      根據支付寶官方對UP主資金被盜事件的公告:攻擊者成功騙過了判定系統,讓系統誤認為是「用戶本人操作」,不觸發風控,而且「多次短信驗證碼等多個安全校驗都是一次性成功通過」

    支付寶官方

      而且攻擊者通常都比較雞賊,選擇團伙作案,深夜作案。一方面,團伙作案流程化、速度快,幾小時內就能把受害者的資金賬戶清空。UP主睡著的這幾小時,支付寶、京東金條、銀行卡無一幸免。

      另一方面,「GSM劫持+短信嗅探」的手段不能攔截短信,也就是說攻擊者接收到的短信,目標手機也能收到。為了不驚動受害者,不法分子選擇在夜深人熟睡時下手。要不是UP主被尿憋醒,發覺資金被盜的時間可能還要往后推遲幾小時。

      就這樣,神不知鬼不覺的,UP主半輩子積蓄就沒了。

    犯罪成本低至一頓必勝客,運營商和互聯網公司頭大了

      文章開頭說到,GSM劫持和短信嗅探的解決代價太大,根本原因在于GSM(2G)網絡存在先天性缺陷且無法修復。只要短信仍通過GSM網絡傳輸,用戶的短信內容就仍在不法分子面前裸奔。

    移動運營商

      要想徹底堵住這個坑,唯一的辦法就是關閉2G網絡。然而據統計,截至2017年仍有近3億用戶在使用2G網絡,一刀切地關閉2G網絡顯然不現實,最可行的辦法就是將2G用戶逐步向4G遷移。雖然國內的移動運營商已經加緊了2G網絡向4G網絡遷移的腳步,但這個過程仍需要等上很長一段時間。

      不少媒體在事后建議用戶「開通VoLTE業務」,這實則是在揚湯止沸。開通VoLTE業務意味著短信優先從安全等級更高的3G/4G網絡上傳輸,注意這里是「優先」而非「絕對」。也就是說,當3G/4G信號不好或者受到干擾時,短信傳輸通道仍會回落到2G網絡。

    偽基站
    ▲ 偽裝成外賣保溫箱的偽基站

      在2016年的HITB安全峰會上,就已經有安全專家指出,攻擊者可以通過干擾3G/4G信號或者設立4G偽基站等途徑強制將用戶網絡降級至GSM(2G),從而實施「降級攻擊」。所以,開通VoLTE業務并不是絕對靠譜的,只能一定程度上提高不法分子的犯罪成本罷了。

      至于犯罪成本,權威機構和人士是這么說的:

      全國信息安全標準化技術委員會在年初發布的一份網絡安全實踐指南指出,截獲短信的攻擊手段早在2010年已出現。而詐騙事件在現在才爆發,原因之一是犯罪成本的降低。

      指南提到,攻擊手法各主要環節已經工具化和自動化,攻擊門檻降低,一般攻擊者可通過購買工具實施攻擊。據騰訊安全玄武實驗室負責人TK所述,「最小實現的硬件成本只要一頓必勝客的錢」。

    TK

      詐騙集中在今天爆發,其實還有一個更重要也更值得關注的原因:互聯網公司甚至是部分銀行對短信驗證碼的賦權過重、依賴太強

      自手機號實名制落實以來,越來越多的互聯網公司把手機號碼登錄作為用戶登錄的首選方式,部分第三方支付服務只需短信驗證碼+銀行賬號就能完成銀行卡綁定、支付密碼修改等關鍵行為。

    短信驗證碼

      對公司而言,短信驗證在完成登錄的同時,也完成了對用戶身份的確認,一舉兩得。如果用戶非法操作,公司即可通過手機號碼追溯用戶身份,將風險和責任承擔降至最低。而短信驗證碼具有動態、隨機的優勢,在一定程度上,短信驗證的方式比明文密碼更安全。

      然而,一定程度上的安全就是不安全。當下,信息黑產已經公開密碼,獲取他人的敏感信息只剩一個錢的問題。目標對象的所有資料都能獲得,區區一個短信驗證碼又怎么可能攔得住犯罪的腳步?更何況,短信驗證碼這一環已經被攻破了。

    網絡

      對此,互聯網公司甚至是銀行金融業有必要對存在的短信驗證碼方式進行摸底,評估安全風險,升級驗證措施。根據全國信息安全標準化技術委員會提供的建議,公司可以通過增加短信上行驗證、語音通話傳輸驗證碼、常用設備綁定、動態選擇身份驗證等方式增強用戶賬戶安全性。

      然而增強安全性又意味著公司成本的增加,這筆投入對巨頭來說也許不值一提,但對初創甚至是小微企業而言,可能就只能在成本和用戶信息安全之間二選一了。所以,在有關部門出臺相應政策之前,建議性措施的落實效果很有可能要大打折扣。

    可憐弱小又無助的用戶,這些方法真能金身保命?

      許多媒體已經針對這次網絡詐騙給出了應對方法,但是經實際查證,幾乎每個方法都存在被成功攻擊的概率。是比較悲壯,但我們還是很有必要了解一下這些方法,也算是曾經掙扎過。

      1. 轉網,成為電信用戶

      有別于中國移動和中國聯通的GSM,中國電信的2G網絡制式為CDMA,幾乎無法嗅探。也就是說,中國電信用戶是此類攻擊的唯一免疫人群。

      2. 睡前關機

      關機可以從短信接收端防止被嗅探,只能增加攻擊者的犯罪成本。因為即便是目標手機處于關機狀態,攻擊者仍可以嘗試到短信發送端嗅探短信。比方說,攻擊者想要盜取你的微信號,TA可以去騰訊總部外發短信的設備附近嗅探(前提是TA能找到設備在哪里)。

      3. 開通VoLTE業務

      這個方法前面已經提到,只能增加攻擊者的犯罪成本,而不能抵御攻擊。具體開通方式如下:

    電信用戶:短信ktvolte發送至10001

    移動用戶:短信ktvolte發送至10010

    聯通用戶:短信vbncdgfbde發送至10010 (對了,部分地區尚不支持VoLTE業務)

      是的,對賊人的手段,你能做的只有這么多。

      還能怎么辦?但愿,天下無賊罷。

    網友評論
    今日福彩3d试机号
  • <bdo id="yic4m"><samp id="yic4m"></samp></bdo>
    <input id="yic4m"></input>
  • <bdo id="yic4m"><samp id="yic4m"></samp></bdo>
    <input id="yic4m"></input>