一觉醒来,积蓄就没了!警方详解新型高科技盗刷

原标题:短信嗅探是怎么回事?手机短信验证码真的安全吗?

图片 1

没丢手机也没丢卡,没扫二维码也没点链接,什么都没做,一觉醒来钱就没了?!这是最近发生在广州等地的新型电信网络诈骗方式。这种网络侵财手段是如何得逞的,该怎么防?它说明了哪些问题必须引起有关方面的关注?

关注微信公众号:“一品短信群发平台”

最近,不少人都遇到一种新型诈骗方式——明明什么事都没做,没丢手机也没丢卡,没扫二维码也没点链接,一觉醒来钱就没了!手机上还出现很多条验证码……

图片 2

告诉你更多

网友被盗刷一夜“一无所有”

据《广州日报》7月27日报道,近期警方陆续接报同类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行App登录账号和密码也已被篡改,损失惨重。

近日,“短信嗅探”进入人们视线中,因为一不小心骗子就会盯上你,在你没有察觉的情况下,就能轻松获得手机验证码,从而盗取你的财产。

支付宝京东回应

7月26日凌晨5时,越秀警方经过研判,对一使用特种设备高科技电信诈骗团伙实施收网行动,抓获疑犯3人。该团伙通过劫持GSM短信信息,用短信嗅探技术对受害人银行卡实施盗刷。自6月份以来,已作案16宗。

图片 3

8月1日,网友@独钓寒江雪 在网上发帖,称自己手机凌晨一直在接收验证码,接收了100多条,随后发现支付宝、关联银行卡的钱都被抓走了……

这是一种最新的犯罪手法,骗子通过“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容,进而利用各大银行、网站、移动支付App存在的漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。

短信嗅探是怎么回事?短信嗅探也称为“GSM劫持+短信嗅探技术”,一些诈骗团伙利用这样技术,在用户没有透露短信验证码情况下,即可轻松获取用户手机短信信息,从窃取用户个人信息,或者盗刷银行或者第三方支付资金等犯罪行为!

@独钓寒江雪 称,其在7月30日凌晨5点多醒来后,手机便一直收到短信息,总共100多条,这些信息是分别来自支付宝、京东、银行等的短信验证码,然后发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、白条功能,借走一万多。

今年7月,河南郑州警方也破获了类似案件。

具体过程如下:

图片来源:豆瓣@独钓寒江雪

有个伪基站就能收集短信

1、首先,诈骗团队先通过一些设备来自动获取附近的用户的手机号,在获取你的号码后,就会用这些手机号码登录一些网站或者APP,如银行、支付宝等,然后就通过“短信嗅探”来拦截这些网站或者APP发给用户手机的验证码。

对于该网友所遭遇的事情,有网友指出,是被犯罪份子用“GSM劫持+短信嗅探”的方式窃取到了短信验证码。

■实验时间:2018年8月6日

2、其次,这些诈骗团队通过登录一些网站,利用“撞库”而将你的信息匹配出来,如身份证、银行卡号、手机号、验证码等信息。

每经小编注意到,支付宝于8月3日晚间进行了回应,称将会先把损失的资金补偿给用户。

■实验地点:西安四叶草信息技术有限公司

3、最后,就是骗你冒充你,进行消费或套现,从而盗取非法财产。

支付宝表示,之所以当初保险判断为无法理赔,是因为在系统初次判定时,认为这个案子非常像本人操作,因为多次短信验证码等多个安全校验都一次性成功通过,并且近9成的资金是通过支付宝转入了用户自己的银行卡。

■实验人员:CloverSec实验室安全研究员余俊峰、王明星,华商报记者

等你反映过来,你的银行卡已近被盗了。在面对这种新型诈骗手段,许多网友发出疑问:手机短信验证码真的安全吗?

目前,支付宝将发起代位求偿,先行全额补偿用户在支付宝上的损失,然后配合警方,调查事实。 而据虎嗅网消息,对于@独钓寒江雪 所说的京东方面让其“个人承担金条贷款”的情况,京东方面发表声明称:

■实验设备:软件无线电平台、GSM测试手机、笔记本电脑

对于大家的担心,不少媒体和警方已近给出解释:

经过调查,这是不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容,进而窃取用户信息、盗刷用户账户进行的网络诈骗。短信嗅探的原理是不法分子可以在伪基站范围内获取到用户收到的的所有短信,而与此同时用户却毫无知觉。基于短信嗅探技术的新型黑产网络诈骗已经危及到了部分用户的财产安全,导致用户在各大银行、互联网平台都受到了不同程度的资金损失。

■实验顾问:国内知名网络安全专家、四叶草公司CEO马坤,西安电子科技大学网络与信息安全学院教授、博士生导师杨超

一般短信嗅探主要针对2G的GSM信号,不过诈骗团伙会干扰附近的手机信号,使4G变为2G信号后,再窃取你的短信信息。所以你发现你手机信号在4G和2G转换时候,你就要当心了!

京东金融对此事高度关注,并设立了专门的盗刷案件处理通道,针对用户反馈的情况我们会第一时间对案件进行核实。

什么叫短信嗅探?安全研究员余俊峰和王明星给记者做了现场演示。

而且,诈骗团伙大多选择凌晨作案,因为这个时候,大多数人们正处于休息阶段,所以大多数人没有防备。

秉承用户利益为先的原则,我们会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。

一套连着天线的特殊无线电设备、一台笔记本电脑以及实验用的手机,就是实验设备。王明星在电脑上操作了一会儿,便抓到了一些手机用户的通信信息,都是满屏不断变化的数字,看起来很复杂。但王明星操作了几下,便可以看到几个手机用户收到的短信内容,这些内容完全是明文的,内容一目了然。

图片 4

今日上午,@独钓寒江雪 在其个人微博@-美年达芬奇 表示,支付宝和京东已分别向其致电并索要相关资料。

余俊峰介绍,说得简单一点,这套设备就是升级版的伪基站。和发垃圾短信的伪基站以发送为主不同,它的主要功能是接收。“它可以接收真正的通信基站发给所有附近相应信道手机用户的信息。这些信息不仅包括短信,还包括语音。接收的时候,并不会影响手机用户的正常使用,所以用户根本不会觉察。不过,它的影响范围是有限的,只能接收附近一定范围的相关信道手机用户的内容。”余俊峰说,演示使用的这套设备,是他们为了研究对付这种这种作案手法而自制的,只有一个信道。“不法分子为了达到侵财目的,使用的设备会更先进,可能会有很多信道,可接收附近所有相关信道手机用户的通讯信息。短信验证码,就是这样被不法分子获取的。”

对于大多数人来说,只要大家一些防范措施,还是可以有效避免“骗子”盯上你的。

骗子将4G变为2G信号后

但只拿到短信验证码,不法分子是无法窃取用户的财产的。余俊峰解释说,不法分子还获取到了用户的手机号码、身份证号码、银行账号等非常关键的个人信息。这些信息,不法分子往往会通过登录其他一些网站从中碰撞出手机用户的身份信息(这种办法被称为“撞库”),或者社工手段获取。拿到这些信息后,不法分子会在一些平台开通账号并绑定事主银行卡,冒充手机用户消费或套现。等受害者一觉醒来,发现手机里一大堆验证码的时候,钱已经飞走了。

第一、设置其他支付验证,也就是说除了短信验证码支付验证码外,还可以增加语音验证、人脸验证、指纹验证等,这样骗子只能获取你的短信验证码,也不能盗取你的财产!

再窃取你的短信信息

这种技术主要针对2G的GSM信号,但技术手段较强的不法分子可能会采取干扰手机信号,使4G变为2G信号后,再窃取用户的明文短信验证码信息的办法。当然,这个难度相对来说比较大。为了不让受害者察觉,不法分子通常会选择在人们都已熟睡时作案。

第二、针对骗子凌晨作案,你可以设置夜间不支付的限制。

这个不是开玩笑,不是危言耸听,是真的!公安界大V@江宁公安在线 专门发帖科普此事。

西安电子科技大学网络与信息安全学院教授杨超认为,这与GSM网络的三个缺陷有关:一是GSM网络短信不加密,明文传输;二是手机和基站之间是单向认证,给伪基站有机可乘;三是手机号虽然不能轻易拿到,但IMIS设备串码用技术手段拿到,拿到串码就可能结合个人隐私的泄露来定位机主其他隐私信息,包括拿到手机号。

第三、这个要保障你的手机信号一直锁在4G上,就能很好防范被劫持。

下面就来具体说说,这种新型的“GSM劫持+短信嗅探技术”。

网络安全专家马坤表示,这种设备是以前的伪基站的升级演化版,只不过是把专项功能从短信群发转化为短信调取,它利用了GSM网络协议明文传输的缺陷。这种缺陷的弥补难度很大,所以才需要升级到3G、4G、5G。不过,现在所有的手机都支持2G网络,这也是手机最基本的功能。在这种情况下,不法分子就可能通过设备把4G、3G信号屏蔽掉,只让手机采用2G网络,然后利用2G网络协议缺陷获取用户信息。

第四、养成睡觉前关闭你的手机的信号,只连接WIFI。

据广州警方通报,近期,多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改,损失惨重。

余俊峰介绍,其实不仅仅通过“短信嗅探”可以获取手机用户短信验证码,实验证明,手机云端账号和密码泄露、手机被植入木马等,都可能导致验证码短信被不法分子获取。在这么多漏洞的情况下,一些网络平台依然只依赖短信验证码作为身份验证,这已非常不靠谱。短信验证码不仅可修改登录密码,甚至可更改支付密码,这导致安全防范方面存在巨大漏洞。

一品短信平台提醒:现如今,手机短信验证码一直是人们验证的主要方式,也相对是比较安全、便捷的,但是也不可避免一些骗子钻其中的漏洞。在这种情况下,要做好个人手机、银行、身份证等信息安全保障,不要随便在一些陌生的网站留你的信息。(声明:以上图片来自于网络,如果侵权,请联系小编及时删除!)

返回搜狐,查看更多

责任编辑:

民警介绍,骗子通过这种技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。

那么,究竟该如何预防这种犯罪手段?马坤建议:1、相关部门和通讯运营商多配备一些伪基站检查车,加大对伪基站的打击力度。运营商不仅要考虑可用性,还要更多地考虑安全性。2、App平台不能过于依赖短信验证码这种验证方式,需要用加强验证。3、如果发现手机没有挪动位置信号却突然从4G变成2G,要能意识到可能正在遭遇攻击。4、如果发现钱被盗刷,火速冻结银行卡,保留短信内容,报警。

具体来说是这样的:

杨超建议,个人用户要注意以下几点:1、晚上可以把手机关机或设为飞行模式,这时就不会发串码,而基站在发短信时若发现手机是关机的,也就不会发短信;2、使用各种App不要光采用短信认证,如果平台有多因子认证方式的话,应尽量打开;3、手机银行和第三方支付平台支持的话,可通过设置交易限额以及禁止夜间交易的方式来避免晚上被不法分子盯上。

一、骗子通过特种设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码。

余俊峰建议:短信云同步功能,建议个人用户权衡利弊谨慎开启,因为开启这个功能,一旦云账户被盗,会给犯罪分子提供极大的便利,即不用接触手机,通过网络就能获取短信验证码。(华商报记者 马虎振 摄影 邓小卫)

二、骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”,将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。

三、骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。

等你一觉醒来,发现手机里一大堆验证码的时候,你的积蓄已经飞走了。

本来,这种技术主要针对2G的GSM信号,但骗子狡猾之处就在于,他们会干扰附近的手机信号,使4G变为2G信号后,再窃取你的短信信息。

另外,该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来只有手机里莫名其妙的验证码……

据广州警方通报,截至今年6月,广州警方已陆续破获多起此类案件。广州越秀区警方经过研判,对一使用特种设备高科技电信诈骗团伙实施收网行动,抓获疑犯3人。据悉,该团伙自6月份以来,已作案16宗。在增城区警方破获的一起案件中,犯罪团伙部分人员以无线电爱好者或电子通信设备“发烧友”为主,负责制造、销售该类特种设备;还有部分嫌疑人负责利用公民个人信息实现盗刷套现。

广州警方查获的GSM劫持设备

但是从网友爆料的情况来看,这一类团伙目前仍然存在。据微博@江宁公安在线说,此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子,对于普通用户来说基本上是无法防范的,也给警方的侦破工作带来了很大的挑战!

好在此类技术在具体实践中受到硬件和原理的限制,暂时不能覆盖过多的手机号,所以受害人较少。

@江宁公安在线 呼吁,各大运营商和企业尽快采取有效技术手段,尽快解决此问题。银行和金融类app可以考虑采用其他双向验证辅助手段提高安全效率。警方也表示,这种手法能够得逞,“根源还是在于信息泄露!” 尽管这种手法难以防范,但是大家也不用太担心。

@江宁公安在线 表示,GSM协议的问题早已经被关注到,目前这方面的系统换代升级也在进行中。

而验证码短信主要还是由于本身处于明文传递才导致泄露高风险。目前绝大多数支付类,银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制。

此外,如果单单泄露验证码,问题是不大的,绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。GSM劫持防不了,其他信息泄露还是可防的!

对于这种“黑技术”

普通人必须注意这些!

1.平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;

2.睡觉前关机或者设置飞行模式,或者关闭手机的移动信号,只连接WIFI,这样能略微提高被嗅探的难度。

3.如果早上起来,看到半夜收到奇怪的验证码短信,一定要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,保留短信内容,报警。

4.如果突然发现手机信号变成2G,要立刻意识到自己可能正遭遇这种攻击,并采取以上方式防御!

此外,据网友补充,有些银行APP安全功能可以对此进行防备,比如开启常用设备管理

设置夜间不可交易

如果大家的APP有这些功能,就赶紧开起来!

每日经济新闻综合文汇报、广州日报、虎嗅网、腾讯“守护者计划”、新浪微博等如需转载请向本公众号后台申请并获得授权

本文首发于微信公众号:每日经济新闻(博客,微博)。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。