伪基站
手机收到的验证码和提示短信
近日有网友发文称,早上醒来发现自己的手机收到了100多个验证码,支付宝、余额宝和相关银行卡的余额全部转出,京东账户用金条和白条的功能,借用和转让。走一万多。这一消息引起了极大的关注。
扬子晚报紫牛新闻记者发现,近期被此类短信验证码攻击的人不在少数。之前的报道没有全面解释攻击方式,“睡觉时关机”等预防建议也不一定有用。专家指出,短信验证码攻击的不断发生是攻击工具产业化的标志。使用手机短信验证身份已不再安全,需要尽快改进,选择更安全的方式。紫牛新闻记者宋世峰
连续发生短信验证码攻击,多在深圳龙岗
8月1日,深圳市龙岗区“豆雕韩江雪”网友发文称,“7月30日凌晨5点,被小便惊醒,发现手机一直在震动。一看,收到100多个验证码,支付宝,京东,银行什么都有卡都转了,京东账户开金条白条功能,借了1万元,好多啊。”
另一名受害者住在深圳龙岗中心城附近。他告诉紫牛新闻,7月24日早上6点睡觉时,突然听到电话响个不停。收到100多条短信验证码后,“支付宝、京东、银行、买房都可以,突然看到2999元的消费金额,我猛然醒悟。” 他立即打电话给中国建设银行挂失了卡。,京东账号被冻结,然后到派出所报案。报告期内,发现支付宝被盗刷466.12元,建行卡被盗刷5000元,京东白条借款19000元。
深圳市龙岗区还有一名较早的受害者。他告诉紫牛新闻,自己在5月27日晚被短信验证码攻击,不法分子通过这种方式入侵招行一网通客户端,将他的信用卡金额从3万元提高到4万元,然后都被偷了。由于他的农行卡也绑定了招行的一网通,所以这张卡的部分余额也被刷掉了。第二天早上,他打开手机,却发现自己收到了70多条短信验证码和支付信息。7 月 5 日晚上,他的妻子遭到同样的袭击。
虽然深圳龙岗区可能是一个频繁的区域,但此类攻击并不局限于此。武汉受害者倩倩(化名)告诉紫牛新闻,她在7月18日凌晨遭到袭击,建行网银被盗,京东账户被黑,但因为她的银行卡余额只有超过300元,所以实际损失并不多。
维权人士频频被推卸责任,受害者体验“能写一本书”
遭受袭击后,受害者很难捍卫自己的权利。他们只好去派出所报案并记录对账单,去银行做流水账,查询账户异常,联系支付宝客服,京东客服,各银行客服,并等待各委员回复。
唐先生的亏损主要发生在京东的平台上。. 在其他受害者与支付宝等机构谈判时,也经常会遇到类似情况。
一些受害者无奈选择在网上自曝,而网友“独自捞韩江雪”的经历被媒体披露后,京东、支付宝等第三方支付平台的态度开始转为积极。
京东4日表示,可免除“钓鱼汉江雪”11000元金条贷款。支付宝工作人员5日告诉他,通过支付宝消费的Q币充值订单,他将赔偿932.31元,并行使代位权。唐先生6日接到京东电话,表示愿意赔偿损失,但仍需提交一些资料。京东金融市场部吴芳女士告诉记者,京东金融对此事高度重视,专门设立了诈骗案件处理渠道。
相比之下,受害者通常发现与银行谈判更加困难。芊芊先去了银行,却遇到了推诿。她去派出所做记录,但金额不足以立案。警方要求她向银监会投诉该银行。她投诉后,银行打来电话,回复说案子发回开户银行,有人联系我提供资料进入理赔流程。但提供资料后能否理赔,还要看省行的审核,最多可以赔付70%的诈骗金额。被自己和妻子袭击的受害者告诉记者,“从五月到八月,
一两百元搞定攻击设备,手机短信安全堪忧
此次短信验证码攻击曝光后,有人称之为“GSM劫持+短信嗅探”攻击。犯罪分子建立虚假基站,获取周边手机号码,然后利用短信嗅探设备对短信进行嗅探。不过,一位信息安全行业的资深人士表示,目前无法确定具体的攻击类型,目前有多种方法可以达到获取短信验证码的目的。
邹晓东(Seeker),中国海天集团有限公司创始人兼CEO,在网络安全行业享有盛誉,被誉为“黑客炼金术士”。2016年,他暴露了利用假基站攻击短信验证码的漏洞。邹晓东告诉紫牛新闻,攻击短信验证码的方式一般有4种,其中两种不需要伪基站。更可怕的是,在这4种方法中,有3种可以屏蔽短信,不让受害者手机接收到短信。如果您在手机上没有看到莫名其妙的验证码和消费提示,受害者甚至可能不知道该帐户已被盗用。
邹晓东表示,这些受害者最近好像遇到了最低的攻击方式,所有的攻击设备最少100~200元就能搞定。因为比较低级,难度不高,很容易被黑行业玩家掌握,社会影响也比较大。
早在2011年,移动通信的GSM网络就已经被破解。除了打电话,GSM 网络还可以发送短信。虽然现在移动通信普遍升级到更安全的4G网络,但同时GSM网络仍在发挥作用。
犯罪分子使用干扰器等设备将周围的手机驱动到 GSM 网络,然后可以监听受害者的短信验证码。另外,现在个人信息的泄露非常严重。个人用户的手机号码、身份证号码、银行卡号码、家庭和工作地址等信息几乎可以以极低的价格买到。验证码,这样的用户对攻击者基本上是透明的。
银行和第三方支付平台在验证用户身份时,如果只使用短信,这样的攻击者就没有安全保障。有人建议用户在晚上关掉手机,以防止短信验证码攻击。对此验证码看不到怎么办,邹晓东表示,“关机或飞行模式都有用,但别忘了开机还是会被攻击,而且有多种方法可以防止受害者手机收到或不提示文字消息。”
专家意见
如有漏洞未及时改进,商家应承担主要责任
邹晓东说:“从黑客的角度来看,没有一个系统是100%安全的,也不可能每个服务在设计的时候都追求100%的安全,他们为了易用性做了一定的妥协。用户和企业过去我们享受着易用的好处,只要将安全风险控制在一定范围内,我们都不会当真,当黑客攻击威胁增大时,商家应及时响应,增加安全过去,可用性给商家带来的好处大于给个人用户带来的好处,所以从道德上讲,商家应该承担深圳事件的大部分损失。
知名法律博主“Logos Logics”告诉紫牛新闻,“目前我国在银行卡被盗案件上的判断比较明确,就是为了保护储户的利益,严格要求银行履行担保义务。”
他说,上海的一个案例被最高人民法院选为民生保障典型案例。法官是这样认为的:银行更有能力防止犯罪分子利用银行实施犯罪。因此,银行应制定完善的业务规范,严格遵守规范,做到最好。可以规避风险,保证存款人的存款安全。
“Logos logics”认为,对于因短信验证漏洞造成的用户损失,法院可以认定银行提供的手机网银服务未能抵抗类似技术手段,属于法律规定的“安全保证义务”验证码看不到怎么办,需要银行承担责任。赔偿责任。
攻击工具可能产业化
是时候和短信验证码说“再见”了
邹晓东告诉紫牛新闻,短信验证码确实比较脆弱,漏洞一直存在,也有解决办法。只是因为使用方便,才勉强作为身份认证方式使用。邹晓东认为,一个安全的系统至少应该使用“双因素认证”,即结合密码和实物对用户进行认证的方法。如果两个条件都满足,则认为身份认证通过。
事实上,央行早就提出了“双因素认证”的要求。2016年6月13日,中国人民银行印发《关于进一步加强银行卡风险管理的通知》,要求各商业银行、支付机构和卡清算机构加强对支付敏感信息的内控管理和安全保护.
通知明确要求加强对开户业务的身份认证安全管理。自2016年11月1日起,商业银行与支付机构和基于银行卡的商业机构建立关联业务时,应严格采用多因素认证方式直接识别客户并获得客户授权。身份认证应使用数字证书、交易密码、动态令牌设备等,至少结合两种认证。
通知还要求各商业银行和支付机构运用大数据分析、用户行为建模等手段,建立交易风险监测模型和制度,对异常交易及时预警,并采取调查核实等措施,风险预警,延迟结算。对于批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,并及时对请求进行附加验证和拒绝。
许多受害者在短时间内收到了数百条验证和交易短信。相关银行和支付机构是否履行了央行要求的监管义务值得怀疑。
邹晓东指出:“如果连续发生多起短信验证码攻击事件,则表明攻击工具可能产业化,在这种情况下,不能只依赖短信验证码。” 全国手机短信年发送量达到惊人的8973.1亿条。随着通讯方式的改变,手机短信近年来迅速下滑,接收验证码几乎成为其主要功能之一。不过,面对黑产的攻击,或许是时候和手机验证码说再见了。
(宋世峰)
