是嗅探不到吗,短信拦截验证码盗话费窃话费案

来源:蜘蛛抓取(WebSpider) 时间:2018-06-13 00:40 标签: 拦截验证码盗窃话费案

《IT时报》记者通过“独钓寒江雪”描述的被骗经过,试着重走“幕后黑手”攻击之路发现,整个链条风谲云诡、环环紧扣。但安全专家同样安慰大众,短信被嗅探并导致手机银行被盗发生场景的概率是极低的,手机用户无需过于担心,如果真要杜绝这种情况,只有选用CDMA技术的手机和网络,目前国内只有中国电信支持此项技术。

支付宝:三次通过支付密码提取资金

8月1日,网友“独钓寒江雪”在网上发帖,称其在7月30日凌晨5点多醒来后,发现手机一直在震,来自支付宝、京东、银行等网站发来的100多条验证码密密麻麻,不仅支付宝、余额宝、余额和关联银行的钱都被转走,一双看不见的黑手还在京东开通了金条、白条功能,借款1万多元。“独钓寒江雪”不明白,为什么手机在自己手里,验证码没有告诉任何人,骗子却像另一个自己一样,熟练地操作所有的账户。

“独钓寒江雪”的遭遇在网上引发热议,支付宝成立调查小组,复原其1点42分至3点21分的支付宝账户状态发现,这双看不见的黑手在登录支付宝账户后修改了登录密码、支付密码、绑定银行卡之后便开始网上购物,并三次通过支付密码将支付宝的资金提现到用户名下的银行卡,最后再将银行卡中的钱转走。

支付宝相关人士告诉《IT时报》记者,“独钓寒江雪”第一次联系支付宝理赔时,支付宝拒绝了,因为从账户当晚操作的状态来看,像是账户本人或是熟人操作,登录账户、修改密码、购物、提现的校验全部一次通过。

来源:深圳市反电信网络诈骗中心公众号

“这件事比较罕见,操作者验证通过了多个校验因子,包括短信验证码、用户的多个个人信息,而且绝大多数钱都转到了用户自己的银行卡上,这和以前出现的被盗案子不太一样。”支付宝调查小组认为,保险公司第一次判定拒赔的原因,是从操作状态来看,极像本人或身边人操作,短信验证码等所有验证手段均一次性成功通过,给判断这起案例的性质带来了极大困难。现在,支付宝会先行全额补偿用户的损失,配合警方,对案件进行处理。

专家:CDMA 安全系数更高

根据深圳警方给出的结果来看,这双黑手是通过“短信嗅探”达到了窃取验证码等敏感信息的目的。当犯罪分子在做这一切的时候,用户毫无知觉。

一位运营商内部人士告诉《IT时报》记者,“短信嗅探”涉及的关键技术缺陷是GSM通信协议采用的单向鉴权方式,鉴权弱、明文传输的弊端,很容易被劫持,目前中国移动与中国联通的短信仍然是通过2G的GSM网络制式传输,而中国电信采用的是CDMA网络,由于CDMA网络会对每一次通话、短信的过程进行鉴权,鉴权的过程相当复杂,且秘钥只在网络核心侧和基站侧之间传输,不法分子无法获取,也无法通过鉴权拦截用户的短信。

“五六年前,我的同事就曾经试过,监听短信很简单,伪基站覆盖范围内,所有受影响的2G手机短信都会被监听,但现在手机大多升级到4G,这意味着攻击者的门槛更高了,成功概率更低了。”网络安全专家李铁军告诉《IT时报》记者,虽然通过持续的信号干扰能让熟睡中的人们手机信号一直处于2G状态,但会被无线电监管部门发现。除了GSM劫持+短信嗅探,此外,其他可能性也应考虑到,比如某个App同步备份了短信内容。

但相对而言,其他网络的安全系数更高,根据通信领域的专家看来,CDMA的短信除了超短的意外,基本都走专用信道,破译难度大得多。根据警方侦破的案例中,尚未发现有中国电信用户遭受该类技术攻击的情况。

记者实测:短信验证码+身份证信息能做啥

8月6日至8月8日,《IT时报》记者实测了“短信验证码+身份证”模式来登录银行、移动支付、电商网站、社交平台及电子邮箱,看看究竟我们的网络生活是否安全。

手机+验证码+身份证号 便可在线转账

8月7日,记者尝试在非常用手机上登录同事的招商银行掌上生活App,登录需要两个步骤的验证,短信验证码+手势密码,而修改手势密码只需要用户的身份证号。

若要在App里动用资金,修改支付密码和开通小额免密功能,操作人需要输入信用卡的安全码、有效期、查询密码、验证码或者输入持卡人借记卡的姓名、身份证号、手机号码、验证码。因此,如果用户的信用卡卡面信息或是银行卡号账户泄露,账户即可完全被他人操作,但这个攻击场景相对难度较高。

与此相比,登录支付宝及修改支付宝密码则显得容易得多。记者同样使用自己的手机尝试登录同事的支付宝账户发现,只需知道短信验证码、手机号及用户姓名即可登录,如果再掌握主人的身份证号,还能修改支付密码,于是记者成功修改了同事的支付密码,完成了手机充值、转账等操作。

京东钱包和京东金融同样通过用户手机号、短信验证码、用户姓名就可以对用户的登录密码进行修改,修改支付密码的验证步骤也比银行简单得多,只需短信验证码、转账卡号和用户身份证号即可修改支付密码并转账。如果要在京东金融中贷款,则需要完善用户的基本信息,比如姓名、身份证号、手机号、学校、学历、家庭地址、月收入、工作地址,并要在刷脸认证中扫描身份证并进行人脸识别。

测试发现,如果黑客通过“短信嗅探”控制了你的手机短信验证码,同时根据手机号码在此前已经掌握的各种信息“社工库”中找到你的身份证姓名和号码,那么攻击相对要容易得多,“独钓寒江雪”的情况很可能就属于这种。

电商+社交+邮箱类App

相较资金账户,登录电商、社交、邮箱等互联网应用就显得轻松许多,手机加短信验证码即可登录淘宝、京东、网易考拉、网易邮箱、189邮箱。

登录QQ与微信需要勾选好友头像、滑动拼图等二次验证,《IT时报》记者尝试用已被攻破的同事支付宝账户直接登录了她名下的淘宝账户,家庭地址、公司地址、联系方式一目了然,再加上之前记者已提前修改了支付密码,充值或网购全无障碍。

修改京东的支付密码则需要验证6位原数字密码、短信验证码,再加一张用户名下的银行卡号。

微信、QQ虽是社交应用,但亦涉及微信钱包、QQ钱包,即使记者成功登录他人微信或QQ,在支付时依然需要输入用户原支付密码来验证身份。但与支付宝类似,如果掌握了用户的姓名、银行卡号、身份证号及短信验证码,即可成功修改用户的支付密码。

测试结果表明,银行类App安全性最高,支付宝、微信支付次之,大部分电商、社交、邮箱类App虽只需手机号和短信验证码即可登录,但若涉及支付环节,需要更多个人信息进行验证。

风险根源:隐私数据的泄露

通过上述测试不难发现,用户即使遭遇了GSM劫持+短信嗅探,但若没有泄露个人信息,骗子只能登录账户,无法完成支付、转账等操作。

风险根源在于信息泄露,黑产攻击会考虑性价比,根据目标价值采用相应的技术手段,对于普通网民来说,从隐私数据入手,依然是最廉价的。

“简单的密码基本没什么用,都在黑客的密码字典里。”李铁军说,密码绝大部分是加密存储,有一个秘文,通过解密算法也无法得到明文,但此前有些网站的数据库明文加密文一起泄露,而明文和密文构成一张表,这就是黑客的密码字典。

“早在几年前,信息泄露的数据量以亿计算,黑客手中掌握的社工库数据有上百亿条。除非特别复杂、个性且经常更换的密码,否则基本都在黑客的密码字典里。”李铁军告诉《IT时报》记者。

人的懒惰没有极限。就拿手机验证这事儿来说,现在的体验流程已经相当简单,不记得静态密码也没事,只需要通过手机短信验证就可以解决绝大部分注册、登陆、下单问题。但是本机主每次看到短信推送验证码、“天空飘来六个数字”的时候,心里就会莫名紧张,生怕不能在短信消失前把六个数字记下来。万一记不下来或者输错还得切换回短信去看,一些APP因此还要重新走一遍流程……

好在,懒惰鼓励人类进步。现在,一种用户“无感知”的手机验证方式已经开始投入使用了!这就是“号码认证”的验证形式。

用户端的体验真的666。用户只要根据手机提示点击请求验证,等待一两秒后,就验证通过了。别看体验流程极简,背后的安全保障反而升了级。
这种新型验证方式的原理是“网关认证”:用户通过手机发出验证请求后,网关接收到请求,就将这个手机号及其网关设备的信息加密传输,传输到账号平台进行解密,用户侧验证就通过了。

阿里通信的这项技术通用于三网(移动电信联通)。对于我们一般消费者来说,验证的体验好,真正做到无感知;对于各APP和商家来说,能够大大降低在注册、登陆、下单、支付时因为需要输入验证码造成的跳失。

除了便利之外,这项技术还解决了一个重大的安全隐患。近期可能大家都听说过通过劫持手机短信验证码进行银行卡盗刷的犯罪,这类新型犯罪采用了一种叫做“短信嗅探”的技术,通过盗取某个基站范围内的用户短信内容窃取验证码进而盗刷用户银行卡。由于号码认证技术不以明文的方式发送短信验证码,劫持验证码的新犯罪形式也就没有了用武之地。

现在阿里通信的号码认证服务已经上线销售(链接),随着各大互联网平台升级到这种无感知验证技术,短信验证码或许不久后就成为历史啦。

如果说我对于这项技术有什么抱怨的话,唯一的问题就是:短信验证码可是阻止我剁手的最后一道屏障啊!“这么贵的东西买下来真的没问题吗”“这个颜色的包包好像也不是最适合我的”“要不要等促销再买呢”——没有了最后的“犹豫机会”,可以想见我的支付宝余额会越来越少,淘宝购物车会越来越满……这难道是马爸爸的一盘大棋?

阿里通信在双11之前推出这项技术,分明是叫我吃土啊!
阿里云官网号码认证产品详情页地址:

我要回帖

更多关于 拦截验证码盗窃话费案 的文章

 

随机推荐