最新盗刷银行卡诈骗技术:GSM劫持+短信嗅探 新型短信嗅探盗刷银行卡作案分析

  • A+
所属分类:网络安全新闻

最新盗刷银行卡诈骗技术:GSM劫持+短信嗅探 新型短信嗅探盗刷银行卡作案分析

前言:最新盗刷银行卡诈骗:“GSM劫持+短信嗅探”新型短信嗅探盗刷银行卡作案

犯罪团伙不碰你的手机

也能盗取你的银行密码

你什么都没做

没丢手机也没丢卡

没扫二维码也没点链接

一觉醒来

网银里的钱竟然不翼而飞?

各位看官老爷,先看看官方视频中的说法吧!

我们先看下事件起因

最新盗刷银行卡诈骗技术:GSM劫持+短信嗅探 新型短信嗅探盗刷银行卡作案分析

受害者的手机在半夜连续接到了100多条验证码,醒来发现自己支付宝等账号被盗,损失很惨重。

最新盗刷银行卡诈骗技术:GSM劫持+短信嗅探 新型短信嗅探盗刷银行卡作案分析

据广州警方通报,近期多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改。

该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来积蓄已飞走,只有手机里莫名其妙出现的验证码……

最新盗刷银行卡诈骗技术:GSM劫持+短信嗅探 新型短信嗅探盗刷银行卡作案分析

我们的手机是怎么被劫持的?

这种手法利用了一种新型技术

“GSM劫持+短信嗅探技术”

通俗解析GSM劫持:

伪基站利用GSM通信网络(传统2G信号漏洞)实现劫持手机信号接收验证码等信息!

伪基站主要利用GSM通信网络,就是传统的2G信号中的漏洞,实现不接触你的手机就能获得你手机所接收到的验证短信。

作案过程分析

 第一步:不法分子首先通过伪基站获取一定范围内潜在的手机号码。

 第二步:再利用GSM嗅探技术,窥探用户短信中的验证码信息,以便完成密码重置、身份验证等步骤。

 第三步:通讯网络是信号,通过接入点就可以劫持到这些信号。目前来说,劫持对象主要针对那些2G的GSM信号,有时不法分子也会干扰附近的手机信号,使之变为2G信号来窃取短信信息。

 第四步:再通过登陆其他一些网站,从中碰撞你的身份信息,称为“撞库”。

 第五步:将你的身份信息匹配出来,包括身份证、银行卡号等,继而在一些便捷支付平台开通账号并绑定事主的银行卡,冒充事主消费或套现。

如何防范短信验证漏洞?

银行、支付宝等机构会选择使用短信验证码这个机制,而这个机制为什么不够安全,那么我们普通用户到底有什么能防范的呢?

■ 短信验证的漏洞

但随着智能手机的普及,入侵手机窃取短信已经变得比较容易。比如,很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞,或者干脆本身就是恶意的,那你的短信也就危险了。

另外,对于用电脑访问的业务来说,短信验证码是相对独立的一个因子。但对在手机上访问的业务来说,短信验证码就没那么独立了。电脑沦陷后,短信可能还是安全的。但手机沦陷后,短信也很可能也会被攻击者拿到。

虽然目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过不安全的GSM网络在发送,而GSM是非常容易被监听的

■ 如何防范?

为了能在靠不住的信息系统里比较靠得住地进行一些重要操作,人们用了很多办法,其中一个叫“双因子验证”(Two-factor verification)。

比如你要用电脑进行网银转账。设计网银安全体系的人就要假设你的账号密码早晚会被坏人窃取。在这种情况下怎么防止坏人用你的账号密码登录你的网银呢?

大家比较熟悉的“U盾”就是一种解决办法。这个设备是独立于电脑而存在的。要在电脑上操作网银,把你账户里的钱转给别人,就需要把这个设备连在电脑上。坏人没有你的“U盾”,所以即使拿到了你的账户密码,也动不了你的钱。在这里,你的密码是一个验证因子,U盾是另一个验证因子。需要密码+U盾才能验证身份登录网银转账,这就是双因子验证。

 

对于这种“黑科技”,普通人必须注意这些!

1、禁止手机终端连接GSM网络,开通VoLTE,移动使用“仅4G”,联通使用“仅3/4G”模式。

2、科学设定密码。为避免一个平台被盗引起多个平台被盗的情况,不要使用自己的手机号、姓名全拼或首字母、生日缩写。重要密码不要与常用密码相同或者相关,需要定期更换。

3.平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护

4.睡觉前关机或者设置飞行模式,或者关闭手机的移动信号,这样能略微提高被嗅探的难度。

5.如果早上起来,看到半夜收到奇怪的验证码短信,要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,保留短信内容,报警。

6.如果突然发现手机信号变成2G,要立刻意识到自己可能正遭遇这种攻击,并采取以上方式防御!

最后提醒大家

此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子。好在此类技术在具体实践中受到硬件和原理的限制,暂时不能覆盖过多的手机号,所以受害人较少。

虽然这种手法难以防范,但是大家也不用太担心。

GSM协议的问题早已经被关注到,目前这方面的系统换代升级也在进行中。而验证码短信主要还是由于本身处于明文传递才导致泄露高风险。目前绝大多数支付类,银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制。

此外,如果单单泄露验证码,问题是不大的,绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。GSM劫持防不了,其他信息泄露还是可防的!

  • CE安全网微信群
  • weinxin
  • CE安全网QQ群
  • weinxin
CE安全网

网络安全宣传推广

发表评论

您必须登录才能发表评论!