• 中國(guó)臺(tái)灣網(wǎng)移動(dòng)版

    中國(guó)臺(tái)灣網(wǎng)移動(dòng)版

“偽基站”2.0犯罪不可怕 網(wǎng)上支付過(guò)于依賴“短信驗(yàn)證”存隱患

2018-08-17 17:09:00
來(lái)源:人民網(wǎng)
字號(hào)

  近年來(lái),使用手機(jī)短信驗(yàn)證碼驗(yàn)證用戶身份的技術(shù),被廣泛應(yīng)用于銀行金融、社交媒體、電子商務(wù)等各類移動(dòng)APP服務(wù)。然而短信作為一種2G網(wǎng)絡(luò)的通信方式,其本身安全防護(hù)等級(jí)并不高。

  就在近期,多地警方陸續(xù)破獲一種“偽基站2.0”犯罪案件。有犯罪分子利用GSM 2G網(wǎng)絡(luò)的設(shè)計(jì)缺陷,實(shí)現(xiàn)不接觸目標(biāo)手機(jī)就能獲得手機(jī)所接收到的驗(yàn)證短信,進(jìn)而利用各大銀行、網(wǎng)站、移動(dòng)支付APP存在的技術(shù)漏洞和缺陷,實(shí)現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等犯罪。

  工業(yè)和信息化部日前下發(fā)通知,部署開展2018年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全檢查工作,要求基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、域名注冊(cè)管理和服務(wù)機(jī)構(gòu)重點(diǎn)檢查安全防護(hù)體系系列標(biāo)準(zhǔn)符合情況,可能存在的弱口令、中高危漏洞和其他網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患等。

  相關(guān)業(yè)內(nèi)專家在接受人民網(wǎng)采訪時(shí)表示,“偽基站2.0”是極小概率的犯罪方式,手機(jī)用戶不需要恐慌,但這一事件也暴露了目前網(wǎng)上APP、支付等環(huán)節(jié)過(guò)于依賴“短信驗(yàn)證”這一安全短板。基于2G網(wǎng)絡(luò)的短信安全驗(yàn)證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網(wǎng)上支付平臺(tái)、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板,完善用戶身份驗(yàn)證措施,以確保用戶個(gè)人信息和財(cái)產(chǎn)的安全。

  新型盜刷方式引發(fā)輿論關(guān)注

  根據(jù)媒體報(bào)道,廣州、南京、江寧等多地警方近期相繼破獲一種名為“GSM劫持+短信嗅探技術(shù)”的犯罪案件。犯罪分子通過(guò)特種設(shè)備,自動(dòng)搜索附近的手機(jī)號(hào)碼,然后可以攔截短信。

  據(jù)廣州日?qǐng)?bào)報(bào)道,8月1日,網(wǎng)友“獨(dú)釣寒江雪”的手機(jī)在半夜連續(xù)接到100條短信驗(yàn)證碼,她醒來(lái)發(fā)現(xiàn)不僅自己的支付寶、銀行賬戶被盜,還被貸了款。有人使用她的京東賬戶、支付寶等等,預(yù)定房間、給加油卡充值,總計(jì)盜刷了1萬(wàn)多元。

  這一案件經(jīng)媒體報(bào)道后馬上引發(fā)了輿論關(guān)注,甚至有報(bào)道建議手機(jī)用戶“晚上睡覺關(guān)手機(jī)”以防范。那這種“偽基站2.0”方式會(huì)否蔓延?用戶的網(wǎng)上資金安全如何來(lái)保障,對(duì)此,人民網(wǎng)IT頻道近期做了深入采訪和調(diào)查。

  據(jù)360無(wú)線電安全研究院高級(jí)研究員黃琳介紹,基于“偽基站”的GSM短信嗅探是被動(dòng)的,就是只“聽”,不發(fā)射任何非法的無(wú)線信號(hào)。攻擊者在利用手機(jī)信號(hào)劫持設(shè)備等工具非法截獲短信驗(yàn)證碼、手機(jī)號(hào)碼的基礎(chǔ)上,并通過(guò)社工或黑產(chǎn)交易等方式獲取身份證號(hào)碼、銀行賬號(hào)、支付平臺(tái)賬號(hào)等敏感信息,侵入各類應(yīng)用實(shí)施犯罪行為。網(wǎng)友“獨(dú)釣寒江雪”的情況很可能就屬于這種。

  據(jù)了解,這種被稱為“偽基站2.0”的攻擊手段早在2010年已出現(xiàn),由于攻擊技術(shù)實(shí)施難度大,當(dāng)時(shí)僅掌握在少數(shù)高級(jí)攻擊者手中,不法分子難以大規(guī)模利用。而且隨著這幾年國(guó)家對(duì)于偽基站的大力打擊,不法分子要用“偽基站”劫持用戶短信和手機(jī)信號(hào),就會(huì)有很大幾率暴露自身位置,因此目前此類案例非常罕見。

  同時(shí),有通信行業(yè)資深安全人士表示,要實(shí)施“偽基站2.0”犯罪需要滿足四大條件:不法人員從黑產(chǎn)獲取了用戶個(gè)人身份信息“四大件”(賬戶名、密碼、身份證、銀行卡號(hào));不法人員在物理位置上和受害用戶相近;用戶手機(jī)當(dāng)時(shí)駐留在2G網(wǎng)絡(luò)上;獲取用戶手機(jī)號(hào)碼并嗅探到用戶驗(yàn)證碼短信;實(shí)施網(wǎng)絡(luò)轉(zhuǎn)賬或信用卡盜刷等行為。

  上述四個(gè)環(huán)節(jié)為鏈條式操作,缺一不可,要滿足以上所有條件,攻擊者需要冒極高的風(fēng)險(xiǎn),因此在日常操作中,短信被嗅探并導(dǎo)致手機(jī)銀行被盜發(fā)生場(chǎng)景的概率是極低的,普通用戶無(wú)需過(guò)于擔(dān)心,更不需要在晚上睡覺時(shí)“主動(dòng)關(guān)機(jī)”。

  網(wǎng)上支付依賴“短信驗(yàn)證”存隱患

  雖然實(shí)施“偽基站2.0”犯罪目前只是極小概率的事件,但是也給網(wǎng)上支付安全敲響了警鐘。

  隨著移動(dòng)支付的普及,“短信驗(yàn)證”是目前最便捷的驗(yàn)證方式,人們只需要在手機(jī)上操作,就可以便捷快速地完成開通業(yè)務(wù)、支付款項(xiàng)等活動(dòng)。然而,科技的進(jìn)步帶來(lái)的不僅是便捷,還有安全隱患。因此手機(jī)短信驗(yàn)證碼已被廣泛應(yīng)用于各類移動(dòng)應(yīng)用、網(wǎng)站服務(wù)。短信驗(yàn)證碼可以幫助用戶進(jìn)行修改密碼、修改綁定郵箱等敏感操作。

  同時(shí),短信驗(yàn)證碼也能讓用戶不輸賬號(hào)密碼直接登陸。以用戶使用廣泛的微博手機(jī)APP來(lái)說(shuō),在掌握手機(jī)號(hào)碼的前提下,可以無(wú)密碼登陸,手機(jī)只要收到系統(tǒng)發(fā)送的驗(yàn)證碼,就可以快速登陸。

  對(duì)手機(jī)用戶來(lái)說(shuō),一旦遭遇GSM短信嗅探攻擊,或者因?yàn)槠渌蚨绦膨?yàn)證碼內(nèi)容被外泄,不法分子就可以利用獲取的用戶手機(jī)號(hào)碼和驗(yàn)證碼登錄個(gè)人賬戶,用戶會(huì)面臨個(gè)人信息泄露甚至財(cái)產(chǎn)損失的風(fēng)險(xiǎn)。

  人民網(wǎng)IT頻道在采訪過(guò)程中,多位來(lái)自通信、安全領(lǐng)域的業(yè)內(nèi)人士均表示,目前涉及到支付確認(rèn)、修改支付密碼等高度涉及用戶資金安全的驗(yàn)證時(shí),如果僅僅是依靠短信驗(yàn)證碼來(lái)確認(rèn)用戶身份,具有一定的安全隱患,希望有關(guān)部門及網(wǎng)上支付平臺(tái)重視這個(gè)問題,尤其是網(wǎng)上支付平臺(tái)不能為了便捷而犧牲用戶的資金安全。

  從技術(shù)上來(lái)說(shuō),2G的GSM網(wǎng)絡(luò)使用單向鑒權(quán)技術(shù),且短信內(nèi)容以明文形式傳輸,該缺陷由GSM設(shè)計(jì)造成,且GSM網(wǎng)絡(luò)覆蓋范圍廣,因此修復(fù)難度大、成本高。

  更重要的是,對(duì)于網(wǎng)上支付平臺(tái)來(lái)說(shuō),除了短信驗(yàn)證之外,在涉及大額支付及修改用戶交易密碼等關(guān)鍵環(huán)節(jié),增加新的驗(yàn)證手段,比如引入人臉識(shí)別等方式,也刻不容緩。

  互聯(lián)網(wǎng)廠商應(yīng)承擔(dān)更大安全責(zé)任

  針對(duì)短信驗(yàn)證帶來(lái)的安全隱患,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在今年2月份聯(lián)合多家單位發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》,明確指出了基于短信驗(yàn)證碼實(shí)現(xiàn)身份驗(yàn)證的安全風(fēng)險(xiǎn)現(xiàn)狀、困難點(diǎn),并給出了目前專家們認(rèn)為可行的方案。

  《安全指南》建議,各移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商對(duì)業(yè)務(wù)系統(tǒng)中短信驗(yàn)證碼的使用方式進(jìn)行摸底,例如在用戶注冊(cè)、密碼找回、資金支付等環(huán)節(jié)的短信驗(yàn)證碼使用情況,并評(píng)估相關(guān)安全風(fēng)險(xiǎn),優(yōu)化用戶身份驗(yàn)證措施。建議采用多種方式組合,加強(qiáng)安全性。

  這份指南同時(shí)強(qiáng)調(diào),個(gè)人用戶應(yīng)做好手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)、支付平臺(tái)賬號(hào)等敏感信息的保護(hù)。在收到來(lái)歷不明的短信驗(yàn)證碼等異常情況時(shí),提高警惕,及時(shí)聯(lián)系相關(guān)移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商。

  對(duì)此,黃琳認(rèn)為,面對(duì)層出不窮的網(wǎng)絡(luò)攻擊技術(shù),互聯(lián)網(wǎng)企業(yè)更應(yīng)該有所行動(dòng),加強(qiáng)風(fēng)險(xiǎn)防范,承擔(dān)最大的責(zé)任。

  對(duì)于普通消費(fèi)者而言,除了不泄露自己的短信驗(yàn)證碼之外,GSM劫持+短信嗅探主要針對(duì)GSM 2G網(wǎng)絡(luò)用戶,建議此類用戶盡快升級(jí)到4G網(wǎng)絡(luò),并開通VoLTE,或者使用支持防偽基站功能的手機(jī),提高安全防御等級(jí)。

  中國(guó)科學(xué)院院士梅宏在接受人民網(wǎng)記者采訪時(shí)也表示,從技術(shù)上,絕對(duì)避免這種事情的發(fā)生是有困難的。當(dāng)新技術(shù)進(jìn)入應(yīng)用以后,確實(shí)會(huì)有一些人利用當(dāng)初設(shè)計(jì)上的缺陷或者是當(dāng)初未考慮到的因素來(lái)非法獲利!叭祟悮v史幾千年所有的技術(shù)進(jìn)步都是兩面性的,沒有哪項(xiàng)技術(shù)的發(fā)展在給人們帶來(lái)便利的同時(shí),沒有帶來(lái)別的負(fù)面因素的!

  梅宏認(rèn)為,我們要看在發(fā)展過(guò)程中,怎么減少這種發(fā)展給我們帶來(lái)的損失。在立法上,法律要有明確的界定,碰到這種問題一定要嚴(yán)厲打擊。要靠法律的威懾力加上技術(shù)的輔助,兩方面的協(xié)作。最重要的一點(diǎn),是每一個(gè)用戶都要有安全防范意識(shí)。在信息化社會(huì)對(duì)于消息一定要有一個(gè)自我、獨(dú)立的判斷,沒有這些考量就很容易上當(dāng)受騙。梅宏說(shuō),“要保證絕對(duì)的、全面的沒有人上當(dāng)受騙,這很難通過(guò)技術(shù)實(shí)現(xiàn),需要多方努力!

[責(zé)任編輯:韓靜]

相關(guān)新聞

连江县| 衢州市| 县级市| 芒康县| 星子县| 汉川市| 永丰县| 任丘市| 濮阳县| 永宁县| 彩票| 息烽县| 兰州市| 中超| 修文县| 道孚县| 怀集县| 勃利县| 雷山县| 湖州市| 东宁县| 高阳县| 交口县| 财经| 留坝县| 新竹市| 西盟| 孝感市| 双鸭山市| 滦平县| 拉孜县| 黄山市| 赣州市| 谢通门县| 吕梁市| 政和县| 塘沽区| 许昌市| 中卫市| 辛集市|