网银支付、银行转账、注册账号、开通服务、找回账号密码……曾被作为人与人之间传情达意主要手段的短信已经时代舞台上退了下来,变成了各种验证码的聚集地,一些需要进行身份验证的个人金融服务尤其离不开短信验证码。

但短信验证码真的安全吗?

“这下一无所有了”

“100多条验证码,支付宝、京东、银行什么都有。”

7月30日凌晨5点,豆瓣网友“独钓寒江雪”被手机的震动惊醒,清醒之后他才意识到,不法分子已将他的支付宝、余额宝和关联银行卡里的余额转走,除此之外,还通过京东金条、白条功能借款10000多元人民币。

1.jpg

豆瓣网友发帖:一夜之间一无所有

该网友随即报警并联系手机运营商办理停机,由于涉事平台起初对当事人的情况并不了解,在索赔无果后,他将自己的经历整理成文发布在了豆瓣小组上。

“这下一无所有了。”这篇字里行间都透露着无助和绝望的文章发出后引来大量网友围观,就在人们惊魂未定之际,8月3日,微博网友“松ad江”一篇《记录一下支付宝,银行app被盗刷的情况》再度引发人们对“盗刷”的关注。

2.jpg 

网友 @ad江 的手机在盗刷过程中不停收到类似的验证码

在这个案件中,罪份子通过支付宝消费、贷款,买单吧消费,建设银行银行卡消费总计盗刷18696.29元,而这一切都发生在8月3号05:01到07:39这短短两个半小时之内。尽管这是一周内网络上曝光的第二起盗刷事件,但根据该网友事后前往派出所报案的反馈来看,类似的案件可能远不止这两起:“3号在派出所报案市公安局正好抓获了一位盗刷嫌疑人,跟我被盗的手法相似度很高。”

事实也的确如此,从上个月月底广州市公安机关召开“打击新型违法犯罪战果”通报会上公布的数据来看,今年上半年,仅广州市内破获的电信诈骗案就同比增加了77.7%。这些电信诈骗案中,与本月初网络曝光的两起“盗刷”类似的不少——它们大都发生在深夜,受害人也都处于熟睡当中,对手机频繁收到各种金融、网贷业务验证码毫不知情。

那犯罪分子是如何获知受害人的短信内容的?类似的“盗刷”我们又该如何防范?

“GSM嗅探”:成本不到50元

 “对我们圈内人来说,这样的‘盗刷’手段其实一点都不新鲜,”带着疑问,我们与一位移动通信安全从业人士取得了联系,他告诉记者:“虽然目前还没有看到相关的声明和通报,但从案件细节来看,基本上可以确定与‘GSM嗅探’有关。”

何为“GSM嗅探”?

我们都知道,不管是早年的2G/3G、今天的4G还是正在铺路的5G,手机间的通讯很大程度上都要依赖运营商铺设的网络基站。以通话为例,当我们掏出拨打电话时,手机会向附近的基站发出通话请求,基站需要根据一定的识别凭据判断我们所处的基站覆盖范围,然后才能尝试与目标手机建立连接:如果对方与我们距离较近,通话数据只用在当地基站间传输,这就是本地通话;如果双方距离较远需要与其他基站进行连接,就需要进行传输距离长、过程更加复杂的长途通话了。

3.jpg 

基站是连接移动设备的关键节点

值得注意的是,网络基站默认以无线电波的形式向四周发送信号的,在没有储存在SIM当中的IMSI识别码和通信协议的前提下,任何设备都能在基站覆盖范围内接收到该基站发送的所有信息。这同样也是伪基站垃圾短信的作案原理——只需借助一台大功率的伪基站设备,犯罪分子就能像四处派发小广告那样向伪基站附近的手机推送垃圾短信。

更重要的是,使用GSM协议的2G通道今天依旧没有完全被淘汰,而2G通道所使用的网络架构方式是完全开源的,进行传输数据时缺少必要的加密保护。毫不夸张的说,当下以2G为主要承载方式的短信内容,几乎是在空气中明文传输的。

4.jpg 

收到大量验证码短信的同时,这些短信内容也被“GSM嗅探”方获知了

而没有加密的GSM短信传输也就给了不法分子可乘之机,借助一些特殊的监听设备,他们就能在GSM短信传输的途中读取这些短信内容。

这里的“特殊设备”看似高端,实则非常廉价。

据相关人士介绍,“GSM嗅探”技术早在2010年左右就已经趋近成熟。2012年,GSM协议实现方案osmocomBB完全开源后,稍有阅读能力的人都能在无需掌握复杂网络通讯专业知识的前提下对GSM协议和功能进行增删。目前主流的“GSM 嗅探”技术就基于osmocomBB开源项目。

在此基础上,“GSM嗅探”的相关中文教程也在2013年左右出现在了国内。根据这套教程,制作一套用于“GSM嗅探”的设备所需材料在淘宝、京东等常见电商平台上都能买到,一部10块钱左右、带数据线的二手摩托罗拉C118功能机,加上一个最便宜只要二三十元的USB转串口模块,总成本还不到50元。

5.jpg 

制作“GSM嗅探”设备常用的摩托罗拉C118价格已跌破10元

在这些廉价设备的基础上,只需将修改后的osmocomBB固件编译并刷入手机,一台可用于监听附近短信内容的“GSM嗅探”工具就制作完成了。

防不胜防,2G“退休”迫在眉睫

既然“GSM嗅探”是早就已经成熟的技术,门槛也如此之低,为何与之相关的犯罪事件到最近才开始集中出现呢?

这里的原因主要有四点。

首先,软、硬件门槛正在不断降低,“GSM嗅探”的核心部件成本已经从五年前的二三十元降至现在的十元不到,与之相关的编译、刷机教程则跳出了最初的“极客圈”,稍有阅读能力和动手能力便能实操。

其次,近年来移动支付和电子商务的发展已经让手机成为“验明正身”的关键一环,网银支付、银行转账、注册找回账号这类与个人财产安全息息相关的行为也大多与手机挂钩。

再次,不管是社交媒体、在线支付平台还是网上银行,我们日常生活中所接触到的各种网络服务基本上都已实现实名制,不法分子通过伪基站“撞库”等行为即可轻松获取我们的隐私信息,进而借助“GSM嗅探”实施“盗刷”。

6.jpg 

“GSM嗅探”教程如今更以“新手”难度呈现

最后,稍加留意其实不难发现,尽管目前各大运营商都在逐步“退休”2G网络,但距离2G完全退出历史舞台还为时尚早。市面上不少双卡双待手机依然采用的是“单4G”待机模式,喜欢“一张4G流量卡用来上网,一张2G通话卡用作日常联系”的朋友,更是直接暴露在了GSM短信嗅探的风险之下。

正因为如此,具体到“如何防范”这个问题上,我们可以实际操作的部分其实十分有限。虽然对移动、联通用户而言,开通VoLTE服务让短信通过3G/4G网络传输的方法就能有效增加短信监听的难度,但仅凭个体用户的努力效果显然十分有限,打击“盗刷”需要用户自身小心谨慎、需要公安机关加大惩治力度,更需要运营商加快推进VoLTE甚至是RCS融合通信业务。

那些挤满了短信收件箱的验证码所承载的其实早已超出其本身安全性所能承受的限度,让GSM短信早日“下岗”,早日完成2G退网才是防范“盗刷”的关键所在。

http://www.beefix.cn/article/67E7E416-A16D-C817-D921-DAECCC037B60/show


帖子原文:

手机里的钱一夜被转走,到底发生了什么?

https://www.douban.com/note/685364991/

2018-08-03 22:28:52
一夜醒来,放在枕边的手机收到几十条银行短信。银行卡,支付宝里的钱全部被人转走,甚至还替你借了网商贷,不单止辛苦多年的积蓄全都没有了,还欠了银行一屁股债,这不是小说里的情节,最近这样的手机盗刷案件在国内频繁发生... 下一个没准就是你

本文篇幅有点长,但如果你不想辛苦打拼几十年的财产被人一夜盗走,请耐心看下去,并按文章末尾推荐的方式赶紧做好手机和资金账户的防范措施!

近日里,微博一位网友的真实经历引发了诸多人的担忧,在他8月4号的一篇博文《记录一下支付宝,银行app被盗刷的情况》里记录了这样一件让人匪夷所思的事。在2018年8月3日凌晨5:01-7:39分之间,该网友还在熟睡时,不法分子通过盗取它的支付宝和银行账户进行消费和贷款,总计盗刷了18696.29元。期间,该网友的手机就放在枕头边,而银行卡也在家里,银行密码什么的也没被别人知道,这到底是怎么一回事呢?

1.jpg
   2.jpg

如果你本人曾经开通过支付宝或者手机网银,应该还有点印象,这些财务App的开通和登陆,都是用手机号+本人姓名+身份证号+银行卡作为验证方式的。曾几何时,这样的验证方式还算靠谱。毕竟手机是在自己手上对吧,当你接收从银行发过来只于60秒内有效的验证码,再填到验证框去,这一切看起来都哪么天衣无缝,以至于人们觉得足够安全后为了简便,很多App的登陆或绑定方式就简化为了手机号+验证码的方式。但这样一来,就给不法分子留下了可乘之机。

GSM劫持+短信嗅探是什么?不法分子是怎么通过该方式盗取我们钱财的

我们现在用的手机,无论你是用的华为小米,还是苹果iPhone,又或是支持什么4G、4G+网络的,其实通通都是由GSM制式走过来的。手机网络的发展是从 1.0(模拟通信)-> 2.0 (GSM)-> 3.0 (3G) -> 4.0(4G/4G+)。在手机网络2.0,也即是我们称之为GSM制式的时代,手机语音和短信第一次以纯数字信号的方式进行传输,由于年代久远加上当时的技术限制,GSM制式下手机的短信是单向鉴权并且是以明文方式传输的,什么意思?就是说如果今天你的手机收到一条短信,并且是在GSM制式下收发的话,基站(移动运营商端)只会验证手机是不是真(该网络运营商旗下的)的,但手机不会去甄别这个基站是不是真的(是不是真的该网络运营商的)。这个漏洞就造成了伪基站(一种犯罪分子打造的小型基站用以在小范围内代替运营商真基站并实施犯罪的设备)的兴起。在最开始,不法分子的脑袋还不是太灵光,他们只利用伪基站向附近的手机发送些垃圾广告内容,到后来这种短信自动被一些短信拦截App给屏蔽了,也就没人再用了。他们就开始升级到假扮运营商或者某些大网络公司的服务,用手机短信给你发一个网址从而盗取用户的隐私信息或向用户手机植入木马。时至今天,网络金融在中国得到了长足的发展,各种网络金融App,网上银行App及各种外卖和电商平台的盛行,给这些不法分子营造了绝佳的盗取资金的机会。

3.jpg

不法分子采用的短信嗅探软件显示界面

在当下的中国,个人隐私(包括手机号,姓名,身份证和个人头像,银行卡号)基本已经不是隐私了,在网络黑产那里可能只需要报个手机号加几十块钱,就能拿到以上的全套信息。这时候不法分子所需要利用GSM劫持+短信嗅探技术完成盗刷的基本条件都已经具备。首先,不法分子会利用网上购买或者按教程教授的方式组装的小型GSM劫持设备,游荡在你的周围(方圆500-1000米),收集附近的手机号(通过截获最近一段时间的短信及其内容,上面都会带有你的手机号码,用的什么网络软件,大概用了些什么服务),然后不法分子会通过短信截获的内容判断目标的价值,譬如那些经常转账,或者某某银行卡、支付宝到账的,会优先列入目标范围。然后他们就会想办法搞到这个手机号的联系人信息(包括姓名、住址、身份证号银行卡号等),这些信息可能泄露的途径有(各种外卖平台的信息泄露、快递信息泄露、网上注册某些网络贷款的信息泄露及电脑或手机中了木马的信息泄露),最后在目标名单里也从网上买到了隐私信息后,犯案就开始了。

4.jpg

不法分子使用的GSM劫持及短信嗅探设备

不法分子首先会挑一个凌晨(这样你就在熟睡中,手机也可能开了静音什么的),然后先利用像是饿了x/美x或者移动运营商服务这样的平台,输入你的手机号,让他们向你发送验证码。并用该验证码登陆你的饿了X账号或者移动网上营业厅,顺便也查一些信息,像是饿了X或者美X这种外卖平台,用手机号+验证码登陆后,能查看到你的家庭住址。如果再多过2-30分钟,仍然能用新修改的移动和通信密码登陆网上营业厅,则说明受害人熟睡或者不在手机旁,这时候犯罪分子就开始大胆操作了。他会先用“短信验证码登陆”方式登陆支付宝,然后修改支付宝支付密码,之后就先把支付宝里的余额通过转账或网上消费的方式进行盗取,这还不够可恨,由于现在支付宝属于很强势并且用户众多的手机App,很多银行都对此作了通道优化能让你比较便利的绑定名下银行卡,接下来犯罪分子会通过网上购买到你的银行卡信息,通过支付宝挂靠你的银行卡,开始用支付宝做网上购物或网银转账操作。如果银行卡里没钱,会通过支付宝开通网商贷或者借呗等先贷款到银行卡上,再进行透支消费。总之,一旦不法分子登陆了支付宝后,并且你没有做进一步的验证措施(支付宝也有增加验证强度的方式,但一般人都没有做,这个会在后文提到),那损失就会如微博那篇文章那样了。具体操作手法什么的就不便分析得太具体,以免让坏人有样学样了。

那我怎么防范GSM劫持+短信嗅探?

就目前来说,其实GSM劫持已经不是新鲜事了,这事情4-5年前随着伪基站的诞生就已经存在了,问题是中国幅员辽阔,而GSM手机制式(设备)也沿用了十几年,是中国也是现今世界上最大的一张手机网络,这里涉及的设备和系统千千万万。再加上GSM(2G)模式下的短信明文传输和单向鉴权都是协议上的漏洞。只要手机运行在GSM 2G网络下就一定能被利用,说白了就是米已成炊,于事无补,在运营商那边来说只能劝用户尽快升级到4G网络上去(2G全面退网),也就是说靠移动运营商层面来解决这个GSM劫持+短信嗅探问题不现实。

在网络金融和网银App方面防范这个GSM劫持+短信嗅探是有可能的,但这需要众多手机应用增加新的验证方式,并更新他们的App,这个需要一定的时间,但我相信负责任的大厂(像是支付宝其实已经有这样的功能了,但默认是关闭的)还有本应固若金汤的手机网银App会很快跟进。方法是 1)取消单纯的手机号+接收验证码即可登录甚至还可以修改支付密码等功能 2)在最后的支付环节或修改支付密码环节增加指纹或人脸识别步骤,并且该步骤开启后,需要指纹或人脸识别才能关闭。

但远水解不了近火,如果在这些软件更新前你就中招了,那怎么办?

一、首先你们要了解到,GSM劫持是因为手机使用了GSM制式下的2G网络,目前在中国只有中国移动和中国联通2G下是GSM制式,中国电信2G下是CDMA制式,是无法被短信嗅探的。因此,如果你是中国电信用户,或者有中国电信的手机卡(我知道最近很多开了中国电信家庭光纤宽带的,是附赠了无限手机流量套餐手机卡的),可以把支付宝或网银手机号临时改成中国电信的,这样100%就能避免被短信嗅探的问题。

二、网上有人说,晚上睡觉手机关机。的确,手机关机了,由于手机不在网络下,运营商不会向你发送短信验证码,自然不法分子后续的操作都无法实施,也是100%有效。但对于工作繁忙,或者有时候怕家里出什么事的人来说,一晚上关手机造成的损失可能比银行资金被盗取更大。所以这种方法也不太可取,那有没有不换手机号为中国电信,又或是晚上睡觉不关手机又能防范GSM劫持+短信嗅探的办法呢?答案是有的

中国移动和中国联通用户如何不关手机防范GSM劫持+短信嗅探

1)手机层面的加固。目前中国移动基本在国内全面开通了VoLTE服务,关于VoLTE(语音+短信全走4G网络)服务我们晚些会有篇文章专门说明。这里就简单说一下,当你的中国移动手机开启了VoLTE服务后,无论是语音通话还是手机短信,均会改用4G网络制式,而4G网络制式下手机短信是要双向鉴权的,也就此堵住了不法分子利用的漏洞。可问题是,VoLTE服务严重依赖4G网络,也就是你必须先给手机号开通4G服务,同时在4G网络信号不好或者没有4G网络的地方,手机仍然会自动降为2G网络(这样漏洞就会再次出现,你很难确保什么时候是什么时候不是)。此外,不法分子会利用自制的干扰器压制该区的4G信号,欺骗你的手机降级去连接2G网络,从而又落入GSM漏洞的圈套。再有,中国联通目前仅于部分省市开通了VoLTE服务(中国绝大部分城市都没开通)。所以单就手机启用VoLTE服务能起到一定的作用,但不能完全杜绝。

对于持有iPhone6及以上,或者这2-3年出产的OPPO,Vivo,小米或者华为手机,也是用中国移动网络的,我们当然是建议开启VoLTE服务。开通方法也很简单,向10086发送短信“KTVOLTE”(没有另外收费,不对现行资费套餐有任何影响),几秒内就生效。之后,iPhone用户需要在设置->蜂窝移动网络->蜂窝移动数据选项->启用4G(改为语音与数据),就算完整启用了。而安卓手机由于平台众多不能一一列举,你们也只需要在语音通话设置项里找一下,什么HD通话或者高清语音通话功能的,打开便是。

VoLTE服务成功开启后,苹果手机是没有任何提示的,但安卓手机一般会于手机顶部通知栏显示HD字样,意指高清语音功能开启。而如果你想甄别一下手机是否真的开启了VOLTE功能,可以试着用你的手机拨打任意电话,如果此时手机信号从4G降为2G,则说明VoLTE模式没有开启成功。如果打电话途中还是显示4G字样并且能正常上网的,那就是VoLTE开启了。

对于某些网上用户提议的开启安卓手机上的防伪基站功能,其实在短信嗅探环节里是不起作用的,就是说该功能对本次GSM劫持+短信嗅探攻击不起防护作用。你们别听到人家说开启了防伪基站功能或用了华为带防伪基站功能的手机后就高枕无忧了。

5.jpg

设置->蜂窝移动网络->蜂窝移动数据选项->启用4G(改为语音与数据)

2)支付宝开启高级验证。从上面不法分子的犯案步骤可以看到,他们都是用手机号+验证码方式登录支付宝,那有没有一种方法,能让现有的支付宝版本就能在手机号验证的时候多加一道安全验证措施呢?答案是有的。你先升级iPhone最新版的支付宝,然后找到于“我的”页面->右上“设置”->安全设置->安全中心->暗号。该功能会要求用户拍摄一张照片,或者自己画一张图片作为暗号,一旦用户于非常用设备(就是新设备)登陆支付宝,除了短信验证码外,还会要你从9个相似图片里找到这个暗号,只要你答错一次,支付宝的风控就会启动。但美中不足的是,这个暗号是把一张自己的图片+随机抽取的8张图片混在一起给你挑选,也就是说,不法分子随机挑选碰中的机会也有1/9。这方法是给不法分子增加了难度,但还是有一定几率被撞破,无法做到100%防护。

6.jpg

“我的”页面->右上“设置”->安全设置->安全中心->暗号

7.jpg

3)对你的资金账户投保。在开启了VoLTE功能,并于支付宝加设了暗号后,就像上文所说的,还是不能100%防范,所以我们还要继续加强保护。现在,返回到支付宝“我的”页面,进入“总资产”项,在最顶部你的ID旁边,有一个“账户安全险保障中”的,点击进去你能看到一个“支付宝账户安全险”外加“银行卡安全险”。“支付宝安全险”就很好理解了,在支付宝余额里的钱如果被盗刷了,100万以内支付宝会赔付。另外一个“银行卡安全险”如果你之前没开通过的,可以在我的银行卡底部找到这个开通连接。该保险的协议内容是你名下所有银行卡资金被盗刷的话,就赔,几十块钱保几万就够了。

8.jpg

9.jpg

4)睡觉时手机开飞行模式但打开wifi。如果家里人跟你同住,或者家里有座机的,在支付宝和各大网银App升级软件安全功能前,还是建议晚上睡觉时手机开飞行模式后,开wifi(这样手机信号是关闭的,但又不影响微信,iMessage或者一些网银App的通知,支付宝和网银那些一旦有资金变动现在都是第一时间有推送通知的,而推送通知只要手机能连上网便可收到)。

http://iphone.poppur.com/Apps/7953.html

NINGBOCAT: 我还要说一句,重要的资金可以不要用银行卡,而是用银行存单或是存折。限定取款时的条件:身份证+密码, 不能仅凭密码取款。当然,这个是对资金的流动性有巨大的影响,只是一种很无奈的,过时的方式。

说到底还是要所有银行或是购物网站不要只靠短信验证码就找回密码或是转走所有钱!!

现在支付宝的安全级别可以开得很多,一定要把的所有验证开起来,可以说还是绝对安全的!

像是:人脸识别,声音识别,暗号验证等。