浙江在線10月18日訊(浙江在線編輯 吳盈秋)「幾條奇怪的簡訊,半輩子的積蓄沒了。」日前,一種名為「GSM劫持+簡訊嗅探技術」的新型犯罪手段引起關注。鄭州、南京、廣州等多地警方發布通報稱,有人早上起床後發現手機收到很多驗證碼和銀行扣款簡訊,有的網上銀行APP登錄帳號和密碼被篡改,在毫無察覺的情況下,銀行帳戶被盜刷。
據南京江寧警方官博8月2日通報,不同於傳統的偽基站只發詐騙簡訊的方法,此類新型偽基站詐騙使用的方法是利用GSM(2G網絡)設計缺陷,能實現不接觸目標手機而獲得目標手機所接收到的驗證簡訊的目的,對於普通用戶來說基本上是無法防範,「比較穩妥的辦法是關閉手機的移動信號,只使用家中或者辦公室的WIFI。」
犯罪分子利用嗅探技術「隔空取物」,簡訊驗證碼也被劫取
今年8月,一位新浪微博網友向警方和相關金融機構報案:凌晨2時至5時,手機先後收到100餘條來自支付寶、京東金融和銀行等金融機構的簡訊驗證碼,相關帳戶內的餘額及綁定銀行卡內的餘額全部「憑空蒸發」。
事後經安全技術專家鑑定,認為這是一起較為典型的利用簡訊嗅探技術實施財產侵害的案例。據中國電子技術標準化研究院技術專家何延哲介紹,簡訊嗅探技術是在不影響用戶正常接收簡訊的情況下,通過植入手機木馬或者設立偽基站的方式,獲取用戶的簡訊內容,這其中就包括來自銀行、第三方支付平臺和移動運營商的簡訊驗證碼。
一位業內人士介紹,除了盜取用戶金融帳戶內的資金外,簡訊嗅探技術還可以截獲移動運營商給手機用戶發送的驗證碼,用來辦理各類增值扣費業務,從而盜取手機用戶的話費。
公開報導顯示,近期,全國已有多地破獲相關案件:7月,河南新鄉公安機關破獲一起利用簡訊嗅探技術使用他人金融帳戶購買虛擬物品實施銷贓的案件,抓獲犯罪嫌疑人10名;8月,廈門警方破獲一起利用簡訊嗅探技術盜刷他人金融帳戶的案件,抓獲犯罪嫌疑人1名,涉案金額10餘萬元;同樣在8月,深圳警方打掉一個全鏈條盜刷銀行卡團夥,抓獲10名犯罪嫌疑人,查繳偽基站等電子設備6套,帶破同類案件50餘宗,涉案金額逾百萬元。
記者暗訪:社交網絡售賣嗅探設備軟體,聲稱「包教包會」
這些非法設備從何而來?記者在網際網路和社交軟體搜索,發現大量嗅探設備交易帖和交流群。
在一個名為「嗅探吧」的百度貼吧中,不少賣家除了介紹嗅探功能,留下QQ、微信等聯繫方式外,還時常分享一些攔截簡訊成功的截圖,誘導他人購買相關設備。
根據一篇交易帖的指引,記者添加了尾號為0960的QQ用戶。對方稱,只需要8500元即可將盜取話費的全套設備軟體賣給記者,盜取支付寶帳戶餘額的相關設備則需2萬元。為打消記者的顧慮,對方甚至還表示可以通過快遞公司「貨到付款」,在快遞網點開機現場驗證設備性能後再付款,並承諾將通過傻瓜式教程「包教包會」。
一位售賣設備的賣家告訴記者,他們有一個專門的工作室,有人負責製作硬體,有人負責軟體編程。
有賣家提醒記者,要遵守「行規」。例如,在盜取他人話費時,一天盜取的話費上限不能超過3000元。
還有賣家給記者發來了大量的照片和視頻錄像,證明所售賣的設備真實可靠。在一段視頻影像中,嗅探設備正在運行,對方還演示了如何操作軟體,並成功截獲了一條發自銀聯的簡訊驗證碼。
專家建議:運營商加快淘汰2G網絡技術,金融機構加強安全因子的多重驗證
非法買賣、使用簡訊嗅探設備觸犯哪些法律法規?福建省瀛坤律師事務所張翼騰律師認為,由於出售人未經有關主管部門批准,未取得電信設備進網許可等資質,非法生產、組裝、銷售「偽基站」設備的行為可能構成非法經營罪。
如購買者擅自設置、使用無線電臺(站)或者擅自使用無線電頻率,幹擾無線電通訊秩序,造成公用電信設施不同程度中斷,使不特定多數的個人無法正常進行通訊聯絡活動,其行為可能構成破壞廣播電視設施、公用電信設施罪、擾亂無線電通訊管理秩序罪。
此外,若使用者實施了盜刷銀行卡的行為,則可能同時構成盜竊罪、信用卡詐騙罪等。
何延哲表示,在2G通道下進行的簡訊和通話信息使用明文傳輸。為成功劫持信號完成簡訊嗅探,不法分子有時還會干擾3G和4G信號,強制讓用戶「降維」到2G網絡狀態。
騰訊安全玄武實驗室負責人於暘建議,用戶可以要求運營商開通VoLTE功能(一種數據傳輸技術),讓簡訊通過4G網絡傳輸,防範無線監聽竊取簡訊。
於暘表示,在網絡安全領域存在一個「不可能三角」,即無法同時實現安全、便捷和廉價三個要素。從簡訊嗅探技術盜刷他人金融帳戶的案例來看,目前,被多數金融機構採用的基於帳戶登錄密碼和簡訊驗證碼的「雙因子安全認證」雖然方便,但在該環境下有失效風險。
何延哲等業內專家建議,通信運營商應考慮加快淘汰2G網絡技術,確保用戶的簡訊和通話內容不被他人截獲竊取。此外,有關專家建議,在「雙因子安全認證」出現漏洞的情況下,包括銀行和第三方支付平臺在內的金融機構應加強安全因子的多重驗證,推出更為完善可靠的校驗手段。
【延伸閱讀】
手機這六大功能要慎用
「免密支付」功能要慎用
行動支付的便利加上快捷性,使得很多用戶都會選擇用手機付款。為了加快付款速度,支付寶等都推出了小額免密支付等功能,有的軟體在購買付款時更是只需要一個驗證碼便能完成交易。對此,工信部在內容中指出,雖然免密支付客觀上方便了消費者,但也增加了被盜刷的風險。
據了解,去年12月,杭州市民徐先生的手機曾被同宿舍同事馬某盜走,馬某利用小額免密支付功能盜刷了4000餘元。與此同時,之前還有媒體報導過利用支付寶小額2000元免密支付而被盜刷的案件。
及時關閉手機WIFI功能
智慧型手機的各種社交以及網購體驗都離不開網絡的支持,不過由於移動流量費用較高,使得家裡、單位公司以及很多場所基本都配備了Wi-Fi的功能。而在一些公共場所,登陸Wi-Fi還需要用戶用手機等信息進行登錄操作之後才能上網。但是,你知道嗎,就在你登陸的時候,便很有可能被黑客入侵。
據工信部報導稱,發現免費WIFI千萬不要隨便登錄,這可能是黑客用來入侵你手機的工具。江西一名男子曾使用沒有設置密碼就能直接登錄的免費WIFI,並用手機輸入自己網銀卡號密碼,結果帳戶被人轉走了3萬多元!
慎開USB調試功能
使用安卓手機的用戶,大部分都知道手機有一個USB調試功能,相當於開放了一個接口,可以進行更多的操作,這也是和iPhone iOS系統的封閉性恰恰相反的。因此,很多安卓手機用戶也都是刷機大人,能夠利用這個接口體驗到更多的功能。
不過,在開啟了USB調試功能以外,手機自身的「保護性」便相對差了一些,存在一些隱藏的風險,你的鎖屏密碼、綁定帳號等很容易被各種應用隨意調用。工信部報導稱,一般不建議用戶開啟這項功能。
iPhone別記錄「我常去哪」、微信別打開「附近的人」功能
網絡的發達加上技術的成熟,使得我們的隱私幾乎沒有防護。很多不法分子利用我們手機上的定位以及發送的一些社交信息,便能夠找到我們所在的位置。對於iPhone用戶來說,有一個功能一定很熟悉,那就是「常去地點」功能,可用地圖顯示記住經常去的位置。雖然這個功能可以對自己的日常行動進行記錄,比較有紀念意義,但是這樣也很容易暴露個人日常活動信息。如有不法分子「惦記」上你,也就相當於向他們敞開了大門。
同時,微信中「附近的人」功能也可以進行定位,存在一定的安全風險。對於,工信部報導稱,建議用戶關閉這兩個功能,以達到保護自身安全的目的。那麼,如何關閉呢?
對於「常去地點」這個功能,iPhone用戶可以依次點擊「設置—隱私—定位服務—系統服務—常去地點」,關閉該選項即可。而微信「附近的人」,用戶可通過依次點擊「設置—通用—功能—附近的人」,選擇「清除我的位置信息」「停用」即可。
儘量關閉應用的敏感權限、安裝軟體少點「允許」
前端時間,關於各種軟體監聽用戶信息的報導不在少數,而最根本的原因就是現在的手機軟體對於用戶手機的後臺權限要求越來越高,一些看似不需要的權限,也不知道這些軟體需要的意義在哪裡。
工信部報導稱,安卓用戶安裝應用後會被要求允許軟體讀取相關權限,通訊錄、簡訊通話記錄等敏感權限應儘量關閉。
與此同時,手機安裝遊戲等軟體時,常被要求「使用你的位置」,如果你點擊了「允許」,這些應用便可掃描並把手機信息上傳到網際網路雲伺服器,一旦資料洩露,別人就可能知道你的位置、家在哪裡。
微信朋友圈曬圖片請慎重 你的個人信息沒準會暴露
微信之所以能夠成為數一數二的社交軟體,除了聊天功能方便豐富之外,朋友圈的互動也是必不可少的一個因素。對於很多用戶來說,都很喜歡發朋友圈,把自己的美照、家人以及各種出遊拍下來的美景發到朋友圈,希望得到很多朋友的點讚和評論。不過,有的用戶在發朋友圈時,恰恰也將自己的個人信息暴露了出來。
比如車票、護照、飛機票等,這些票據上的二維碼或條形碼都含個人姓名、身份證號等信息,藉助特殊軟體,便能輕易讀取。
同時,微信上的「所在位置」功能,可以跟朋友分享你在哪兒,但如果你去旅遊、出差的話,也等於告訴別有用心者、小偷「這人不在家」,為他們創造了條件。
而對於很多喜歡曬娃的用戶來說,不法分子很可能是通過父母的朋友圈知道的。家長發布孩子照片、文字記錄時,也會無意間會洩露孩子的相貌和姓名。
(綜合新華網、中國新聞網、觀察者網)