电信用户才能幸免?这漏洞能让你一夜倾家荡产
事情是这样的(来自豆瓣UP主独钓寒江雪):
是的,手机在手,身家全丢。如果你还记得3年前那场闹得沸沸扬扬的「换卡诈骗」,就知道类似这样绕过用户的诈骗方式已经发生不止一次了。不同的是,换卡诈骗最后在运营商取消在线换卡业务后得以遏制,而这一次,解决代价太大,防御手段太少。
天降短信验证码?你的网银支付宝可能被盗了
在UP主描述中,最醒目的字眼就是「接收了100多条验证码」。按理来说,即便是有人用UP主的手机号登陆网银支付宝,验证码都是发送到UP主手机上的,别人怎么会知道?
问题就出在「接收环节」上。大部分手机短信都是通过GSM(2G)网络传输,由于GSM短信无加密措施,短信内容因而能够轻易地被不法分子监听,这种监听手段被称为「短信嗅探」。
但是短信嗅探只能监听到短信内容,还无法获知短信接收者的手机号码。于是,不法分子就通过「GSM劫持」的方式伪造目标手机活动。这个GSM劫持也被称为「GSM中间人攻击」,其原理是:
攻击者搭建GSM(2G)伪基站,诱使目标手机驻留在伪基站上,同时联通伪终端与运营商网络。如果在联网过程中被要求鉴权,鉴权请求会通过伪基站发送至目标手机,目标手机返回鉴权响应并传回至伪基站,伪基站将鉴权响应传给伪终端,再由伪终端返回到运营商网络,完成鉴权。
鉴权完成意味着伪终端成功欺骗运营商网络,取代目标手机联网。之后,攻击者只需要以目标手机身份向自己持有设备呼出电话,就可以获取目标手机号码。
▲ UP主同样经历莫名外呼情况
接下来,不法分子通过黑产途径或者撞库的非法手段窃取目标关键信息,包括目标的身份证号码、银行卡号、关联账号以及其他可以证明「我就是本人」的重要信息。凭借这些信息,不法分子就可以冒充你的身份,伪装你的手机,实行一系列的资产转移、盗刷活动。
根据支付宝官方对UP主资金被盗事件的公告:攻击者成功骗过了判定系统,让系统误认为是「用户本人操作」,不触发风控,而且「多次短信验证码等多个安全校验都是一次性成功通过」。
而且攻击者通常都比较鸡贼,选择团伙作案,深夜作案。一方面,团伙作案流程化、速度快,几小时内就能把受害者的资金账户清空。UP主睡着的这几小时,支付宝、京东金条、银行卡无一幸免。
另一方面,「GSM劫持+短信嗅探」的手段不能拦截短信,也就是说攻击者接收到的短信,目标手机也能收到。为了不惊动受害者,不法分子选择在夜深人熟睡时下手。要不是UP主被尿憋醒,发觉资金被盗的时间可能还要往后推迟几小时。
就这样,神不知鬼不觉的,UP主半辈子积蓄就没了。
犯罪成本低至一顿必胜客,运营商和互联网公司头大了
文章开头说到,GSM劫持和短信嗅探的解决代价太大,根本原因在于GSM(2G)网络存在先天性缺陷且无法修复。只要短信仍通过GSM网络传输,用户的短信内容就仍在不法分子面前裸奔。
要想彻底堵住这个坑,唯一的办法就是关闭2G网络。然而据统计,截至2017年仍有近3亿用户在使用2G网络,一刀切地关闭2G网络显然不现实,最可行的办法就是将2G用户逐步向4G迁移。虽然国内的移动运营商已经加紧了2G网络向4G网络迁移的脚步,但这个过程仍需要等上很长一段时间。
不少媒体在事后建议用户「开通VoLTE业务」,这实则是在扬汤止沸。开通VoLTE业务意味着短信优先从安全等级更高的3G/4G网络上传输,注意这里是「优先」而非「绝对」。也就是说,当3G/4G信号不好或者受到干扰时,短信传输通道仍会回落到2G网络。
▲ 伪装成外卖保温箱的伪基站
在2016年的HITB安全峰会上,就已经有安全专家指出,攻击者可以通过干扰3G/4G信号或者设立4G伪基站等途径强制将用户网络降级至GSM(2G),从而实施「降级攻击」。所以,开通VoLTE业务并不是绝对靠谱的,只能一定程度上提高不法分子的犯罪成本罢了。
至于犯罪成本,权威机构和人士是这么说的:
全国信息安全标准化技术委员会在年初发布的一份网络安全实践指南指出,截获短信的攻击手段早在2010年已出现。而诈骗事件在现在才爆发,原因之一是犯罪成本的降低。
指南提到,攻击手法各主要环节已经工具化和自动化,攻击门槛降低,一般攻击者可通过购买工具实施攻击。据腾讯安全玄武实验室负责人TK所述,「最小实现的硬件成本只要一顿必胜客的钱」。
诈骗集中在今天爆发,其实还有一个更重要也更值得关注的原因:互联网公司甚至是部分银行对短信验证码的赋权过重、依赖太强。
自手机号实名制落实以来,越来越多的互联网公司把手机号码登录作为用户登录的首选方式,部分第三方支付服务只需短信验证码+银行账号就能完成银行卡绑定、支付密码修改等关键行为。
对公司而言,短信验证在完成登录的同时,也完成了对用户身份的确认,一举两得。如果用户非法操作,公司即可通过手机号码追溯用户身份,将风险和责任承担降至最低。而短信验证码具有动态、随机的优势,在一定程度上,短信验证的方式比明文密码更安全。
然而,一定程度上的安全就是不安全。当下,信息黑产已经公开密码,获取他人的敏感信息只剩一个钱的问题。目标对象的所有资料都能获得,区区一个短信验证码又怎么可能拦得住犯罪的脚步?更何况,短信验证码这一环已经被攻破了。
对此,互联网公司甚至是银行金融业有必要对存在的短信验证码方式进行摸底,评估安全风险,升级验证措施。根据全国信息安全标准化技术委员会提供的建议,公司可以通过增加短信上行验证、语音通话传输验证码、常用设备绑定、动态选择身份验证等方式增强用户账户安全性。
然而增强安全性又意味着公司成本的增加,这笔投入对巨头来说也许不值一提,但对初创甚至是小微企业而言,可能就只能在成本和用户信息安全之间二选一了。所以,在有关部门出台相应政策之前,建议性措施的落实效果很有可能要大打折扣。
可怜弱小又无助的用户,这些方法真能金身保命?
许多媒体已经针对这次网络诈骗给出了应对方法,但是经实际查证,几乎每个方法都存在被成功攻击的概率。是比较悲壮,但我们还是很有必要了解一下这些方法,也算是曾经挣扎过。
1. 转网,成为电信用户
有别于中国移动和中国联通的GSM,中国电信的2G网络制式为CDMA,几乎无法嗅探。也就是说,中国电信用户是此类攻击的唯一免疫人群。
2. 睡前关机
关机可以从短信接收端防止被嗅探,只能增加攻击者的犯罪成本。因为即便是目标手机处于关机状态,攻击者仍可以尝试到短信发送端嗅探短信。比方说,攻击者想要盗取你的微信号,TA可以去腾讯总部外发短信的设备附近嗅探(前提是TA能找到设备在哪里)。
3. 开通VoLTE业务
这个方法前面已经提到,只能增加攻击者的犯罪成本,而不能抵御攻击。具体开通方式如下:
电信用户:短信ktvolte发送至10001
移动用户:短信ktvolte发送至10010
联通用户:短信vbncdgfbde发送至10010 (对了,部分地区尚不支持VoLTE业务)
是的,对贼人的手段,你能做的只有这么多。
还能怎么办?但愿,天下无贼罢。