2018-10-18

手机信号突然降为2G?可能犯罪分子正在盗刷你的银行卡

编辑:吴盈秋
导 语

凌晨,突然发现手机信号从4G降为2G,接收来自银行、支付宝和移动公司的各类短信验证码。随后,银行账户被转空、支付宝余额被转走、手机自动订购了一堆无用的增值业务……这并非科幻电影中的场景,而是现实世界中短信嗅探设备对手机用户实施不法侵害。

timg.jpg

  浙江在线10月18日讯(浙江在线编辑 吴盈秋)“几条奇怪的短信,半辈子的积蓄没了。”日前,一种名为“GSM劫持+短信嗅探技术”的新型犯罪手段引起关注。郑州、南京、广州等多地警方发布通报称,有人早上起床后发现手机收到很多验证码和银行扣款短信,有的网上银行APP登录账号和密码被篡改,在毫无察觉的情况下,银行账户被盗刷。

  据南京江宁警方官博8月2日通报,不同于传统的伪基站只发诈骗短信的方法,此类新型伪基站诈骗使用的方法是利用GSM(2G网络)设计缺陷,能实现不接触目标手机而获得目标手机所接收到的验证短信的目的,对于普通用户来说基本上是无法防范,“比较稳妥的办法是关闭手机的移动信号,只使用家中或者办公室的WIFI。”

  犯罪分子利用嗅探技术“隔空取物”,短信验证码也被劫取

  今年8月,一位新浪微博网友向警方和相关金融机构报案:凌晨2时至5时,手机先后收到100余条来自支付宝、京东金融和银行等金融机构的短信验证码,相关账户内的余额及绑定银行卡内的余额全部“凭空蒸发”。

  事后经安全技术专家鉴定,认为这是一起较为典型的利用短信嗅探技术实施财产侵害的案例。据中国电子技术标准化研究院技术专家何延哲介绍,短信嗅探技术是在不影响用户正常接收短信的情况下,通过植入手机木马或者设立伪基站的方式,获取用户的短信内容,这其中就包括来自银行、第三方支付平台和移动运营商的短信验证码。

  一位业内人士介绍,除了盗取用户金融账户内的资金外,短信嗅探技术还可以截获移动运营商给手机用户发送的验证码,用来办理各类增值扣费业务,从而盗取手机用户的话费。

  公开报道显示,近期,全国已有多地破获相关案件:7月,河南新乡公安机关破获一起利用短信嗅探技术使用他人金融账户购买虚拟物品实施销赃的案件,抓获犯罪嫌疑人10名;8月,厦门警方破获一起利用短信嗅探技术盗刷他人金融账户的案件,抓获犯罪嫌疑人1名,涉案金额10余万元;同样在8月,深圳警方打掉一个全链条盗刷银行卡团伙,抓获10名犯罪嫌疑人,查缴伪基站等电子设备6套,带破同类案件50余宗,涉案金额逾百万元。

  记者暗访:社交网络售卖嗅探设备软件,声称“包教包会”

  这些非法设备从何而来?记者在互联网和社交软件搜索,发现大量嗅探设备交易帖和交流群。

  在一个名为“嗅探吧”的百度贴吧中,不少卖家除了介绍嗅探功能,留下QQ、微信等联系方式外,还时常分享一些拦截短信成功的截图,诱导他人购买相关设备。

  根据一篇交易帖的指引,记者添加了尾号为0960的QQ用户。对方称,只需要8500元即可将盗取话费的全套设备软件卖给记者,盗取支付宝账户余额的相关设备则需2万元。为打消记者的顾虑,对方甚至还表示可以通过快递公司“货到付款”,在快递网点开机现场验证设备性能后再付款,并承诺将通过傻瓜式教程“包教包会”。

  一位售卖设备的卖家告诉记者,他们有一个专门的工作室,有人负责制作硬件,有人负责软件编程。

  有卖家提醒记者,要遵守“行规”。例如,在盗取他人话费时,一天盗取的话费上限不能超过3000元。

  还有卖家给记者发来了大量的照片和视频录像,证明所售卖的设备真实可靠。在一段视频影像中,嗅探设备正在运行,对方还演示了如何操作软件,并成功截获了一条发自银联的短信验证码。

  专家建议:运营商加快淘汰2G网络技术,金融机构加强安全因子的多重验证

  非法买卖、使用短信嗅探设备触犯哪些法律法规?福建省瀛坤律师事务所张翼腾律师认为,由于出售人未经有关主管部门批准,未取得电信设备进网许可等资质,非法生产、组装、销售“伪基站”设备的行为可能构成非法经营罪。

  如购买者擅自设置、使用无线电台(站)或者擅自使用无线电频率,干扰无线电通讯秩序,造成公用电信设施不同程度中断,使不特定多数的个人无法正常进行通讯联络活动,其行为可能构成破坏广播电视设施、公用电信设施罪、扰乱无线电通讯管理秩序罪。

  此外,若使用者实施了盗刷银行卡的行为,则可能同时构成盗窃罪、信用卡诈骗罪等。

  何延哲表示,在2G通道下进行的短信和通话信息使用明文传输。为成功劫持信号完成短信嗅探,不法分子有时还会干扰3G和4G信号,强制让用户“降维”到2G网络状态。

  腾讯安全玄武实验室负责人于旸建议,用户可以要求运营商开通VoLTE功能(一种数据传输技术),让短信通过4G网络传输,防范无线监听窃取短信。

  于旸表示,在网络安全领域存在一个“不可能三角”,即无法同时实现安全、便捷和廉价三个要素。从短信嗅探技术盗刷他人金融账户的案例来看,目前,被多数金融机构采用的基于账户登录密码和短信验证码的“双因子安全认证”虽然方便,但在该环境下有失效风险。

  何延哲等业内专家建议,通信运营商应考虑加快淘汰2G网络技术,确保用户的短信和通话内容不被他人截获窃取。此外,有关专家建议,在“双因子安全认证”出现漏洞的情况下,包括银行和第三方支付平台在内的金融机构应加强安全因子的多重验证,推出更为完善可靠的校验手段。

  【延伸阅读】

  手机这六大功能要慎用

  “免密支付”功能要慎用

  移动支付的便利加上快捷性,使得很多用户都会选择用手机付款。为了加快付款速度,支付宝等都推出了小额免密支付等功能,有的软件在购买付款时更是只需要一个验证码便能完成交易。对此,工信部在内容中指出,虽然免密支付客观上方便了消费者,但也增加了被盗刷的风险。

  据了解,去年12月,杭州市民徐先生的手机曾被同宿舍同事马某盗走,马某利用小额免密支付功能盗刷了4000余元。与此同时,之前还有媒体报道过利用支付宝小额2000元免密支付而被盗刷的案件。

  及时关闭手机WIFI功能

  智能手机的各种社交以及网购体验都离不开网络的支持,不过由于移动流量费用较高,使得家里、单位公司以及很多场所基本都配备了Wi-Fi的功能。而在一些公共场所,登陆Wi-Fi还需要用户用手机等信息进行登录操作之后才能上网。但是,你知道吗,就在你登陆的时候,便很有可能被黑客入侵。

  据工信部报道称,发现免费WIFI千万不要随便登录,这可能是黑客用来入侵你手机的工具。江西一名男子曾使用没有设置密码就能直接登录的免费WIFI,并用手机输入自己网银卡号密码,结果账户被人转走了3万多元!

  慎开USB调试功能

  使用安卓手机的用户,大部分都知道手机有一个USB调试功能,相当于开放了一个接口,可以进行更多的操作,这也是和iPhone iOS系统的封闭性恰恰相反的。因此,很多安卓手机用户也都是刷机大人,能够利用这个接口体验到更多的功能。

  不过,在开启了USB调试功能以外,手机自身的“保护性”便相对差了一些,存在一些隐藏的风险,你的锁屏密码、绑定账号等很容易被各种应用随意调用。工信部报道称,一般不建议用户开启这项功能。

  iPhone别记录“我常去哪”、微信别打开“附近的人”功能

  网络的发达加上技术的成熟,使得我们的隐私几乎没有防护。很多不法分子利用我们手机上的定位以及发送的一些社交信息,便能够找到我们所在的位置。对于iPhone用户来说,有一个功能一定很熟悉,那就是“常去地点”功能,可用地图显示记住经常去的位置。虽然这个功能可以对自己的日常行动进行记录,比较有纪念意义,但是这样也很容易暴露个人日常活动信息。如有不法分子“惦记”上你,也就相当于向他们敞开了大门。

  同时,微信中“附近的人”功能也可以进行定位,存在一定的安全风险。对于,工信部报道称,建议用户关闭这两个功能,以达到保护自身安全的目的。那么,如何关闭呢?

  对于“常去地点”这个功能,iPhone用户可以依次点击“设置—隐私—定位服务—系统服务—常去地点”,关闭该选项即可。而微信“附近的人”,用户可通过依次点击“设置—通用—功能—附近的人”,选择“清除我的位置信息”“停用”即可。

  尽量关闭应用的敏感权限、安装软件少点“允许”

  前端时间,关于各种软件监听用户信息的报道不在少数,而最根本的原因就是现在的手机软件对于用户手机的后台权限要求越来越高,一些看似不需要的权限,也不知道这些软件需要的意义在哪里。

  工信部报道称,安卓用户安装应用后会被要求允许软件读取相关权限,通讯录、短信通话记录等敏感权限应尽量关闭。

  与此同时,手机安装游戏等软件时,常被要求“使用你的位置”,如果你点击了“允许”,这些应用便可扫描并把手机信息上传到互联网云服务器,一旦资料泄露,别人就可能知道你的位置、家在哪里。

  微信朋友圈晒图片请慎重 你的个人信息没准会暴露

  微信之所以能够成为数一数二的社交软件,除了聊天功能方便丰富之外,朋友圈的互动也是必不可少的一个因素。对于很多用户来说,都很喜欢发朋友圈,把自己的美照、家人以及各种出游拍下来的美景发到朋友圈,希望得到很多朋友的点赞和评论。不过,有的用户在发朋友圈时,恰恰也将自己的个人信息暴露了出来。

  比如车票、护照、飞机票等,这些票据上的二维码或条形码都含个人姓名、身份证号等信息,借助特殊软件,便能轻易读取。

  同时,微信上的“所在位置”功能,可以跟朋友分享你在哪儿,但如果你去旅游、出差的话,也等于告诉别有用心者、小偷“这人不在家”,为他们创造了条件。

  而对于很多喜欢晒娃的用户来说,不法分子很可能是通过父母的朋友圈知道的。家长发布孩子照片、文字记录时,也会无意间会泄露孩子的相貌和姓名。

  (综合新华网、中国新闻网、观察者网)