睡一覺錢沒了?如何防范恐怖的GSM簡訊劫持?






睡一覺錢沒了?如何防范恐怖的GSM簡訊劫持?

點擊上方電腦愛好者關注我們

相信很多童鞋的朋友圈最近都在傳播這麼一則消息:多地警方陸續接報一類蹊蹺案件,很多人早上起床後發現手機收到很多驗證碼和銀行扣款簡訊,甚至網上銀行APP登錄帳號和密碼也已被篡改,損失慘重。

睡一覺錢沒了?如何防范恐怖的GSM簡訊劫持?

相關民警介紹,上述案件是一種最新型的詐騙手法。黑客通過「GSM劫持+簡訊嗅探技術」,可實時獲取用戶手機簡訊內容,進而利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷,做到信息竊取、資金盜刷和網路詐騙等犯罪。

睡一覺錢沒了?如何防范恐怖的GSM簡訊劫持?

今天,CFan就和大家聊一聊關於GSM簡訊劫持的那些事兒。

為什麼隱患這麼大?

無論是用戶自己圖方便,還是整個行業的刻意引導,如今各種APP都需要使用手機號碼註冊和登錄,無論是微信、支付寶、銀行客戶端、現金貸還是微博論壇都是如此。如果你安全意識不高,這些APP都用了相同的密碼……

睡一覺錢沒了?如何防范恐怖的GSM簡訊劫持?

此外,簡訊驗證碼可以幫助用戶進行修改密碼、修改綁定郵箱等敏感操作,某些APP甚至還支持動態簡訊驗證碼直接登陸。

因此,黑客只需拿到了你的手機號碼+GSM簡訊劫持,一個手機號就能威脅到和其綁定的所有支付寶、金融卡和具備支付或貸款功能的APP。

反正現在小編無比懷念起可以隨意用個性昵稱或郵箱地址隨意註冊的年代了……我會告訴你我的昵稱就叫「忘記密碼」嗎?

黑客怎麼玩?

GSM簡訊劫持是一種比偽基站更高端的技術。簡單來說,黑客會使用專業設備自動搜多附近的手機號碼,攔截如經營商、銀行發送的簡訊,劫持對象主要針對2G信號(GSM信號),竊取簡訊信息後通過其登錄一些網站,從中碰撞機主身份信息,稱之為「撞庫」(即多個數據庫之間碰撞),試圖將機主的身份信息匹配出來,包括身份證、金融卡號、手機號、驗證碼等信息,繼而在一些小眾的便捷支付平台開通帳號並綁定事主金融卡,冒充事主消費或套現,盜取事主金融卡資金。

睡一覺錢沒了?如何防范恐怖的GSM簡訊劫持?

還好,黑客往往只是隨機作案。如果你已經被黑客刻意盯上,對方提前獲知了你的姓名、手機號和身份證號碼,通過SIM卡劫持(又稱SIM卡克隆)或GSM簡訊劫持+找回密碼認證,後果不堪設想。

最令人無奈的是,黑客們大多選擇凌晨作案,在你睡得最深沉之際就完成了既定目標。當你白天醒來之後,一切就都晚了。

此外,簡訊驗證碼的安全缺陷是由GSM設計造成,且GSM網路覆蓋範圍廣,因此修復難度大、成本高,對於普通用戶來說基本上是無法防范。

一些大家關心的問題

小編在網上搜到了不少網友與GSM簡訊劫持方面的問答,截取一些和大家分享,里面涉及到技術方面的不一定正確,僅供參考。

問:聯通現在都是4G和3G,還有危險嗎?

答:攻擊不需要經營商有真實2G網路,而是利用基站的機制讓你的網路不管是3G還是4G都強行降級到GSM。除非你的手機自身就不允許切換到2G網路,否則都會面臨GSM簡訊劫持的隱患。

問:CDMA手機怎麼降到GSM?

答:CDMA理論上向下兼容GSM,再加上上面的原因,所以同樣存在威脅。

問:手機自帶偽基站識別功能有用嗎?

答:這次的案件原理是利用GSM通信協議漏洞,識別和屏蔽偽基站功能指望不上。

問:手機開通了VoLTE功能,通話都是4G,還害怕嗎?

答:現在的GSM簡訊劫持原理是強制你的手機重新定向到GSM偽基站,所以如果黑客選擇高成本的暴力干擾3G/4G信號而強制讓信號回落到2G的方式,那VoLTE功能也救不了你。

那我們應該怎麼辦?

雖然GSM協議的安全隱患已經被有關部門注意到,而經營商方面也正在進行相關的優化升級。但是,在驗證碼簡訊還處於明文傳遞的今天,更多時候還是需要從我做起。

最近網上流傳的方案大都是睡覺前關機或是將手機設定到飛行模式。這種操作的確可以防止GSM簡訊劫持,但如果黑客選用的是SIM卡克隆,你反而會失去提前發現手機突然沒信號的前兆。所以,小編首先建議的就是大家進入微信、支付寶、銀行客戶端等APP,找到(如果有)並打開與二次驗證相關的一切功能,比如個性化問題、語音驗證、人臉驗證等等,設置到連你都覺得登錄一次怎麼這麼麻煩的地步就好了。

問題來了,很多APP並沒有二次驗證的安全舉措,只要手機號+驗證碼就能登錄並重置一切安全設置,並完成支付和轉帳等操作。

因此,我們只能指望整個行業提升手機登錄安全驗證的技術革新了。

比如,增加自己的安全意識,在家里(熟悉的Wi-Fi環境)下登錄銀行支付類APP。關閉各種雲服務的簡訊備份(雲同步)功能,徹底堵死黑客從雲端獲取簡訊內容的通道

再比如,讓新手機首次安裝SIM卡時加入綁定當前手機MAC地址的步驟(需要經營商方面想辦法),今後每次收發簡訊應需要先驗證MAC地址,也就是先發送一個信號咨詢MAC地址,得到手機自動回復驗證通過後,再發送簡訊明文。

還比如,基於APP的兩步驗證。兩步驗證APP基於TOTP機制,不需要任何網路連接(包括Wi-Fi),也不需要簡訊和SIM卡,驗證碼完全在手機本地生成。所以APP兩步驗證可最大限度免疫SIM卡劫持和GSM簡訊劫持。

還有一個最簡單的,以後在獲取驗證碼登錄的界面增加一個隨機的應答題,除了驗證碼以外還需輸入正確的答案,這樣黑客即使拿到簡訊也不知道問題答案。

當然,這些都不是咱們用戶自己可以決定的。只是希望借著此次GSM簡訊劫持案件的爆發,讓更多相關企業和部門可以聯手堵死有關的漏洞,比如讓2G徹底淘汰,或是手機廠商加入強制關閉2G功能的選項,從而讓我們今後移動支付、理財可以更加安心吧。

睡一覺錢沒了?如何防范恐怖的GSM簡訊劫持?

點擊「閱讀原文」查看更多精彩