作者: 雷火电竞首页 来源: 日期:2023-12-05 12:28
被“短信嗅探”盯上 一觉醒来一无所有?记者实测:短信验证码+身份证信息可以支付、转账、修改密码 专家提醒:不要轻易泄露你的身份证号码IT时报记者 吴雨欣 没丢手机、没丢卡,没扫二维码没点链接,没连WiFi没被远程换卡,只是睡了一觉便资产全无。当手机中的应用越来越多、绑定的服务也越来越多时,谁会想到短信验证码引发的连锁反映,能让一小我私家在一夜间存款为零?8月1日,网友“独钓寒江雪”的手机在半夜一连接到100条短信验证码,她醒来发现不仅自己的支付宝、银行账户被盗,还被贷了款。
《IT时报》记者通过“独钓寒江雪”形貌的受骗经由,试着重走“幕后黑手”攻击之路发现,整个链条风谲云诡、环环紧扣。“独钓寒江雪”被黑客掌握的不仅仅是手机短信验证码,另有她的身份证等小我私家信息,而有了这些,黑客完全可以做到交织验证修改你的登录、支付密码。
专家提醒,当越来越多的网站要求你填写身份证信息时,一定要审慎填写,而银行、第三方支付、互联网企业在验证“你是你”时,不要过分依赖手机短信。新闻事件观察一觉醒来 账户被盗刷8月1日,网友“独钓寒江雪”在网上发帖,称其在7月30日破晓5点多醒来后,发现手机一直在震,来自支付宝、京东、银行等网站发来的100多条验证码密密麻麻,时间都在7月30日破晓1点至4点之间。
“独钓寒江雪”一下睡意全无,查询名下账户时发现,不仅支付宝、余额宝、余额和关联银行的钱都被转走,骗子还在京东开通了金条、白条功效,乞贷1万多元。“独钓寒江雪”不明确,为什么手机在自己手里,验证码没有告诉任何人,骗子却像另一个自己一样,熟练地操作所有的账户。支付宝回应:操作者通过了多个验证因子 “独钓寒江雪”的遭遇在网上引发烧议,支付宝建立观察小组,回复其1点42分至3点21分的支付宝账户状态发现,骗子在登录支付宝账户后修改了登录密码、支付密码、绑定银行卡之后便开始网上购物,并三次通过支付密码将支付宝的资金提现到用户名下的银行卡,最后再将银行卡中的钱转走。支付宝相关人士告诉《IT时报》记者,“独钓寒江雪”第一次联系支付宝理赔时,支付宝拒绝了,因为从账户当晚操作的状态来看,像是账户本人或是熟人操作,登录账户、修改密码、购物、提现的校验全部一次通过。
“这件事比力稀有,操作者验证通过了多个校验因子,包罗短信验证码、用户的多个小我私家信息,而且绝大多数钱都转到了用户自己的银行卡上,这和以前泛起的被盗案子不太一样。”支付宝观察小组认为,保险公司第一次判断拒赔的原因,是从操作状态来看,极像本人或身边人操作,短信验证码等所有验证手段均一次性乐成通过,给判断这起案例的性质带来了极大难题。
现在,支付宝会先行全额赔偿用户的损失,配合警方,对案件举行处置惩罚。宁静专家分析:短信嗅探、木马都有可能发帖中,“独钓寒江雪”推测自己遭遇了GSM挟制+短信嗅探。
这是一种新型伪基站诈骗手段,使用GSM 2G网络的设计缺陷,实现不接触目的手机就能获得手机所吸收到的验证短信,进而使用各大银行、网站、移动支付App存在的技术毛病和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。骗子多在用户睡熟的深夜操作,黑客可以看到这个基站区域内所有用户收到的短信,从而获取短信内验证码等敏感信息,而他做这一切的时候,用户毫无知觉。在这个历程中,黑客就像是一条经由专业训练的猎犬,在黑黑暗悄无声息地分辨事物,因此被专业人士称为“短信嗅探”。
一位运营商内部人士告诉《IT时报》记者,“短信嗅探”涉及的关键技术缺陷是GSM通信协议接纳的单向鉴权方式,鉴权弱、明文传输的毛病,很容易被挟制,现在中国移动与中国联通的短信仍然是通过2G的GSM网络制式传输,而中国电信接纳的是CDMA网络,由于CDMA网络会对每一次通话、短信的历程举行鉴权,鉴权的历程相当庞大,且秘钥只在网络焦点侧和基站侧之间传输,非法分子无法获取,也无法通过鉴权拦截用户的短信。停止现在,从警方侦办的案例来看,确实尚未发现中国电信用户遭受该类技术攻击的情况。“五六年前,我的同事就曾经试过,监听短信很简朴,伪基站笼罩规模内,所有受影响的2G手机短信都市被监听,但现在手机大多升级到4G,这意味着攻击者的门槛更高了,乐成概率更低了。
”网络宁静专家李铁军告诉《IT时报》记者,虽然通过连续的信号滋扰能让熟睡中的人们手机信号一直处于2G状态,但会被无线电羁系部门发现。除了GSM挟制+短信嗅探,此外,其他可能性也应思量到,好比某个App同步备份了短信内容。
“手机中木马也可以窃取用户通讯录和短信内容,如果受害者中了类似木马,可能难以实时发现。”广州破晓网络科技有限公司DLG宁静研究实验室的“白帽子”告诉《IT时报》记者,虽然从案例分析,本案并不像被钓鱼Wi-Fi攻击导致,但用户也应注意到,“钓鱼热点”和“寄生虫热点”是现在恶意Wi-Fi攻击常见的攻击方式,一旦用户连上“寄生虫热点”,热点上的恶意法式会不停捕捉和窜改用户信息。记者实测短信验证码+身份证信息能做啥?8月6日至8月8日,《IT时报》记者选取部门样本,凭据“独钓寒江雪”受骗的经由,假设自己已遭到GSM挟制+短信嗅探,划分实验登录银行、移动支付、电商网站、社交平台及电子邮箱,看看究竟我们的网络生活是否宁静。第一波 银行+支付类App:手机+验证码+身份证号 便可在线转账8月7日,记者实验在很是用手机上登录同事的招商银行掌上生活App,登录需要两个步骤的验证,短信验证码+手势密码,而修改手势密码只需要用户的身份证号。
虽然同事还设置了面部识别登录,但因为记者已经修改了手势密码,面容登录即被关闭。若要在App里动用资金,修改支付密码和开通小额免密功效,操作人需要输入信用卡的宁静码、有效期、查询密码、验证码或者输入持卡人借记卡的姓名、身份证号、手机号码、验证码。因此,如果用户的信用卡卡面信息或是银行卡号账户泄露,账户即可完全被他人操作,但这个攻击场景相对难度较高。
与此相比,登录支付宝及修改支付宝密码则显得容易得多。记者同样使用自己的手机实验登录同事的支付宝账户发现,只需知道短信验证码、手机号及用户姓名即可登录,如果再掌握主人的身份证号,还能修改支付密码,于是记者乐成修改了同事的支付密码,完成了手机充值、转账等操作。京东钱包和京东金融同样通过用户手机号、短信验证码、用户姓名就可以对用户的登录密码举行修改,修改支付密码的验证步骤也比银行简朴得多,只需短信验证码、转账卡号和用户身份证号即可修改支付密码并转账。
如果要在京东金融中贷款,则需要完善用户的基本信息,好比姓名、身份证号、手机号、学校、学历、家庭地址、月收入、事情地址,并要在刷脸认证中扫描身份证并举行人脸识别。测试发现,如果黑客通过“短信嗅探”控制了你的手机短信验证码,同时凭据手机号码在此前已经掌握的种种信息“社工库”中找到你的身份证姓名和号码,那么攻击相对要容易得多,“独钓寒江雪”的情况很可能就属于这种。第二波 电商+社交+邮箱类App:仅需手机+验证码相较资金账户,登录电商、社交、邮箱等互联网应用就显得轻松许多,手机加短信验证码即可登录淘宝、京东、网易考拉、网易邮箱、189邮箱。登录QQ与微信需要勾选挚友头像、滑动拼图等二次验证,《IT时报》记者实验用已被攻破的同事支付宝账户直接登录了她名下的淘宝账户,家庭地址、公司地址、联系方式一目了然,再加上之前记者已提前修改了支付密码,充值或网购全无障碍。
修改京东的支付密码则需要验证6位原数字密码、短信验证码,再加一张用户名下的银行卡号。微信、QQ虽是社交应用,但亦涉及微信钱包、QQ钱包,纵然记者乐成登录他人微信或QQ,在支付时依然需要输入用户原支付密码来验证身份。但与支付宝类似,如果掌握了用户的姓名、银行卡号、身份证号及短信验证码,即可乐成修改用户的支付密码。测试效果讲明,银行类App宁静性最高,支付宝、微信支付次之,大部门电商、社交、邮箱类App虽只需手机号和短信验证码即可登录,但若涉及支付环节,需要更多小我私家信息举行验证。
深度分析风险泉源:隐私数据的泄露通过上述测试不难发现,用户纵然遭遇了GSM挟制+短信嗅探,但若没有泄露小我私家信息,骗子只能登录账户,无法完成支付、转账等操作。风险泉源在于信息泄露,黑产攻击会思量性价比,凭据目的价值接纳相应的技术手段,对于普通网民来说,从隐私数据入手,依然是最廉价的。
“简朴的密码基本没什么用,都在黑客的密码字典里。”李铁军说,密码绝大部门是加密存储,有一个秘文,通过解密算法也无法获得明文,但此前有些网站的数据库明文加密文一起泄露,而明文和密文组成一张表,这就是黑客的密码字典。“早在几年前,信息泄露的数据量以亿盘算,黑客手中掌握的社工库数据有上百亿条。
除非特别庞大、个性且经常更换的密码,否则基本都在黑客的密码字典里。”李铁军告诉《IT时报》记者。许多资金被盗、诈骗案件的背后都有地下黑库信息的推波助澜。日常生活中,用户信息泄露的渠道许多,黑客拖库、网站出售、各种电商订单等渠道都可以成为用户信息遭泄露、贩卖的源头,好比订旅店提供的姓名、身份证号、手机号,如果该旅店治理不严或系统存在毛病,用户会在一瞬间泄露三个关键信息。
网络黑产的事情流程是怎样的?广州破晓网络科技有限公司DLG宁静研究实验室人士告诉《IT时报》记者,这条工业链分工明确,是有组织、有计划的团伙式犯罪行为。历程大致分为开发制作、批发零售、诈骗实施、分赃销赃四个流程。有人专门卖力制作钓鱼编辑、木马开发、伪基站等黑产需要的软硬件,之后通过钓鱼零售商、域名市井将这些工具分销出去,再由小马仔去线下实施布点或线上诈骗,钱乐成骗到后另有专门的财政会计将这部门资金洗白,好比通过人民币购置Q币,再将Q币卖出去。洗白后的钱,通太过赃中间人举行分赃销赃,“在这条黑产链条中,银行卡市井、电话卡市井、身份证市井虽然也算是黑产中的一员,但比力边缘化。
”上述白帽子称。中国到底有几多用户的信息被泄露很难统计,但从今年7月山东破获的一起特大侵犯公民小我私家信息案中可见一斑,在这起案件中,公安机关共查获公民信息数据4000GB、数百亿条,此案涉及的数据隐私性高,包罗了手机号、上网基站代码等40余项信息要素,记载了每个手机用户详细的上网行为,甚至部门数据能够直接进入公民小我私家账号主页。记者手记不要不把身份证号当回事看到“独钓寒江雪”的履历,再与几位宁静专家聊完后,记者感受自己宛若一个“网络透明人”,一口吻改掉了多个密码,删掉了早些年设置的密保问题,专家打趣道:你能意识到自己是透明的,反而更宁静。当我们习惯于把生活转移至互联网上时,那些行为轨迹在网络上难以抹去,带着小我私家信息的种种数据在互联网上险些随处可见,并可轻易获得。
李彦宏曾说,中国的消费者愿意为一些利益提供自己的数据,虽然此看法被网民狂喷,但事实上反思一下,你是不是也曾为了“薅点羊毛”,在某个网站上实名注册了自己的身份信息?此外,随着手机实名制日益普及,越来越多的互联网企业将手机短信验证码作为自己的宁静屏障。各大银行网上银行、网上商城、团购网站、票务公司等企业使用短信验证,确实可以依赖于手机卡实名制,大大降低非法注册。
然而,当手机短信验证码可以登录、修改密码等操作泛起在直接或间接与资金相关联的应用时,大家似乎忽略了,你与账户之间只有一条验证码。建设在2G GSM网络上的短信验证,犹如将互联网账户宁静大厦建设在沙滩上,很容易被黑客釜底抽薪。固然,宁静与便捷从相互出生的那天起,便如同坐上跷跷板,此高彼低,从现在来看,也确实很难找到比短信越发利便、快捷并可大规模应用的验证方式。然而,道高一尺魔高一丈,当黑客的技术在不停进步,攻破互联网上的一道道防线时,各家互联网公司是不是也可以将自己的防护墙摞的更高一些?事实上,有专家表现,除了短信验证码,互联网公司完全可以通过设备信息、地理信息等更多数据举行内部逻辑循环判断,这个行动并不会在前端影响用户体验,却可以更好判断“你就是你”。
希望,一条验证码让人倾家荡产的案件只是个例。
本文来源:雷火电竞首页-www.hbwyjx.com
