如今,
我们的手机里充斥着个人隐私,
如果有人通过某些技术
获取你手机里的私密信息,
是不是很可怕?
30秒收29条验证码短信
“准空姐”小程曾经在不到30秒的时间里,收到29条来自不同App的验证码短信。
与小程类似,去年7月30日,微博网友@-美年达芬奇发现,凌晨她的手机收到100多条验证码,包括支付宝、京东、银行App等。据介绍,有人使用她的京东账户、支付宝等预订房间、给加油卡充值,总计盗刷了1万多元。
当时,多位业内人士怀疑并提及了一项名为“GSM劫持+短信嗅探”的技术。某黑产从业者表示:
通过一种短信嗅探设备,可以直接嗅探到电信用户所有的手机短信。黑产从业者有专门的手机号采集装备,利用采集到的手机号,可以在点卡网等实行找回密码等操作,实现盗刷。但是,这种设备只能攻击2G网络条件下的手机。配合降频设备,也可以强制让覆盖范围内手机网络状态变为2G,从而实现降频攻击。
一名黑产设备卖家的QQ空间
值得注意的是,这项黑产技术生命力颇为顽强,虽被多地警方所关注并打击,但仍在重拳整治下生存至今。
QQ群内的交易信息
售价1000元的嗅探技术其实只要30元?
记者调查发现,短信嗅探设备易得、操作简便,实际上为黑产从业者设立了相当低的门槛。一位业内人士告诉记者:
只需要一部摩托罗拉C118手机就可以实现短信嗅探,在网上可以很容易地买到。
记者调查后发现,硬件上,只需要购买一个不到30元钱的摩托罗拉手机,用几个常用电子元件改装便可;而软件上,将修改过的OsmocomBB编译进摩托罗拉手机里面,就可以为手机添加嗅探功能。
一位安全圈人士发送给记者的配置好的摩托罗拉手机
只针对2G信号?从4G降为2G也要小心
去年9月17日,2018国家网络安全宣传周——网络安全博览会开幕,有展馆展出了多种网络黑灰产作案工具,其中便包括能够悄无声息偷走手机短信的“2G短信嗅探设备”。
知道创宇404实验室副总监隋刚告诉记者:
但其实,手机在3G或4G时的特定情景下也有可能被监控到,原因是通过特殊设备压制或者信号质量不佳导致信号降频。
短信验证码安全吗?
有关人士表示,现在手机验证码能做到的转账、实名等已经远远超出了它本身安全性的范围。
据《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。而且电信诈骗案每年以20%至30%的速度在增长。
另据阿里安全归零实验室统计,2017年4月至12月共监测到电信诈骗数十万起,案发资金损失过亿元,涉及受害人员数万人,电信诈骗案件居高不下,规模化不断升级。2018年,活跃的专业技术黑灰产平台多达数百个。
那么,面对规模如此庞大的黑灰产,短信验证码是否已经显得捉襟见肘了呢?对此,隋刚认为,虽然在嗅探的情景下,短信验证码并不安全,但是就目前来说,短信验证码仍是一个切实可行的方案。
就目前情况来看,如果将短信验证码换成其他的验证方式,无形之中肯定会加大使用成本。安全是相对的,就看愿意付出多大的代价。与便捷性相平衡,短信验证码相对合适。安全本身就是提升攻防双方的成本,并没有绝对的安全。
如何防范短信嗅探?
有专家建议,用户可以要求运营商开通VoLTE功能,从而防范短信被劫持的可能。也就是说,不再使用2G网络传输短信,而是让短信通过4G网络传输,从而防范无线监控窃取短信。也有专家认为,运营商应尽快替换掉2G网络。通信运营商应考虑加快淘汰2G网络技术,以更大程度确保信息安全。据介绍,在国际上,2G网络已被诸多运营商所抛弃。
专家也建议,各移动应用、网站服务提供商优化用户身份验证措施,选用一种或采用多种方式组合,加强安全性:如短信上行验证(提供由用户主动发送短信用以验证身份的功能)、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份验证方式等。
责编:唐 婧
编审:刘志军、李 锐
素材来源:央视网、新华社、新京报
图片来源于网络,一并向作者表示感谢。
本文暂时没有评论,来添加一个吧(●'◡'●)