06
2018-08

不法分子使用GSM劫持+短信嗅探技术截获短信验证码,积蓄不知不觉全没了 752 中昱维信

验证码平台 短信验证码 短信平台 常见问题

近些天,发生了一间很大的事情,广州多处地区出现一觉醒来,一堆的银行短信验证码信息和扣款通知,银行卡账户里的钱都不翼而飞了,网银的账号密码也都被篡改,损失相当惨重啊。根据此情况,中昱维信短信平台也是极力的了解相关情况,也是希望我们的短信验证码服务不出现类似的现象。

 

短信验证码最新消息


据了解,这种手段是一种名为“GSM劫持+短信嗅探技术”,在百科的定义是:“GSM劫持+短信嗅探技术”是一种新型伪基站诈骗手段,使用的方法,是利用GSM 2G网络的设计缺陷,实现不接触目标手机,而获得目标手机所接收到的验证短信。进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。


 

目前报案的地区有江苏南京和广州等地,其他地区是否也有目前还不清楚。据民警介绍,诈骗的手段具体如下:

 

一、骗子通过特种设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码。

 

二、骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。

 

三、骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。


骗子一般都是在夜里进行操作,半夜大家一般都是把手机静音了或者熟睡了,等到早上发现的时候,积蓄早就全部转走了。。。。


其实这种技术针对的是2G信号,但是,骗子的聪明之处就是干扰某块区域的手机信号让其全部变成2G 信号,然后窃取相关短信。由于没有和事主直接接触,因此事主们对资金被盗毫无察觉,只是看见了手机里面一堆的短信验证码和短信通知。


下图就是广州警方查获的GSM劫持设备,看着也没啥特殊的吧,但就是这些其貌不扬的东西,可以快速的转走我们的积蓄。

 

GSM劫持设备


据微博@江宁公安在线说,此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子,对于普通用户来说基本上是无法防范的,也给警方的侦破工作带来了很大的挑战!

 

但是由于此技术的受到硬件和原理的限制,不能覆盖过多的手机号,也就没让事态扩大,但是此类问题还是需要尽快解决,不然就像一只有一把刀一只悬在头顶上。

 

警方还表示,这种手法能够得逞,“根源还是在于信息泄露!”如果单单泄露验证码,问题是不大的,绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。GSM劫持防不了,其他信息泄露还是可防的!推荐:短信验证码的防攻击策略(主要针对企业)


为此,中昱维信也是整理了一些普通人防范GSM劫持的4点方法。

 

1、平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;

 

2、睡觉前关机或者设置飞行模式,或者关闭手机的移动信号,只连接WIFI,这样能略微提高被嗅探的难度。

 

3、如果早上起来,看到半夜收到奇怪的验证码短信,一定要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,保留短信内容,报警。

 

4、如果突然发现手机信号变成2G,要立刻意识到自己可能正遭遇这种攻击,并采取以上方式防御!

 

还有人说这是短信验证码不够安全的原因,其实也是对的,但是相对于短信验证码来说的其他验证方式而言,短信验证的安全性是最高的。没有了短信验证,大家想想还有什么可以作为我们验证码的一种方法呢?邮箱(短信不依赖网络都会被劫持,更何况网络呢)、身份证(号码太长,输入麻烦,而且还容易造成信息泄露)。

 

所以,要想此类事件不在发声,小编觉得应该从自己和企业等入手

 

1、个人应该加强个人信息的保护,尤其是身份证号码和身份证的照片以及手持身份证拍照的信息。

 

2、企业应该做好数据库的安全措施,严禁用户信息泄露。

 

3、监管部门也应该加强企业管理,打击企业的信息买卖行为

 

4、通信公司也应该尽早的发现并及时解决此类问题(此类问题在很早之前都发现了,但是到现在还没进行一个有效的防范,确实有失职之过)

 

以上就是中昱维信短信平台给大家介绍的短信验证码的一些问题,虽然短信存在这些问题,但是他是目前不仅在用户体验在安全性上都是无法替代的一个产品啊,虽然此次事件对事主造成了很大的损失,我觉得各大运营商已经充分认识到了问题的严重性,后面会给大家带来更为可靠的验证产品。