“偽基站”2.0犯罪不可怕 網上支付過於依賴“短信驗證”存隱患
近年來,使用手機短信驗證碼驗證用戶身份的技術,被廣泛應用於銀行金融、社交媒體、電子商務等各類移動APP服務。然而短信作為一種2G網路的通信方式,其本身安全防護等級並不高。
就在近期,多地警方陸續破獲一種“偽基站2.0”犯罪案件。有犯罪分子利用GSM 2G網路的設計缺陷,實現不接觸目標手機就能獲得手機所接收到的驗證短信,進而利用各大銀行、網站、移動支付APP存在的技術漏洞和缺陷,實現資訊竊取、資金盜刷和網路詐騙等犯罪。
工業和資訊化部日前下發通知,部署開展2018年電信和網際網路行業網路安全檢查工作,要求基礎電信企業、網際網路企業、域名註冊管理和服務機構重點檢查安全防護體系系列標準符合情況,可能存在的弱密碼、中高危漏洞和其他網路安全風險隱患等。
相關業內專家在接受人民網採訪時表示,“偽基站2.0”是極小概率的犯罪方式,手機用戶不需要恐慌,但這一事件也暴露了目前網上APP、支付等環節過於依賴“短信驗證”這一安全短板。基於2G網路的短信安全驗證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網上支付平臺、APP服務提供商應儘快堵住這一安全短板,完善用戶身份驗證措施,以確保用戶個人資訊和財產的安全。
新型盜刷方式引發輿論關注
根據媒體報道,廣州、南京、江寧等多地警方近期相繼破獲一種名為“GSM劫持+短信嗅探技術”的犯罪案件。犯罪分子通過特種設備,自動搜索附近的手機號碼,然後可以攔截短信。
據廣州日報報道,8月1日,網友“獨釣寒江雪”的手機在半夜連續接到100條短信驗證碼,她醒來發現不僅自己的支付寶、銀行賬戶被盜,還被貸了款。有人使用她的京東賬戶、支付寶等等,預定房間、給加油卡充值,總計盜刷了1萬多元。
這一案件經媒體報道後馬上引發了輿論關注,甚至有報道建議手機用戶“晚上睡覺關手機”以防範。那這種“偽基站2.0”方式會否蔓延?用戶的網上資金安全如何來保障,對此,人民網IT頻道近期做了深入採訪和調查。
據360無線電安全研究院高級研究員黃琳介紹,基於“偽基站”的GSM短信嗅探是被動的,就是只“聽”,不發射任何非法的無線信號。攻擊者在利用手機信號劫持設備等工具非法截獲短信驗證碼、手機號碼的基礎上,並通過社工或黑產交易等方式獲取身份證號碼、銀行賬號、支付平臺賬號等敏感資訊,侵入各類應用實施犯罪行為。網友“獨釣寒江雪”的情況很可能就屬於這種。
據了解,這種被稱為“偽基站2.0”的攻擊手段早在2010年已出現,由於攻擊技術實施難度大,當時僅掌握在少數高級攻擊者手中,不法分子難以大規模利用。而且隨著這幾年國家對於偽基站的大力打擊,不法分子要用“偽基站”劫持用戶短信和手機信號,就會有很大幾率暴露自身位置,因此目前此類案例非常罕見。
同時,有通信行業資深安全人士表示,要實施“偽基站2.0”犯罪需要滿足四大條件:不法人員從黑產獲取了用戶個人身份資訊“四大件”(賬戶名、密碼、身份證、銀行卡號);不法人員在物理位置上和受害用戶相近;用戶手機當時駐留在2G網路上;獲取用戶手機號碼並嗅探到用戶驗證碼短信;實施網路轉賬或信用卡盜刷等行為。
上述四個環節為鏈條式操作,缺一不可,要滿足以上所有條件,攻擊者需要冒極高的風險,因此在日常操作中,短信被嗅探並導致手機銀行被盜發生場景的概率是極低的,普通用戶無需過於擔心,更不需要在晚上睡覺時“主動關機”。
網上支付依賴“短信驗證”存隱患
雖然實施“偽基站2.0”犯罪目前只是極小概率的事件,但是也給網上支付安全敲響了警鐘。
隨著移動支付的普及,“短信驗證”是目前最便捷的驗證方式,人們只需要在手機上操作,就可以便捷快速地完成開通業務、支付款項等活動。然而,科技的進步帶來的不僅是便捷,還有安全隱患。因此手機短信驗證碼已被廣泛應用於各類移動應用、網站服務。短信驗證碼可以幫助用戶進行修改密碼、修改綁定郵箱等敏感操作。
同時,短信驗證碼也能讓用戶不輸賬號密碼直接登陸。以用戶使用廣泛的微博手機APP來說,在掌握手機號碼的前提下,可以無密碼登陸,手機只要收到系統發送的驗證碼,就可以快速登陸。
對手機用戶來說,一旦遭遇GSM短信嗅探攻擊,或者因為其他原因短信驗證碼內容被外泄,不法分子就可以利用獲取的用戶手機號碼和驗證碼登錄個人賬戶,用戶會面臨個人資訊洩露甚至財產損失的風險。
人民網IT頻道在採訪過程中,多位來自通信、安全領域的業內人士均表示,目前涉及到支付確認、修改支付密碼等高度涉及用戶資金安全的驗證時,如果僅僅是依靠短信驗證碼來確認用戶身份,具有一定的安全隱患,希望有關部門及網上支付平臺重視這個問題,尤其是網上支付平臺不能為了便捷而犧牲用戶的資金安全。
從技術上來說,2G的GSM網路使用單向鑒權技術,且短信內容以明文形式傳輸,該缺陷由GSM設計造成,且GSM網路覆蓋範圍廣,因此修復難度大、成本高。
更重要的是,對於網上支付平臺來說,除了短信驗證之外,在涉及大額支付及修改用戶交易密碼等關鍵環節,增加新的驗證手段,比如引入人臉識別等方式,也刻不容緩。
網際網路廠商應承擔更大安全責任
針對短信驗證帶來的安全隱患,全國資訊安全標準化技術委員會在今年2月份聯合多家單位發佈了《網路安全實踐指南——應對截獲短信驗證碼實施網路身份假冒攻擊的技術指引》,明確指出了基於短信驗證碼實現身份驗證的安全風險現狀、困難點,並給出了目前專家們認為可行的方案。
《安全指南》建議,各移動應用、網站服務提供商對業務系統中短信驗證碼的使用方式進行摸底,例如在用戶註冊、密碼找回、資金支付等環節的短信驗證碼使用情況,並評估相關安全風險,優化用戶身份驗證措施。建議採用多種方式組合,加強安全性。
這份指南同時強調,個人用戶應做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感資訊的保護。在收到來歷不明的短信驗證碼等異常情況時,提高警惕,及時聯繫相關移動應用、網站服務提供商。
對此,黃琳認為,面對層出不窮的網路攻擊技術,網際網路企業更應該有所行動,加強風險防範,承擔最大的責任。
對於普通消費者而言,除了不洩露自己的短信驗證碼之外,GSM劫持+短信嗅探主要針對GSM 2G網路用戶,建議此類用戶儘快升級到4G網路,並開通VoLTE,或者使用支援防偽基站功能的手機,提高安全防禦等級。
中國科學院院士梅宏在接受人民網記者採訪時也表示,從技術上,絕對避免這種事情的發生是有困難的。當新技術進入應用以後,確實會有一些人利用當初設計上的缺陷或者是當初未考慮到的因素來非法獲利。“人類歷史幾千年所有的技術進步都是兩面性的,沒有哪項技術的發展在給人們帶來便利的同時,沒有帶來別的負面因素的。”
梅宏認為,我們要看在發展過程中,怎麼減少這種發展給我們帶來的損失。在立法上,法律要有明確的界定,碰到這種問題一定要嚴厲打擊。要靠法律的威懾力加上技術的輔助,兩方面的協作。最重要的一點,是每一個用戶都要有安全防範意識。在資訊化社會對於消息一定要有一個自我、獨立的判斷,沒有這些考量就很容易上當受騙。梅宏說,“要保證絕對的、全面的沒有人上當受騙,這很難通過技術實現,需要多方努力。”