關(guān)注

　　短信嗅探盜刷到底該如何防范

　　由上可見(jiàn)，嫌疑人要實(shí)現(xiàn)盜刷需要很多條件：第一，受害者手機(jī)要開(kāi)機(jī)并且處于2G制式下；第二，手機(jī)號(hào)必須是中國(guó)移動(dòng)和中國(guó)聯(lián)通，因?yàn)檫@兩家的2G是GSM制式，傳送短信是明文方式，可以被嗅探；第三，手機(jī)要保持靜止?fàn)顟B(tài)，這也是嫌疑人選擇后半夜作案的原因。第四，受害者的各類(lèi)信息剛好能被社工手段確定；第五，各大網(wǎng)站、APP的漏洞依然存在。

　　那么，作為普通網(wǎng)民來(lái)說(shuō)，如何防范這種短信嗅探犯罪呢？騰訊安全的技術(shù)人員表示，最簡(jiǎn)單的一招就是睡覺(jué)前關(guān)機(jī)，手機(jī)關(guān)機(jī)后就沒(méi)有了信號(hào)，短信嗅探設(shè)備就無(wú)法獲取到你的手機(jī)號(hào)。如果發(fā)現(xiàn)手機(jī)收到來(lái)歷不明的驗(yàn)證碼，表明此刻嫌疑人可能正在社工你的信息，可以立即關(guān)機(jī)或者啟動(dòng)飛行模式，并移動(dòng)位置（大城市可能幾百米左右即可），逃出設(shè)備覆蓋的范圍。另外還要注意自己手機(jī)信號(hào)模式改變。在穩(wěn)定的4G網(wǎng)絡(luò)環(huán)境下，手機(jī)信號(hào)突然降頻“GSM”、“G”或者無(wú)信號(hào)時(shí)，警惕遇到黑產(chǎn)實(shí)施的強(qiáng)制“降頻”及GSM Hack攻擊，要及時(shí)更換網(wǎng)絡(luò)環(huán)境，重新連接真實(shí)基站，檢查移動(dòng)App異常惡意操作情況。

　　在手機(jī)設(shè)置上，用戶(hù)可以使用“VoLTE”保護(hù)信息安全：在手機(jī)設(shè)置中開(kāi)啟“VoLTE”選項(xiàng)，目前主流安卓或iphone手機(jī)均已支持。（VoLTE：Voice over LTE，是一種數(shù)據(jù)傳輸技術(shù)，無(wú)需2G或3G，可實(shí)現(xiàn)數(shù)據(jù)與語(yǔ)音業(yè)務(wù)在4G網(wǎng)絡(luò)同時(shí)傳輸）

　　同時(shí)，用戶(hù)最好關(guān)閉一些網(wǎng)站、APP的免密支付功能，主動(dòng)降低每日最高消費(fèi)額度；如果看到有銀行或者其他金融機(jī)構(gòu)發(fā)來(lái)的驗(yàn)證碼，除了立即關(guān)機(jī)或啟動(dòng)飛行模式外，還要迅速采取輸錯(cuò)密碼、掛失的手段凍結(jié)銀行卡或支付賬號(hào)，避免損失擴(kuò)大。

　　提示

　　平時(shí)需做好敏感私人信息保護(hù)

　　此外，據(jù)犯罪嫌疑人交待，他們利用設(shè)備可以登錄一些防范能力較低的網(wǎng)站（一般只需要手機(jī)號(hào)+驗(yàn)證碼）綽綽有余。但是他們的目的并不僅限于成功登錄，而是要盜刷你名下的錢(qián)。所以還需要通過(guò)其他手段獲取姓名、身份證號(hào)、銀行卡號(hào)等信息，他需要社工手段來(lái)確定這些信息。因此，用戶(hù)平時(shí)要做好手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)、支付平臺(tái)賬號(hào)等敏感的私人信息保護(hù)。

　　那么，騙子如何獲取用戶(hù)的這些信息呢？例如如何獲知附近用戶(hù)的手機(jī)號(hào)？據(jù)騰訊安全技術(shù)專(zhuān)家介紹，手段千奇百怪，比如騙子劫持到中國(guó)移動(dòng)139郵箱發(fā)送來(lái)的短信“中國(guó)移動(dòng) 139郵箱 狂歡來(lái)一波！100%有獎(jiǎng)！點(diǎn)擊查看郵件詳情xx”后，復(fù)制其中的鏈接到瀏覽器，點(diǎn)擊“進(jìn)入掌上營(yíng)業(yè)廳”，就可以直接看到手機(jī)號(hào)了。知道了手機(jī)號(hào)以后，再通過(guò)登錄其他一些網(wǎng)站，利用社工手段就可以很輕松地知道這個(gè)人的銀行卡賬號(hào)、身份證號(hào)。

　　在獲取了用戶(hù)信息后，騙子就可以利用這些信息實(shí)施犯罪。其一，登錄各種網(wǎng)站修改密碼，如許多電商、旅游網(wǎng)站允許使用“手機(jī)號(hào)+驗(yàn)證碼”的登錄方式，而騙子又可以實(shí)時(shí)監(jiān)控到驗(yàn)證碼，所以很容易就可以登錄。據(jù)測(cè)試，許多主流網(wǎng)站都可以順利登錄，可以查看商品訂單、行程信息、支付信息等，而且還可以直接更改登錄密碼。其二，可以盜刷資金，許多App的安全策略較低，不少APP只要輸入“姓名+銀行卡賬號(hào)+身份證號(hào)碼+手機(jī)號(hào)碼+動(dòng)態(tài)驗(yàn)證碼”，就默認(rèn)是本人操作，騙子進(jìn)入以后馬上就會(huì)盜刷或者購(gòu)買(mǎi)點(diǎn)卡類(lèi)虛擬物品。其三，利用網(wǎng)站身份申請(qǐng)貸款等，有些嫌疑人刷完了銀行卡中的錢(qián)，還會(huì)通過(guò)這些信息在一些小的貸款網(wǎng)站、平臺(tái)申請(qǐng)小額貸款，讓受害人不但積蓄全無(wú)，還會(huì)背負(fù)債務(wù)。通過(guò)非法獲取和販賣(mài)用戶(hù)的隱私信息，黑產(chǎn)還可實(shí)施精準(zhǔn)的電信網(wǎng)絡(luò)詐騙、敲詐勒索、惡意推廣營(yíng)銷(xiāo)等不法活動(dòng)。

　　在此過(guò)程中，一些App會(huì)在必要時(shí)候啟動(dòng)風(fēng)險(xiǎn)措施，如支付寶在嫌疑人試圖提現(xiàn)時(shí)啟動(dòng)了風(fēng)控措施，從而中斷了嫌疑人進(jìn)一步實(shí)施犯罪的動(dòng)作。據(jù)介紹，當(dāng)天嫌疑人利用偽基站和嗅探設(shè)備于1時(shí)42分通過(guò)“姓名+短信驗(yàn)證碼”的方式登錄了支付寶賬號(hào)；1時(shí)45分和1時(shí)48分通過(guò)社工到的信息對(duì)登錄密碼和支付密碼進(jìn)行了修改，并且綁定了銀行卡；1時(shí)50分到2時(shí)12分別通過(guò)輸入支付密碼的方式進(jìn)行網(wǎng)上購(gòu)物932元，并提現(xiàn)7578元。3時(shí)21分，嫌疑人想通過(guò)提現(xiàn)到銀行卡上的錢(qián)進(jìn)行購(gòu)物，支付寶風(fēng)控措施啟動(dòng)，要求人臉校驗(yàn)，沒(méi)有通過(guò)校驗(yàn)后嫌疑人便放棄。此時(shí)，在支付寶上的消費(fèi)也就是932元。

　　安全專(zhuān)家表示，支付寶的安全等級(jí)算是高的，但從嫌疑人的交待中，還發(fā)現(xiàn)了許多網(wǎng)站的風(fēng)控措施不嚴(yán)格，很容易被利用。比如每天最高限額定得過(guò)高（某銀行每天限額達(dá)到5000元），比如更換設(shè)備登錄、頻繁登錄沒(méi)有人臉或密碼校驗(yàn)等手段，再比如可以在網(wǎng)站上進(jìn)行小額貸款等操作。

　　建議

　　App及網(wǎng)站需提高短信驗(yàn)證碼安全系數(shù)

　　而針對(duì)網(wǎng)絡(luò)平臺(tái)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)也下發(fā)了一份《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》，建議個(gè)各App、網(wǎng)站服務(wù)提供商對(duì)業(yè)務(wù)系統(tǒng)中短信驗(yàn)證碼的使用方式進(jìn)行摸底。例如在用戶(hù)注冊(cè)、密碼找回、資金支付等環(huán)節(jié)的短信驗(yàn)證碼使用情況，并評(píng)估相關(guān)安全風(fēng)險(xiǎn)，優(yōu)化用戶(hù)身份驗(yàn)證措施。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)建議的方式包括：短信上行驗(yàn)證、語(yǔ)音通話(huà)傳輸驗(yàn)證碼、常用設(shè)備綁定、生物特征識(shí)別、動(dòng)態(tài)選擇驗(yàn)證方式等。

　　如短信上行驗(yàn)證具體是：提供由用戶(hù)主動(dòng)發(fā)送短信用以驗(yàn)證身份的功能，如要求用戶(hù)在規(guī)定時(shí)間內(nèi)(如 60 秒)，使用已綁定的手機(jī)號(hào)碼向移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商指定的短信服務(wù)號(hào)碼發(fā)送指定內(nèi)容短信，移動(dòng)應(yīng)用、網(wǎng)站服務(wù)根據(jù)短信內(nèi)容對(duì)用戶(hù)身份進(jìn)行驗(yàn)證。常用設(shè)備綁定為：提供將用戶(hù)賬號(hào)與常用設(shè)備綁定的功能，原則上支付、轉(zhuǎn)賬等敏感操作只能通過(guò)該綁定設(shè)備執(zhí)行。設(shè)備綁定、更換等操作應(yīng)采用短信上行驗(yàn)證、語(yǔ)音通話(huà)傳輸驗(yàn)證碼等方式，并采用諸如要求用戶(hù)回答預(yù)設(shè)問(wèn)題、提供注冊(cè)時(shí)填寫(xiě)的相關(guān)用戶(hù)信息或核對(duì)該用戶(hù)賬號(hào)近期操作記錄等方法進(jìn)一步確認(rèn)用戶(hù)身份。（記者 溫婧）