|
经技术分析,该用户被犯罪份子用“GSM劫持+短信嗅探”的方式,把上述金融机构平台中用户的钱盗刷或转移了。具体的实现方法是:首先,犯罪份子基于GSM通信协议进行恶意的人为的修改,组装起便携式的短信嗅探设备;然后,通过传统的伪基站收集一定地理位置范围内的用户的手机号码,然后利用这些号码尝试登陆支付宝等支付平台,选择“短信验证码登录”等方式触发平台发送验证短信,这时犯罪分子手中的短信嗅探设备就能嗅探到这些短信,获取到验证码;登录到这些支付平台后,犯罪分子就能查询到目标手机号码所对应的用户名和实名信息,利用这些实名信息,进而通过政务、医疗、交通等系统等漏洞获取到用户的身份证号码,并通过网上银行或者网上的黑色产业链获取用户的银行卡号。至此,犯罪分子一步一步获取到了用户互联网生活的“四大件”:手机号码、身份证号码、银行卡号、短信验证码。 掌握了这“四大件”,犯罪分子将无所不能,包括实施各类与支付或借贷等资金流转相关等注册/绑定/解绑、消费、转账、透支、贷款、信用抵扣等金融行为,卷走用户各类支付平台和银行卡中的积蓄就是分分钟的事情。 值得注意的是,短信嗅探技术只能获取短信,并不能拦截发至用户手机的短信,因此,犯罪分子一般都会在深夜里作案,因为这时候大部分都在酣睡中,不会发觉到异常短信而中断其不法行为。 这整个过程中的一个最关键的节点在于“验证短信的获取”,所以公众一旦发生类似的诈骗事件,第一时间会责难电信运营商,当然,这个“锅”,运营商肯定是甩不掉的,毕竟运营商本身肩负着给用户提供安全可靠的网络服务的责任,这个网络被轻易攻破了,才给了犯罪分子犯罪的条件。 但是,其实这些年来运营商在打击伪基站上可以说已经尽心尽力,联合公安机关开展了多轮针对伪基站的打击行动,也取得了一定的效果。至于针对此案件中利用“GSM劫持+短信嗅探”方式的新型犯罪手法,这算是GSM协议中的“天然漏洞”——GSM制式没有过多考虑安全性,导致了很容易被破解。OsmocomBB开源项目已完成对GSM通信网络的破解。程序员可以利用OsmocomBB开源项目的成果,实现对2G手机的非接触式监听。事实上,在技术层面,运营商能做的工作其实并不多。 有用户提出是落后的GSM网络导致了这一切,要求运营商全面升级网络,以及停用2G网络。此话确实不假,因为在3G、4G网络中这样的漏洞是不存在的,犯罪分子根本无机可趁。但“2G、3G、4G并存”是中国网络发展现状,运营商不可能在一朝一夕中弃用2G(GSM)网络,毕竟2G网络在很多地方、很多场景下还是语音业务的主要承载网络,网络升级演进是一件系统工程,预计volte全面取代2G的话音业务估计还要3-5年。 以上是关于运营商能做的事情的一些讨论,但是问题的另外一侧是,这些互联网金融平台、这些“技术高超”的互联网企业,为什么一直以来都如此固执又坚定地依靠短信验证码来确认用户行为信息呢? 答案其实很简单,因为几乎所有的用户都有至少一个手机号码,这是与用户达成联系的最直接的渠道,而随着近年来运营商用户实名制的推行,手机号码几乎就等同于用户的身份标识,所以互联网企业非常乐于通过短信验证码来进行鉴权。 但是,互联网企业不能把锅完全就抛给了运营商,互联网企业,尤其是涉及用户金融安全的互联网企业,其在考虑用户金融安全体系建设时就必须考虑到网络侧可能出现的漏洞,并提供切实可行的补锅方案,毕竟,用户的钱是放在你的平台里,也是通过你的渠道被转移或盗刷,无论如何,这些金融类的互联网企业都是第一责任人。 |
|
|
