|
近日,公安部刑侦局官方郑重向广大移动设备用户发出警告,如有收到类似“二次实名验证”的短信时要注意加以分辨,避免上当受骗。而目前已经有用户被不法分子骗走巨额钱财。而事实上,这个骗局并不新鲜,其欺骗的手法也并不复杂——首先,不法分子会冒充支付宝官方客服的电话号码“95188”给用户发送短信,短信的内容是要求用户对支付宝账户重新进行认证,并附上网址链接。然后,用户如果不能识别出这是个骗局,会点击网址进入一个不法分子制作的非法页面,该页面要求用户填写包括银行卡号、银行卡密码、持卡人姓名、银行预留手机号、银行持卡人身份证号在内的个人信息。最后,如果用户如实填写完以上信息,不法分子就会迅速利用这些信息登录用户的网上银行将用户银行卡内的存款全部转走。这整个流程一点都不复杂,但是很多上当受骗的受害者到最后都不知道自己到底在哪一点上犯了错,他们事后还反复确认收到的短信确实是来自于“95188”这个支付宝官方的客服电话。毕竟,到今天大家基本已经形成了“电话号码=真实身份”的普遍认知,尤其是银行/保险客服电话、运营商客服电话等,用户对此类号码具有先入为主的信任感。难道来自支付宝官方的信息都不可信?!难道电话号码都能出错?!是的,就是这个官方的电话号码惹的祸。这个骗局中“技术含量”最高的一点就是,不法分子通过技术手段冒充支付宝向用户发送了短信。那他们是怎么能做到这一点的呢?从专业的角度来说,伪造来电号码的方法主要有四个:一是利用运营商的语音专线业务的漏洞(未验证主叫号码)篡改电话号码;二是通过非法经营VoIP电话并提供改号服务,可以随意设置来电显示号码;三是国际来话中的虚假主叫号码;四是通过“伪基站”发送短信息并随意设置虚假的发送号码。而伪基站是不法分子最常用的手段,因为这个最简单!一个伪基站只需要由一台主机,外加一台笔记本电脑就可以工作,由于构造简单,不法分子可以轻松把设备安装在车内,然后把车开到人群密集的小区边上,由于伪基站的发射器离小区用户更近、功率更高、信号更强,所以会“迫使”一定范围内的用户的手机断掉与正常基站的信号连接,改为连接伪基站的信号。伪基站一旦连接上用户手机,就会在短时间内假冒信息传输过程中的验证方式,就能实现任意伪造号码(比如上面案例中提到的支付宝官方客服号码)向用户发骚扰、诈骗短信。为了打击伪基站,公安机关、电信运营商可谓是煞费苦心,一方面通过联合执法,由运营商及时识别、定位伪基站,由公安机关主导实地打击伪基站犯罪;另一方面,运营商也不断升级网络技术来封堵伪基站,比如,4G网络通过增加基站和手机之间的双向鉴权认证、信令消息强制性完整性保护、增强安全算法和密匙等方式,基本上从技术层面解决了“伪基站”的问题。但是,为什么直至当前伪基站案件还是频频发生呢?这是因为当前4G网络仍然存在一些安全隐患可能会被伪基站有机可乘——比如,通过新的技术手段重定向至2G伪基站攻击,通过伪基站进行网络干扰,迫使目标手机触发重定向请求,然后“引导”用户手机连接到预先设计好的2G伪基站,再通过2G伪基站发送垃圾和诈骗信息。那伪基站之祸到底何时能休呢?快了!到了5G时代将完全杜绝伪基站事件的发生。在继承 4G 安全性的基础上, 5G 标准提出了更安全的网络设计,充分考虑了以往通信网络的安全不足,广泛征求了全球运营商的需求,在网络自身安全性方面进行了增强。从技术层面来解释一下——2G/3G/4G 网络进行用户认证时 , 归属网络将认证向量交给拜访网络之后,就不再参与后续认证流程。但是,这种信任传递过程并不可靠,拜访地运营商可能产生虚假认证向量欺骗归属地运营商。5G 网络采用 5G-AKA 认证体系,用户归属地的 UDM/ARPF 产生认证向量并发给归属地 AUSF,AUSF 在接收到产生的完整认证向量之后,将派生出的认证向量的一部分发送给拜访地SEAF(即 AMF)。拜访地无法获知完整认证向量,因此无法欺骗归属地,从而增强了归属地对用户认证的控制能力。传 统 网 络 架 构 中, 网 元 之 间 通 过 固 定 的 接口 进 行 通 信。5G 网 络 引 入 了 服 务 化 架 构 SBA(Service Based Architecture),网络功能实体 NF之间通信需要认证和授权。在 NF 注册和发现流程中,NRF 和 NF 间需要进行双向认证,认证机制可基于 TLS、IPsec 或者物理防护下的相互问询来实现。在 NF 间信令交互的时候,基于授权方式的不同,NF 间的认证可通过验证授权token 进行隐式认证,或者通过双向认证机制进行认证。总而言之,一句话,到了5G时代,伪基站将再无可趁之机,也再无藏身之地。不过在此之前,我们还是要遵循公安机关的官方提醒:在收到包含网页链接的短信后都应慎重点击,如要求输入个人信息和银行卡号的切勿轻易相信,务必通过官方渠道进行核实。
|
