“短信炸彈”短信應急防護服務是中國移動推出的應對“短信炸彈”短信攻擊的個人防護服務。當用戶受到“短信炸彈”騷擾時可主動辦理短信炸彈應急防護。
中國移動所有用戶均可辦理,用戶可根據(jù)自身需要設置防護有效期(默認為1天,最長時限7天,最小防護單位為“天” )。
開通方式:撥打10086熱線或通過10086互聯(lián)網(wǎng)渠道(客戶端、微信公眾號和支付寶生活號),即可開通和取消短信炸彈防護服務。
用戶開通該服務后,系統(tǒng)會將在防護有效期內(nèi)對所有發(fā)往用戶的端口類(包含端口、固話、國際號碼)短信進行全量攔截,避免用戶受騷擾,手機號碼發(fā)送的短信不在攔截范圍內(nèi)。
需要注意的是:開通“短信炸彈”應急防護后,用戶在防護有效期內(nèi)也將無法收到各類企業(yè)和網(wǎng)站發(fā)送的服務類和通知類短信,可能會影響用戶的正常上網(wǎng)活動,請謹慎開通,不需要該服務時一定記得要及時取消。
·
驗證碼是什么?
驗證碼是“區(qū)分計算機和人的自動圖靈測試”的縮寫,是區(qū)分用戶和計算機以及人的公共自動程序。可以防止惡意密碼破解、票務、論壇水,有效防止黑客不斷試圖用特定程序破解特定注冊用戶。其實驗證碼的使用在很多網(wǎng)站(如招商銀行網(wǎng)上個人銀行、百度社區(qū))都是一種常見的方式,所以我們用一種相對簡單的方式來實現(xiàn)這個功能。驗證碼設計的初衷是通過計算機生成和判斷。但是,只有合法用戶才能回答問題。如果回答不能回答,如果用戶被裁定違法,則不予通過。
驗證碼的作用是什么?
驗證碼的出現(xiàn)不是功能需求,也不能提升業(yè)務能力,更談不上它的價值。2002年,路易斯安那州的馮·安首次提出了名為“驗證碼”的程序概念,僅解決了一次惡意計算機攻擊。這是一個指向請求發(fā)起者并提問的程序。正確答案是這個人。
這個程序基于一個重要的假設,即提出的問題人類可以很容易回答,但機器無法回答。這對于機器來說是一項艱巨的任務,但對于人類來說相對可以接受。雅豪用圖形驗證碼迅速解決了困擾雅虎很久的垃圾郵件問題。從那以后,圖形和其他類似的認證碼一直在增加。
隨著互聯(lián)網(wǎng)的發(fā)展,幾乎所有的計算機系統(tǒng)都使用驗證碼機制,驗證碼機制經(jīng)歷了無數(shù)次的演變,現(xiàn)在已經(jīng)演變成各種類型。
1.圖片驗證碼:圖片驗證碼是人們第一次使用的標準驗證碼。這是基于當時機器很難處理復雜的計算機視覺識別問題,人類很容易區(qū)分人和機器。這個驗證碼的主要機制是,人類的知識很容易解決,而計算機很難解決。目前,為了增加驗證碼的對抗效果,圖像驗證碼的方法包括添加干擾線、文字粘連、背景顏色感知、字體變形、空心字體等。
2.基于知識的問題驗證碼:雖然圖像驗證碼使用了很多方法來防止機器識別,但是很遺憾,無論哪一種都有成熟的對策,圖像驗證碼基本都會退出歷史舞臺。這種驗證碼通常使用普通人熟悉的問題,比如1 x 1是什么數(shù)字,今天幾號等等。
3.動作驗證碼(非知識驗證碼):動作驗證碼主要包括檢查驗證和滑動驗證。目前驗證碼不是新的,用戶體驗很好。淘寶和谷歌都采用了這種認證方式,很多大型網(wǎng)站已經(jīng)用了一段時間了。
4.短信驗證碼:將短信驗證碼發(fā)送到手機,用戶將在網(wǎng)站上填寫收到的驗證碼,驗證用戶的正確性。大型網(wǎng)站,尤其是購物網(wǎng)站,甚至銀行網(wǎng)站,都提供短信驗證碼功能,保證購物安全、準確、安全。手機短信驗證碼是目前最有效的驗證碼系統(tǒng)。當然,這個驗證碼不是不可破解的。這種驗證方法真的是最有效最直接的方法。但近年來,隨著貓池和特殊月卡在一些地方的大規(guī)模使用,這種方法的實用性大大降低。
5.用戶信息類型驗證碼:這個驗證碼很難破解。它將用戶在注冊過程中填寫的信息與同類型國外用戶的其他信息放在一起供用戶選擇,通過比較結果確定是否屬于該用戶。比如驗證碼確定哪個郵寄地址是你的,然后在第六列,一個是用戶真實地址,一個不是用戶地址,用戶體驗很棒,可以區(qū)分用戶和機器。
驗證碼破解有多容易?
圖片驗證碼最容易破解,分為數(shù)字型、文字型、符號型、綜合型。下面描述驗證碼破解的數(shù)字和字符的類型,主要步驟如下。
獲取驗證碼:通過查看源代碼,在本地下載驗證碼圖片。刪除背景和干擾線,用白色替換圖片中部分顏色的最大數(shù)量,相當于刪除背景。如果一個像素與周圍四個像素中的兩個或三個有很大的色差,則使用濾波算法來消除噪聲。
取出字體:下一步是建立這個驗證碼的特征庫。0-9個字符和Amurz case通過下載多個驗證碼圖片進行分割保存。
二進制:要想二進制,就要設置一個閾值。如果像素大于閾值,則替換為1,否則表示為0。
計算特征:對待識別圖像進行二值化,然后將其分割成小圖像,從而得到圖像特征碼。
對比樣本識別:將圖片的字符編碼與驗證碼的字體進行對比,得到驗證圖上的數(shù)字或字母。如果有識別錯誤,字母或數(shù)字是特殊的。如果將字母或數(shù)字作為字符模塊存儲為特征庫,目前的方法可以正確識別相似字符,驗證碼識別率基本可以達到100%。
基于知識的問題驗證碼破解:這類知識驗證碼通常使用題庫進行,數(shù)量有限,破解方法相對簡單。通過批量刷新和編寫機器碼,建立題庫的答案對照表,然后通過正則表達式從網(wǎng)頁中抓取問題文本,最后與題庫中對應的答案進行匹配。現(xiàn)在這個驗證碼已經(jīng)基本淘汰了。
動作驗證碼破解:動作驗證碼的原理是要求用戶使用一定的動作,如滑動、點擊等。,所以破解這個驗證碼的主要思想是模擬用戶的動作。其實相對于識別圖片,更容易產(chǎn)生機器不確定為作弊的滑動動作,尤其是hml 5支持Canvas之后。例如,滑塊的運動實際上模擬得很好。首先判斷驗證碼是什么時候出現(xiàn)的,然后確定驗證碼是什么時候加載的,通過x軸和y軸確定驗證碼的位置。然后用程序模擬拖拽驗證碼的動作。當然這個驗證碼也有對應的時間滑動速度和閾值,需要大量的測試。試著模擬一個人的滑行動作。
破譯短信驗證碼:破譯短信驗證碼有兩種方式,但目的不同。一種是用戶通過在手機中植入木馬獲取短信內(nèi)容。這個類主要用來竊取用戶數(shù)據(jù)或者其他東西,比較少見,針對性很強。另一種主要是針對網(wǎng)站,利用貓池和專用手機卡注冊大量需要注冊手機號的網(wǎng)站和平臺,然后利用這些作弊賬號刷卡或做其他違法行為。
用戶信息驗證碼:這個驗證碼只有打到數(shù)據(jù)庫才能使用。沖突數(shù)據(jù)庫是黑客在互聯(lián)網(wǎng)上收集泄露的用戶和密碼信息,生成相應的字典表,并試圖批量登錄其他網(wǎng)站,以獲得一系列可以登錄的用戶。
無論驗證碼是什么,都要考慮安全性和用戶體驗。但是,如果你真的在安全和良好體驗之間有一個很好的平衡,就需要同時在這兩方面下功夫,才能保證整體的安全水平。
位手機用戶接連收到短信驗證碼。
“覺得隱私被泄露了,很害怕。”不久前的一天下午,石家莊科技工程職業(yè)技術學院的小程在學校附近突然接到許多短信驗證碼。小程不知道的是,她的這次特殊經(jīng)歷的背后,極可能隱藏著一條盤踞已久的黑色產(chǎn)業(yè)鏈。
多位安全圈人士向新京報記者表示,小程的遭遇可能與一種被稱為“GSM劫持+短信嗅探”的技術有關。其實,這并非個例。此前曾發(fā)生過凌晨收到上百條驗證碼,結果發(fā)現(xiàn)被盜刷的案件。
新京報記者調(diào)查發(fā)現(xiàn),這項黑產(chǎn)的入門門檻極低,所需代碼均為開源。只需要在網(wǎng)上花費不到30元購買一部摩托羅拉C118手機,黑產(chǎn)從業(yè)者便可以窺探到用戶手機內(nèi)的短信內(nèi)容。在此背景下,盜刷銀行卡成為可能。更為可怕的是,短信嗅探只是龐大黑色產(chǎn)業(yè)帝國中的冰山一角。通過手機號,業(yè)內(nèi)人員還可以利用社工庫等手段獲悉用戶的開房、住址等諸多敏感信息,從而可以輕易勾勒出用戶畫像。
經(jīng)過記者進一步調(diào)查,實際上是2G網(wǎng)絡協(xié)議的天然缺陷為其提供了犯罪的溫床。
一名黑產(chǎn)設備賣家的QQ空間。
“準空姐”30秒收29條驗證碼短信
每每回憶起不久前一天下午的遭遇,小程總是眉頭緊皺。“覺得隱私被泄露了,很害怕。”
那天,正打算去逛街的她剛剛走出校門沒多遠,一向安靜的手機突然提示聲音不斷,來自各個APP的驗證碼短信接踵而來。
小程是一名“準空姐”。不久前,經(jīng)過6次和競爭對手的角逐,她終于在南方航空的面試中脫穎而出,等待著培訓的到來。“看到南航短信驗證碼的時候像木頭人一樣,十分害怕會對未來有影響。”除了網(wǎng)貸和一些支付平臺的密碼外,兩條來自南方航空的驗證碼讓小程格外擔心。對她而言,所有包含“南方航空”這四個字眼的信息都可以輕而易舉觸及她的未來。
“從來沒碰到過這樣的事情。”為了躲避這些突如其來的短信提示聲,小程在愣了不到兩秒鐘之后,將手機調(diào)為了飛行模式。“因為我點開一個看了一下,每個驗證碼后面都寫著有效時間,就本能地這么做了。”
事后,據(jù)統(tǒng)計,小程在不到30秒的時間里,共收到29條驗證碼短信。
小程不知道的是,她的這次特殊經(jīng)歷的背后,極有可能隱藏著一條盤踞已久的黑色產(chǎn)業(yè)鏈。有類似遭遇的,也并非只有她一個人。不過,其他人不是每個都像小程一樣幸運。
“通過一種短信嗅探設備,可以直接嗅探到電信用戶所有的手機短信。”意圖“上岸”的老呂(化名)介紹。“上岸”是黑產(chǎn)從業(yè)者中的行話,為了規(guī)避風險,一些黑產(chǎn)從業(yè)者會在從事一段時間后“金盆洗手”。他表示,“黑產(chǎn)從業(yè)者有專門的手機號采集裝備,利用采集到的手機號,可以在點卡網(wǎng)等實行找回密碼等操作,實現(xiàn)盜刷。但是,這種設備只能攻擊2G網(wǎng)絡條件下的手機。配合降頻設備,也可以強制讓覆蓋范圍內(nèi)手機網(wǎng)絡狀態(tài)變?yōu)?G,從而實現(xiàn)降頻攻擊。”
一位安全圈人士發(fā)送給新京報記者的配置好的摩托羅拉C118手機。
醒來錢沒了,多地發(fā)生短信嗅探盜刷
與小程類似,去年7月30日,微博網(wǎng)友@-美年達芬奇發(fā)現(xiàn),凌晨她的手機收到100多條驗證碼,包括支付寶、京東、銀行APP等。據(jù)介紹,有人使用她的京東賬戶、支付寶等預訂房間、給加油卡充值,總計盜刷了1萬多元。當時,多位業(yè)內(nèi)人士懷疑并提及了一項名為“GSM劫持+短信嗅探”的技術。
指針撥回到去年11月,武漢市漢陽區(qū)警方四天連續(xù)接到5起蹊蹺案件。受害人起床后發(fā)現(xiàn)手機收到大量驗證碼和扣款短信,銀行卡里的錢沒有了。其中,損失最多的受害人在一夜之間,卡內(nèi)1.9萬元被人分17次轉(zhuǎn)走。2019年3月7日上午,漢陽區(qū)公安分局刑偵大隊民警將犯罪嫌疑人趙某某、舒某某控制,湖北首起利用“短信嗅探”技術的新型詐騙案告破。據(jù)報道,自去年9月份以來,兩名犯罪嫌疑人實施作案30余起,共獲利20余萬元。
3月27日,南昌市西湖區(qū)人民法院開庭審理了江西省首起利用短信嗅探設備實施網(wǎng)絡盜竊消費的案件,這條黑色產(chǎn)業(yè)鏈也浮出水面。
據(jù)查明,被告人胡某、李某、何某三人通過QQ、微信認識后,分工合作,共同實施盜竊。胡某為“料主”,利用短信嗅探設備獲取方圓500米內(nèi)可以作案的手機號和機主姓名,后將該信息轉(zhuǎn)發(fā)至其上線李某;李某找他人查詢該手機號碼機主的身份信息以及關聯(lián)的銀行卡信息,再將該信息轉(zhuǎn)發(fā)至其上線何某(業(yè)內(nèi)稱“出料”);何某利用短信驗證的方式通過快捷支付在博彩網(wǎng)站盜刷或者用微信、支付寶在京東商城進行消費。在一個月的時間里,被告人胡某伙同李某、何某作案1起、伙同他人作案2起,盜取他人財物共計8671元。
值得注意的是,這項黑產(chǎn)技術生命力頗為頑強,雖被多地警方所關注并打擊,但仍在重拳整治下生存至今。
二手平臺上有賣家出售短信嗅探采集系統(tǒng)。
售價1000元的嗅探技術其實只要30元?
新京報記者調(diào)查發(fā)現(xiàn),短信嗅探設備易得、操作簡便,實際上為黑產(chǎn)從業(yè)者設立了相當?shù)偷拈T檻。
“只需要一部摩托羅拉C118手機就可以實現(xiàn)短信嗅探。”一位業(yè)內(nèi)人士告訴新京報記者,“在網(wǎng)上,可以很容易地買到。”
在某電商平臺,記者通過搜索關鍵詞“采集C118”后,出現(xiàn)12個名為“C118采集器系統(tǒng)軟件全套”的商品。其中絕大多數(shù)商品封面或為嗅探成功的系統(tǒng)后臺,或為已經(jīng)改裝好的摩托羅拉C118。新京報記者在一個系統(tǒng)后臺的封面圖片底部中注意到,“您好!您于2018-11-29 18:25:16.使用外部電商平臺充值服務為135××××××××號碼充值50.00元”這句話被用紅線標注。“在線學習,包教會設備和系統(tǒng),可以監(jiān)測直徑約500米范圍的2G短信。”其中一名賣家告訴新京報記者,“全套設備和系統(tǒng)代碼共1000元。”
新京報記者以買家身份和多名嗅探設備賣家取得聯(lián)系。為了展示產(chǎn)品的真實性,幾乎每個嗅探設備的賣家,都會主動給記者展示大量其設備正常運行的視頻。在嗡鳴的風扇聲中,他們將改裝過的摩托羅拉C118與筆記本電腦連接妥當。登錄系統(tǒng)后不久,實驗手機接收到的短信內(nèi)容便會出現(xiàn)在視頻中泛黃的屏幕中。
然而,對于這項技術而言,其實“并不值1000元”。
“那些都是騙剛?cè)胄械男“椎模@套設備的價格完全等價于硬件的價格,不會超過100元。”老呂告訴記者。據(jù)其介紹,硬件上,只需要購買一個不到30元錢的摩托羅拉C118手機,用幾個常用電子元件改裝便可;而軟件上,將修改過的OsmocomBB編譯進摩托羅拉C118手機里面,就可以為手機添加嗅探功能。
公開資料顯示,OsmocomBB是從硬件層到應用層徹徹底底開源的GSM協(xié)議實現(xiàn)項目。因為是開源,黑產(chǎn)從業(yè)者可以輕而易舉獲得該代碼,甚至不必大量去學習通信相關專業(yè)知識,就能實現(xiàn)并模擬GSM協(xié)議,按照自己的需求隨意更改,添加功能。
據(jù)安全圈人士于小葵(化名)向新京報記者介紹,除了摩托羅拉C118,還有摩托羅拉、索尼愛立信的多個機型,均可被用于該技術。但是,摩托羅拉C118卻成為眾多黑產(chǎn)從業(yè)者的不二選擇。“摩托羅拉C118兼容性最好,價格便宜,所以也就成為了最合適的手機。”于小葵說。
值得一提的是,部分平臺短信驗證碼內(nèi)容的不合理,實際上也間接提供了犯罪的溫床。“其實,這個設備只能嗅探到2G短信內(nèi)容,但并不能嗅探到手機號。”老呂坦言,“用戶手機中很多短信內(nèi)容都包含用戶的手機號,用這個手機號登錄一些充值平臺,然后點擊更改密碼或者直接充值,就可以技術變現(xiàn)。”
在老呂看來,一些平臺發(fā)送給用戶的驗證碼中直接包括電話號碼,實際上也為黑產(chǎn)從業(yè)者提供了一定的便利。“不過,也有專門的手機號碼采集器可以采集到用戶的手機號。”
只針對2G信號?從4G降為2G也要小心
去年9月17日,2018國家網(wǎng)絡安全宣傳周——網(wǎng)絡安全博覽會開幕,有展館展出了多種網(wǎng)絡黑灰產(chǎn)作案工具,其中便包括能夠悄無聲息偷走手機短信的“2G短信嗅探設備”。
據(jù)介紹,2G短信嗅探設備總材料價格不足100元,但可以做到獲取周邊任何人的短信內(nèi)容,危害特別大。基站以廣播方式轉(zhuǎn)發(fā)到用戶手里的加密短信,可被這套設備所截取并破解還原出來,最終被黑產(chǎn)用戶實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡詐騙等犯罪。此前此類犯罪只針對移動與聯(lián)通,不針對電信,同時這種犯罪只針對2G信號。
“但其實,手機在3G或4G時的特定情景下也有可能被監(jiān)控到,原因是通過特殊設備壓制或者信號質(zhì)量不佳導致信號降頻。”知道創(chuàng)宇404實驗室副總監(jiān)隋剛告訴新京報記者。
“2G本來就是開源的,在數(shù)據(jù)傳輸過程中也沒有加密。”隋剛向新京報記者介紹說,在短信嗅探中,C118手機只是扮演著一個偽基站的角色。
偽基站又稱“假基站”,可以利用移動信令監(jiān)測系統(tǒng)監(jiān)測移動通訊過程中的各種信令過程,獲得手機用戶當前的位置信息。按照通信協(xié)議世界的“游戲規(guī)則”,誰來先跟你“握手”,設備便會優(yōu)先作出回應。偽基站啟動后就會干擾和屏蔽一定范圍內(nèi)的運營商信號,之后則會搜索出附近的手機號,主動握手,并將短信發(fā)送到這些號碼上。屏蔽運營商的信號可以持續(xù)10秒到20秒,短信推送完成后,對方手機才能重新搜索到信號。
給不法分子可乘之機的,卻是2G網(wǎng)絡的天然缺陷。“2G網(wǎng)絡其架構本身就是開源的,其使用的GSM協(xié)議也都是明文傳輸。因為并沒有加密,所以在傳輸?shù)倪^程中就可以嗅探到。將C118連接至電腦,然后用類似Wireshark的網(wǎng)絡抓包工具直接抓包,就可以抓出來通信過程中的所有指令。”隋剛說。
其實,聽起來駭人聽聞的GSM短信嗅探技術并非沒有自己的軟肋。據(jù)隋剛介紹,GSM短信嗅探技術的短板,主要有兩方面,“一方面是摩托羅拉C118發(fā)射功率有限,黑產(chǎn)從業(yè)者只有在‘獵物’附近時才能實現(xiàn)嗅探,距離被嚴重限制;另一方面是這種方法獲取的信息比較單一,只能獲取短信驗證碼,所以只能做與短信驗證碼相關的事情。”
隋剛說:“我們能做的事情還有很多,比如說U盾等實體二步認證硬件就可以很好地防范這種攻擊。”
全鏈條:獲取身份證號、銀行賬號、支付賬號
新京報記者進一步調(diào)查發(fā)現(xiàn),GSM短信嗅探攻擊已基本實現(xiàn)全鏈條化。在電信用戶的短信驗證碼、手機號碼被劫持的的基礎上,黑產(chǎn)從業(yè)者可以通過社工庫等方式獲取身份證號碼、銀行賬號、支付平臺賬號等敏感信息。
在一個名為“C118研究社嗅探學習群”的QQ群中,一則與查詢個人信息相關的廣告顯示,“可查卡查證”。有媒體曾在報道中提及,記者花費700元就買到同事行蹤,包括乘機、開房、上網(wǎng)吧等11項記錄。在另一個名為“短信設備”的QQ群中,一名自稱出售短信號碼采集器的賣家表示,“通過號碼采集器可以采集到一定范圍的手機號碼。”
在這個QQ群里,共聚集著377名黑產(chǎn)從業(yè)者。每天,如何“賺大錢”成為群內(nèi)學習和討論的焦點。
那么,黑產(chǎn)從業(yè)者是如何通過手機號來查到多種個人信息的呢?新京報記者發(fā)現(xiàn),通過社工庫并不難實現(xiàn)個人信息的查詢。所謂社工庫,即一個數(shù)據(jù)資料集合庫,包含有大量被泄露的數(shù)據(jù)。通過這些數(shù)據(jù),社工庫的使用者可以輕易勾勒出一幅用戶的網(wǎng)絡畫像。
有接近黑灰產(chǎn)的人士指出,隨著國內(nèi)監(jiān)管愈發(fā)嚴格,社工庫一般只供黑產(chǎn)團伙內(nèi)部使用。并且,目前灰產(chǎn)從業(yè)者有向國外轉(zhuǎn)移的趨勢。在暗網(wǎng)上的某個交易市場中,新京報記者發(fā)現(xiàn)大量包含“個人信息查詢”的交易帖。其中一則帖子中顯示,可以查戶籍信息、開房信息、婚姻、寬帶。在該交易帖中,根據(jù)查詢信息不同,價位也從0.014BTC-0.15BTC不等。交易信息一覽中顯示,該商品單價為1美元,用戶可以通過調(diào)整購買數(shù)量來滿足不同需求。在不可追蹤的暗網(wǎng)交易市場中,該服務“頗有賣相”,截至4月28日,該商品顯示已被購買1368次。
■ 分析
短信驗證碼安全嗎?
愈演愈烈的黑產(chǎn),引發(fā)人們對手機短信驗證碼本身是否足夠安全的討論。有關人士表示,現(xiàn)在手機驗證碼能做到的東西(轉(zhuǎn)賬、實名等)已經(jīng)遠遠超出了它本身安全性的范圍。
據(jù)《2018網(wǎng)絡黑灰產(chǎn)治理研究報告》估算,2017年我國網(wǎng)絡安全產(chǎn)業(yè)規(guī)模為450多億元,而黑灰產(chǎn)已達近千億元規(guī)模;全年因垃圾短信、詐騙信息、個人信息泄露等造成的經(jīng)濟損失估算達915億元。而且電信詐騙案每年以20%至30%的速度在增長。
另據(jù)阿里安全歸零實驗室統(tǒng)計,2017年4月至12月共監(jiān)測到電信詐騙數(shù)十萬起,案發(fā)資金損失過億元,涉及受害人員數(shù)萬人,電信詐騙案件居高不下,規(guī)模化不斷升級。2018年,活躍的專業(yè)技術黑灰產(chǎn)平臺多達數(shù)百個。
那么,面對規(guī)模如此龐大的黑灰產(chǎn),短信驗證碼是否已經(jīng)顯得捉襟見肘了呢?對此,隋剛認為,雖然在嗅探的情景下,短信驗證碼并不安全,但是就目前來說,短信驗證碼仍是一個切實可行的方案。
“就目前情況來看,如果將短信驗證碼換成其他的驗證方式,無形之中肯定會加大使用成本。”隋剛告訴新京報記者,“安全是相對的,就看愿意付出多大的代價。與便捷性相平衡,短信驗證碼相對合適。安全本身就是提升攻防雙方的成本,并沒有絕對的安全。”
如何防范短信嗅探?
那么如何防止被黑產(chǎn)截獲短信呢?2018年2月,全國信息安全標準化技術委員會秘書處發(fā)布《網(wǎng)絡安全實踐指南——應對截獲短信驗證碼實施網(wǎng)絡身份假冒攻擊的技術指引》。
該指引指出,攻擊者在截獲短信驗證碼后,能夠假冒受害者身份,成功通過移動應用、網(wǎng)站服務提供商的身份驗證安全機制,實施信用卡盜刷等網(wǎng)絡犯罪,給用戶帶來經(jīng)濟損失。指引同時指出,缺陷修復難度大。目前,GSM網(wǎng)絡使用單向鑒權技術,且短信內(nèi)容以明文形式傳輸,該缺陷由GSM設計造成,且GSM網(wǎng)絡覆蓋范圍廣,因此修復難度大、成本高。攻擊過程中,受害者的手機信號被劫持,攻擊者假冒受害者身份接入通信網(wǎng)絡,受害者一般難以覺察。
那么,面對GMS短信嗅探的威脅,我們是否真的束手無策呢?有專家建議,用戶可以要求運營商開通VoLTE功能(一種數(shù)據(jù)傳輸技術),從而防范短信被劫持的可能。“也就是說,不再使用2G網(wǎng)絡傳輸短信,而是讓短信通過4G網(wǎng)絡傳輸,從而防范無線監(jiān)控竊取短信。”也有專家認為,運營商應盡快替換掉2G網(wǎng)絡。通信運營商應考慮加快淘汰2G網(wǎng)絡技術,以更大程度確保信息安全。據(jù)介紹,在國際上,2G網(wǎng)絡已被諸多運營商所拋棄。
上述指引也建議各移動應用、網(wǎng)站服務提供商優(yōu)化用戶身份驗證措施,選用一種或采用多種方式組合,加強安全性:如短信上行驗證(提供由用戶主動發(fā)送短信用以驗證身份的功能)、語音通話傳輸驗證碼、常用設備綁定、生物特征識別、動態(tài)選擇身份驗證方式等。
(來源:新京報)