李天明收到的各類驗(yàn)證碼�����。受訪者供圖
警方查獲的作案工具���。犯罪嫌疑人通過偽基站和嗅探設(shè)備獲取手機(jī)號(hào)和短信驗(yàn)證碼�����。新京報(bào)記者 陳景收 攝
存款盜刷調(diào)查:偽基站操控手機(jī)驗(yàn)證碼
“一夜醒來���,卡上存款不翼而飛�!苯眨珖(guó)多地接連發(fā)生多起銀行卡被盜刷事件��。深圳市龍崗警方歷時(shí)一個(gè)多月,打掉一個(gè)涉嫌全鏈條盜刷銀行卡的團(tuán)伙�,抓捕10名嫌疑人,涉案金額逾百萬元�。
在此之前,鄭州��、廣州����、廈門等地警方也相繼破獲類似案件�����。這些銀行卡盜刷案件作案手段一致��,均是利用手機(jī)2G網(wǎng)絡(luò)(GSM)不加密傳輸?shù)穆┒�����,通過偽基站和短信嗅探器����,在一定范圍內(nèi)獲取用戶手機(jī)號(hào)碼和短信驗(yàn)證碼。之后��,再利用各大銀行、網(wǎng)站��、移動(dòng)支付App存在的漏洞和缺陷����,實(shí)現(xiàn)信息竊取、資金盜刷�����。
“這種盜刷方式危害性很大��。不同于以往電信詐騙需要受害人配合���,而是在你不知不覺的情況下����,就盜刷了����!鄙钲谑泄簿铸垗彿志铸埿屡沙鏊L(zhǎng)占小明告訴新京報(bào)記者���。
新京報(bào)記者了解到��,由于嗅探設(shè)備�����、偽基站操作簡(jiǎn)單�����,以及各類App身份驗(yàn)證方式簡(jiǎn)單���,此類盜刷的門檻較低�,存在較大的安全隱患����。
對(duì)此����,騰訊守護(hù)者計(jì)劃安全專家周正認(rèn)為,運(yùn)營(yíng)商應(yīng)該提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性���,強(qiáng)制語(yǔ)音和短信業(yè)務(wù)也走4G通道�;而各類App應(yīng)用應(yīng)該通過常用設(shè)備綁定、賬號(hào)異常行為強(qiáng)校驗(yàn)�、增加人臉識(shí)別驗(yàn)證等手段,增強(qiáng)App身份驗(yàn)證的難度����。
睡覺時(shí),銀行卡被盜刷
7月6日凌晨五點(diǎn)半左右�����,家住深圳龍崗上垅塘的李天明(化名)在睡夢(mèng)中被持續(xù)的手機(jī)震動(dòng)聲吵醒���。他起床發(fā)現(xiàn)手機(jī)連續(xù)收到了數(shù)十條短信驗(yàn)證碼和消費(fèi)通知�。驗(yàn)證碼的平臺(tái)包括途牛網(wǎng)���、瓜子二手車�、支付寶��、京東等����。
“我當(dāng)時(shí)感到很驚訝,手機(jī)都沒動(dòng)���,怎么會(huì)出現(xiàn)這種情況��?”李天明告訴新京報(bào)記者��,他通過短信消費(fèi)通知發(fā)現(xiàn)�,其綁定在京東上的興業(yè)銀行卡正在被消費(fèi)。
李天明登錄京東查看情況�����,卻發(fā)現(xiàn)登錄密碼也已經(jīng)被重置�。根據(jù)短信顯示,他的京東支付密碼和登錄密碼分別于當(dāng)天4時(shí)42分���、5時(shí)32分被修改�����!拔亿s緊打電話給興業(yè)銀行��,進(jìn)行掛失��,將賬戶凍結(jié)������!笔潞����,李天明感到慶幸�����,由于處理及時(shí)��,他的興業(yè)銀行卡只被盜刷了6000塊錢���,而他那張卡余額有26000元�。
不過����,李天明的損失不止這些。盜刷者還替他開通了京東金條�����,并成功借款1.1萬元�������!斑@筆借款是打到我的一張建行卡上��!倍绦判畔@示����,李天明的京東金條借款于5時(shí)8分到賬。之后�����,盜刷者用李天明的手機(jī)號(hào)碼在招商銀行信用卡平臺(tái)——掌上生活注冊(cè)了一網(wǎng)通賬號(hào)���,并開始消費(fèi)��。
在這次盜刷中��,李天明總共損失了1.7萬元����。剛開始�,他找京東理賠遭到拒絕,因?yàn)橐磺行袨槎枷袷抢钐烀髯约涸诓僮���!八械牟襟E都需要短信驗(yàn)證碼,借款也是打到我自己的卡里����。犯罪分子竊取我的信息后,在網(wǎng)上他就是我��������!崩钐烀髡f����。
網(wǎng)友“獨(dú)釣寒江雪”也遭遇了和李天明同樣的情況�。8月1日,“獨(dú)釣寒江雪”在豆瓣上發(fā)帖《這下一無所有了》���,講述自己被盜刷的經(jīng)歷��。
根據(jù)上述帖子��,7月30日凌晨5點(diǎn)���,“獨(dú)釣寒江雪”發(fā)現(xiàn)自己的手機(jī)接收到了100多條短信驗(yàn)證碼��,支付寶����、余額寶里的余額�、關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走了。京東還被開通了金條���、白條功能�����,借款10000多元����。
起初��,支付寶���、京東同樣拒絕理賠����,原因也是認(rèn)為這是“獨(dú)釣寒江雪”本人操作����。支付寶相關(guān)人士此前在接受媒體采訪時(shí)表示,從當(dāng)晚操作的狀態(tài)來看���,登錄賬戶�、修改密碼�、購(gòu)物、提現(xiàn)的校驗(yàn)全部一次通過���,像是賬戶本人或是熟人操作����。
銀行卡被盜刷后�����,李天明到龍新派出所報(bào)案����,“警察說���,最近已經(jīng)接到多起類似的報(bào)案,是犯罪嫌疑人通過短信嗅探作案�。”
“這是一種新型的侵財(cái)犯罪行為��,之前很少見�������!饼埿屡沙鏊晃晦k案民警告訴新京報(bào)記者��,最初接到報(bào)案的時(shí)候��,連他們也不太相信會(huì)有這種情況發(fā)生���,“當(dāng)時(shí)正好也是世界杯期間�����,我自己心里還以為事主是賭球輸了�����,沒法跟家人交代�,編造的借口���!
2G網(wǎng)絡(luò)傳輸漏洞
接到報(bào)警后�,龍新派出所開始調(diào)查����,了解到近期深圳及全國(guó)各地均有同類案件發(fā)生����。“后來我們派出所也陸續(xù)接到了多起同類報(bào)案�����!饼埿屡沙鏊L(zhǎng)占小明告訴新京報(bào)記者����。
隨后���,龍崗分局組織成立了專案組全面展開偵查�����。龍崗警方發(fā)現(xiàn)����,此案件中,犯罪嫌疑人是利用偽基站����、短信嗅探器,在一定距離內(nèi)�,盜取受害者手機(jī)號(hào)、短信驗(yàn)證碼�����,之后再實(shí)施針對(duì)移動(dòng)支付����、互聯(lián)網(wǎng)金融、社交軟件等App應(yīng)用的信息竊取���、資金盜刷���、網(wǎng)絡(luò)詐騙等����。
今年三四月��,此案中的犯罪嫌疑人譚亮(化名)在QQ群中看到�,有人發(fā)布信息售賣短信嗅探設(shè)備�����!耙婚_始覺得很好奇����,別人的短信我都可以偷看到����。”
譚亮此前在電子廠工作����,大學(xué)期間,因愛好計(jì)算機(jī)技術(shù)�,時(shí)常幫同學(xué)修電腦��。他屬于“技術(shù)控”�,經(jīng)�;燠E在各種計(jì)算機(jī)技術(shù)討論群。
5月��,譚亮購(gòu)買了一套短信嗅探設(shè)備����。由于本身具備一定的技術(shù)基礎(chǔ),譚亮很快就學(xué)會(huì)了這套設(shè)備的使用��。不過����,很快他便發(fā)現(xiàn),只嗅探別人短信���,除了偷窺隱私���,沒有別的用處,“只看到了一堆短信�,但是不知道是哪個(gè)手機(jī)的����!
“一開始只是對(duì)嗅探技術(shù)好奇�,但QQ群里���,有人經(jīng)常在發(fā)信息����,說又盜刷了多少錢���,慢慢就動(dòng)心了����������!弊T亮告訴新京報(bào)記者,后來他了解到如果要看到手機(jī)號(hào)碼����,還需要“手機(jī)號(hào)碼采集器”。這一裝置主要組成部分是一個(gè)偽基站���。
偽基站之所以能發(fā)揮作用����,實(shí)際上利用的是2G網(wǎng)絡(luò)單向鑒權(quán)的缺陷。
所謂鑒權(quán)��,是手機(jī)用戶與移動(dòng)通訊網(wǎng)絡(luò)之間的認(rèn)證機(jī)制�����,也就是��,兩者之間要進(jìn)行身份識(shí)別��。不過���,根據(jù)中國(guó)移動(dòng)通信集團(tuán)公司研究院高級(jí)工程師粟栗2017年發(fā)表的《移動(dòng)通信網(wǎng)2G/3G/4G互操作風(fēng)險(xiǎn)分析與防護(hù)方案》���,在2G網(wǎng)絡(luò)中,鑒權(quán)是單向的����,即僅要求網(wǎng)絡(luò)對(duì)用戶進(jìn)行認(rèn)證,而用戶不對(duì)網(wǎng)絡(luò)的真實(shí)性進(jìn)行鑒權(quán)����。因此�����,在2G網(wǎng)絡(luò)條件下�,攻擊者可將偽基站信號(hào)強(qiáng)度放大��,從而強(qiáng)制用戶接入�����。也就是說���,在2G網(wǎng)絡(luò)條件下����,基站可以鑒定手機(jī)的合法性��,但是手機(jī)無法鑒定基站的合法性��。這也就使得假冒的基站(偽基站)可以與手機(jī)進(jìn)行連接通信�。
“通過號(hào)碼采集器��,就可以把附近2G制式下的手機(jī)號(hào)碼都吸附過來,形成虛擬撥號(hào)��,撥到一個(gè)系統(tǒng)指定的手機(jī)上�����,這樣就能看到附近人的手機(jī)號(hào)碼�����。與短信嗅探器一起使用����,就可以將手機(jī)號(hào)碼和短信驗(yàn)證碼進(jìn)行匹配��!弊T亮說���。
“目前�����,絕大部分的移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)��,都是以用戶手機(jī)和短信驗(yàn)證為基礎(chǔ)的安全策略��������!彬v訊守護(hù)者計(jì)劃安全專家周正告訴新京報(bào)記者��,犯罪嫌疑人只要截獲用戶移動(dòng)通訊的核心信息:短信驗(yàn)證碼��,即可盜刷��。而國(guó)內(nèi)2G網(wǎng)絡(luò)的語(yǔ)音和短信業(yè)務(wù)單向鑒權(quán)�����、缺乏有效加密����,且明文傳輸��,通訊安全性較差��,使得短信驗(yàn)證碼存在被劫持和嗅探的風(fēng)險(xiǎn)�。
事實(shí)上,2G網(wǎng)絡(luò)信息嗅探技術(shù)在幾年前就已經(jīng)出現(xiàn)。據(jù)公開信息���,2009年,德國(guó)計(jì)算機(jī)工程師卡爾斯頓·諾爾就宣布���,他已經(jīng)破解了GSM技術(shù)的加密算法�,并將破解后的代碼放到網(wǎng)上供人下載����。利用這些代碼,一臺(tái)個(gè)人計(jì)算機(jī)����、一部無線電接收裝置就可截獲移動(dòng)電話用戶的語(yǔ)音信息。
此后�,針對(duì)GSM協(xié)議的破解越來越成熟,衍生出了多個(gè)開源項(xiàng)目�。2010年,OsmocomBB項(xiàng)目誕生�,可以控制并篩選周圍基站發(fā)來的一切信息。目前��,這已成為網(wǎng)絡(luò)上針對(duì)2G手機(jī)監(jiān)聽使用最多的開源項(xiàng)目���。而其硬件組成則十分簡(jiǎn)單——一部手機(jī)����、一臺(tái)電腦和幾根串口線。
“本案中�����,犯罪團(tuán)伙就是利用OsmocomBB開源技術(shù)���,組裝搭建GSM劫持設(shè)備和環(huán)境��������!敝苷嬖V新京報(bào)記者。
而目前���,網(wǎng)絡(luò)上很容易檢索到相關(guān)教程�,這使得嗅探設(shè)備的搭建和使用門檻大大降低�。“就算你不懂技術(shù)�����,不會(huì)搭建,也可以買整套設(shè)備����,賣設(shè)備的人也會(huì)告訴你怎么使用�����!弊T亮告訴新京報(bào)記者����。
利用網(wǎng)站���、App漏洞
有了號(hào)碼采集器和短信嗅探器�����,譚亮開始嘗試著盜刷�。他告訴新京報(bào)記者��,拿到受害者的手機(jī)號(hào)和短信驗(yàn)證碼后��,要實(shí)現(xiàn)盜刷,還需要滿足很多條件����。最關(guān)鍵的是,要能夠通過多個(gè)平臺(tái)找到受害者的姓名�����、身份證號(hào)���、銀行卡號(hào)等信息����;此外�,受害者銀行卡里還得有錢,或者有借貸資格�����。
“我聽說���,也有人是先購(gòu)買了別人的各種信息����,再有針對(duì)性地跑到別人家附近,通過信號(hào)干擾�,將其手機(jī)號(hào)碼降頻到2G,進(jìn)行嗅探������!弊T亮告訴新京報(bào)記者,這種作案方法叫作“精準(zhǔn)嗅探”�����,不過成功率很低�,“并不是說��,你想攔截誰(shuí)�,就能攔截誰(shuí)的�!
知名通信行業(yè)觀察家項(xiàng)立剛告訴新京報(bào)記者,當(dāng)手機(jī)連接的是4G網(wǎng)絡(luò)時(shí)���,就不會(huì)成為短信嗅探攻擊的對(duì)象�。但是�,2G網(wǎng)絡(luò)發(fā)展歷史比較久����,基站覆蓋面廣�����,信號(hào)較強(qiáng)����,有些地方如果4G信號(hào)弱,手機(jī)也會(huì)自動(dòng)連接到2G�����,就可能被嗅探�����。此外�����,犯罪分子也可能通過技術(shù)手段干擾4G網(wǎng)絡(luò)���,讓附近的手機(jī)自動(dòng)降頻到2G��。
譚亮說���,他的作案方式是“廣撒網(wǎng)”����。選擇人群密集的地方��,打開嗅探設(shè)備��,將周圍能嗅探到的2G手機(jī)號(hào)碼和短信都攔截下來�����,再去搜查事主資料����。目前能獲取到的事主個(gè)人信息多是利用網(wǎng)站���、各類App本身存在的漏洞進(jìn)行查詢��。
譚亮記得��,國(guó)內(nèi)某銀行的網(wǎng)頁(yè)只需要用戶手機(jī)號(hào)和短信驗(yàn)證碼就可登錄�����,登錄后�,雖然用戶的銀行卡號(hào)部分?jǐn)?shù)字是隱藏的,但只要點(diǎn)擊頁(yè)面源代碼�����,就可以在代碼中尋找到完整的銀行卡號(hào)���。
國(guó)內(nèi)某移動(dòng)支付平臺(tái)則是泄露用戶身份證號(hào)的主要渠道��������!暗卿浽撝Ц镀脚_(tái),身份證號(hào)碼也是有隱藏的��。但是���,平臺(tái)上的一些合作企業(yè)服務(wù)號(hào)通�����?梢垣@得授權(quán)����,直接獲取用戶信息,就在這些服務(wù)號(hào)上泄露了身份證號(hào)碼�。”譚亮告訴新京報(bào)記者�。不過,8月14日���,他應(yīng)警方要求���,再次演示從該平臺(tái)獲取用戶身份證信息時(shí),發(fā)現(xiàn)該漏洞已經(jīng)被堵上了����。
除了技術(shù)漏洞���,周正告訴新京報(bào)記者����,在短信驗(yàn)證碼可以被截獲的情況下,一些網(wǎng)絡(luò)平臺(tái)�����、銀行網(wǎng)站����,原本正常提供給公眾、政企的查詢接口也會(huì)被盜刷者所利用���,進(jìn)行信息查詢�����,相互匹配���,之后在金融平臺(tái)新注冊(cè)、開通借貸服務(wù)��、消費(fèi)變現(xiàn)�����。
譚亮的供述印證了上述觀點(diǎn)�,“在某銀行的App登錄后,只需要短信驗(yàn)證碼,就可以查看完整銀行卡號(hào)����。”
“不同平臺(tái)可查詢到的信息可能不同����,就得多個(gè)平臺(tái)的信息進(jìn)行拼湊����!弊T亮告訴新京報(bào)記者,這也決定了此類盜刷的成功率很低�����,“有時(shí)候查詢不到完整的資料���,或者有資料�,但是賬戶沒錢���!
據(jù)譚亮說��,從今年5月份開始作案,到8月份被抓��,他總共盜刷成功5次�����,最大的一筆是5000元��,盜刷的第一筆錢只有300元�,是通過對(duì)方的京東白條給自己QQ充了Q幣����!爱(dāng)時(shí),事主的銀行卡里面都沒有余額���,只有白條有300元的額度���!
全鏈條團(tuán)伙
譚亮認(rèn)為����,他之所以盜刷金額不高,很重要的原因是他一直都是單干��。此類盜刷,犯罪嫌疑人通常采取團(tuán)伙作案�����,各司其職�,有的負(fù)責(zé)銷售設(shè)備、有的進(jìn)行嗅探作案��,還有的進(jìn)行洗錢���。
譚亮告訴新京報(bào)記者�,在行業(yè)內(nèi)�,負(fù)責(zé)盜刷的人被稱為“料主”,洗錢環(huán)節(jié)稱為“洗料”��,通常的做法是“料主”把消費(fèi)所需要的手機(jī)號(hào)�����、驗(yàn)證碼提供給“洗料”的人����;后者進(jìn)行銷售變現(xiàn)�����!耙话闶琴I油卡����、充Q幣這類虛擬商品,這樣可以不需要收貨地址�,更安全����!
高浩波(化名)從今年5月份開始幫此案中另一名犯罪嫌疑人劉某洗錢。他告訴新京報(bào)記者���,他洗錢的手法��,就是協(xié)助劉某將盜刷的錢充油卡進(jìn)行套現(xiàn)����。
高浩波告訴新京報(bào)記者��,劉某告訴他��,有門路可以七折優(yōu)惠充油卡����。高浩波將劉某的7折優(yōu)惠�����,轉(zhuǎn)手給他人8折優(yōu)惠�����,從中賺取10%提成����!暗轿冶蛔����,總共賺了1000多塊錢����。”
李天明在京東平臺(tái)上被盜刷的6000元興業(yè)銀行存款�����,也是用于購(gòu)買虛擬商品��。“買了一個(gè)電視會(huì)員卡499.9元�����,四張加油卡����,分別是兩張1000元����,兩張1920元��!
據(jù)譚亮介紹�����,之所以需要“洗料”�,除了將贓款洗白,還可以逃避各類電商平臺(tái)的風(fēng)控機(jī)制�����!昂芏嚯娚唐脚_(tái)���,如果你消費(fèi)金額過大或頻次過多����,系統(tǒng)認(rèn)為消費(fèi)異常����,就會(huì)啟動(dòng)風(fēng)控機(jī)制,將賬戶凍結(jié)���。這樣�,就算盜刷了一大筆錢��,也出不了����。因此,就有人專門研究各種洗錢通道���,幫助套現(xiàn)����!
在譚亮看來���,受害者李天明的建行卡之所以會(huì)被綁定在其他平臺(tái)上進(jìn)行消費(fèi)���,可能就是盜刷者在逃避京東的風(fēng)控機(jī)制��!鞍芽ń壎ㄔ趧e的平臺(tái)后���,可以在異地到各個(gè)不同的消費(fèi)場(chǎng)所或平臺(tái)去購(gòu)物,再套現(xiàn)��������!
為了洗出更多的錢����,犯罪分子還會(huì)鋌而走險(xiǎn)���,購(gòu)買實(shí)物商品�����!斑@種情況��,一般是寄到外省�,找一個(gè)沒有監(jiān)控的收貨地址�,讓專人去收貨,并想辦法套現(xiàn)��������!弊T亮告訴新京報(bào)記者���,之所以要選擇外省的地址,是因?yàn)槿绻慌e報(bào)�,警方跨省調(diào)查手續(xù)更復(fù)雜,可以拖延時(shí)間����。
李天明就發(fā)現(xiàn),他的建行卡被綁定在掌上生活���,并開通一網(wǎng)通服務(wù)后���,有人便開始在福建泉州����、河南濮陽(yáng)等地的商貿(mào)城進(jìn)行購(gòu)物��。另一名住在龍崗的受害者也告訴新京報(bào)記者�,她的銀行卡被綁定在交通銀行信用卡平臺(tái)——買單吧后,在廣東汕頭被進(jìn)行掃碼消費(fèi)����。
新京報(bào)記者實(shí)測(cè)上述兩個(gè)信用卡平臺(tái)發(fā)現(xiàn),在獲取驗(yàn)證碼的情況下���,均可以用他人手機(jī)號(hào)進(jìn)行注冊(cè),并綁定銀行卡���。驗(yàn)證手段也是姓名����、銀行卡號(hào)�、身份證號(hào)碼、手機(jī)驗(yàn)證碼。
“他們手段太多��,我怕合作后���,越陷越深���,最后失控��!弊T亮告訴新京報(bào)記者�����,他一直都是自己嗅探��、查資料��、“洗料”���,什么都懂一點(diǎn)����,但懂得不多�����。“我自己沒有洗料通道����,出不了錢,所以也就不可能盜刷很多錢���。我只會(huì)充Q幣�,包括最多的那筆5000元��,也全充了Q幣�������!
譚亮還告訴新京報(bào)記者�,由于盜刷需要到各類平臺(tái)查詢事主各類信息資料�,也衍生出了一些人專門幫忙查信息。
“還有人可能會(huì)通過黑產(chǎn)社工庫(kù)等違法手段獲取受害者的信息�。”周正告訴新京報(bào)記者���。地下“社工庫(kù)”掌握著眾多網(wǎng)站和網(wǎng)民的數(shù)據(jù)和信息���。
不過��,譚亮表示��,據(jù)其了解���,在目前的短信嗅探盜刷案件中,利用這類數(shù)據(jù)庫(kù)進(jìn)行查找用戶信息的較少�����,主要還是利用各類網(wǎng)站���、App本身的漏洞和缺陷����。
有待提高的驗(yàn)證手段
8月14日-16日���,新京報(bào)記者調(diào)查發(fā)現(xiàn)���,許多平臺(tái)已經(jīng)提升網(wǎng)絡(luò)安全系數(shù)�����。開通支付寶借唄需要人臉識(shí)別����,開通京東金條需要上傳身份證正反面��!熬〇|金條的開通�,我是十幾天前(注:采訪日期為8月15日)才聽說開始需要上傳審核資料的���������!弊T亮告訴新京報(bào)記者��。
在李天明被盜刷的7月6日�,犯罪嫌疑人輕易就開通了他的京東金條進(jìn)行借款���,“從短信驗(yàn)證碼看��,是凌晨4點(diǎn)48分申請(qǐng),4點(diǎn)49分就審核通過了�����,5點(diǎn)08分借款到賬�����。這肯定沒有人證合一的審核���。”
新京報(bào)記者發(fā)現(xiàn)�����,相對(duì)來說��,微信在非常用設(shè)備上登錄時(shí)的驗(yàn)證是最復(fù)雜的,需要“回答安全問題”、原設(shè)備“掃二維碼驗(yàn)證”����、“邀請(qǐng)好友輔助驗(yàn)證”。此外��,多個(gè)銀行的App系統(tǒng)也在近期升級(jí)�����,登錄驗(yàn)證難度較高�。
不過���,新京報(bào)記者實(shí)測(cè)也發(fā)現(xiàn),不少App在非常用設(shè)備上登錄�、修改密碼時(shí),驗(yàn)證手段依然不夠安全����。比如,支付寶在賬戶非常用設(shè)備上登錄�、修改登錄密碼�、修改支付密碼,進(jìn)而進(jìn)行轉(zhuǎn)賬��、付款����、提現(xiàn)���,都可以通過“短信驗(yàn)證碼+身份證號(hào)+銀行卡號(hào)”實(shí)現(xiàn)。
在京東商城App則可以通過“短信驗(yàn)證碼+歷史收件人姓名”進(jìn)行登錄���,并通過“短信驗(yàn)證碼+銀行卡號(hào)+身份證號(hào)”重置支付密碼。蘇寧易購(gòu)也可以通過手機(jī)驗(yàn)證碼直接登錄��,并使用“身份證號(hào)碼+手機(jī)驗(yàn)證碼”重置支付密碼�。
在銀行App方面�����,中國(guó)銀行、招商銀行��,也是采用姓名、銀行卡號(hào)���、身份證、驗(yàn)證碼的不同組合即可在非常用設(shè)備上登錄�。
這就意味著��,如果犯罪嫌疑人嗅探到用戶驗(yàn)證碼��,并利用多個(gè)手段獲取身份證號(hào)���、姓名����、銀行卡號(hào)�,即可在支付寶、京東��、蘇寧易購(gòu)等平臺(tái)上進(jìn)行消費(fèi)����。
不過,在網(wǎng)絡(luò)信息安全專家洪禾看來�����,目前國(guó)內(nèi)各大銀行App,以及支付寶�����、京東��、微信等平臺(tái),安全級(jí)別還是很高�,應(yīng)用本身并不存在危及用戶資金安全的明顯漏洞��!暗牵尤胍欢ǖ氖褂脠(chǎng)景��,情況就比較復(fù)雜了�����。比如,手機(jī)系統(tǒng)本身被破壞�、短信被嗅探,或者別的渠道泄露信息�,那這些App本身再安全也可能面臨風(fēng)險(xiǎn)�������!
事實(shí)上�,短信嗅探帶來的網(wǎng)絡(luò)安全問題���,已經(jīng)引起了業(yè)內(nèi)的注意。今年2月11日��,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織專家論證�,發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》����,指出由于2G網(wǎng)絡(luò)存在單向鑒權(quán)和短信內(nèi)容無加密傳輸?shù)染窒扌�,且短信截獲攻擊呈現(xiàn)工具化和自動(dòng)化趨勢(shì)�,使利用此類威脅實(shí)施攻擊的門檻大幅降低,基于短信驗(yàn)證碼實(shí)現(xiàn)身份驗(yàn)證的安全風(fēng)險(xiǎn)顯著增加��。
對(duì)此�,上述技術(shù)指引建議,“各移動(dòng)應(yīng)用����、網(wǎng)站服務(wù)提供商優(yōu)化用戶身份驗(yàn)證措施,選用一種或采用多種方式組合���,比如通過短信上行驗(yàn)證����、語(yǔ)音通話傳輸驗(yàn)證碼��、常用設(shè)備綁定�、生物特征識(shí)別�����、動(dòng)態(tài)選擇身份等驗(yàn)證方式�,加強(qiáng)安全性����!
其中�,短信上行驗(yàn)證是由用戶手機(jī)主動(dòng)發(fā)送指定短信內(nèi)容到各類應(yīng)用平臺(tái)進(jìn)行身份驗(yàn)證�����;常用設(shè)備綁定是指原則上支付、轉(zhuǎn)賬等敏感操作只能通過綁定的設(shè)備執(zhí)行�;生物特征識(shí)別是人臉識(shí)別��、指紋識(shí)別等�。
龍崗警方提醒�,如果手機(jī)收到來路不明的驗(yàn)證碼�,有可能嫌疑人正在攻擊手機(jī)����,這時(shí)候要立即關(guān)機(jī),或啟動(dòng)飛行模式;睡覺時(shí)盡量關(guān)機(jī)或采用飛行模式���。盡量關(guān)掉網(wǎng)站App上的免密支付功能,或者降低每日���、每筆最高限額。此外�����,如果看到銀行等金融機(jī)構(gòu)發(fā)來的驗(yàn)證碼�,但不是本人操作��,除了關(guān)閉手機(jī)�,還要盡快凍結(jié)銀行卡���,減少損失��。
新京報(bào)記者 陳景收 實(shí)習(xí)生 李想俁 張一川
關(guān)注樓主