邹晓东告诉紫牛新闻记者,笼统说有4种攻击短信验证码的方法,其中两种不需要伪基站。更可怕的是,在4种方法里,有3种可以把短信拦截下来,不让受害者的手机接收到。如果看不到手机上出现莫名其妙的验证码和消费提示,受害者可能根本不知道账户遭到攻击。
邹晓东说,看起来最近这些受害者遇到的是最低级的一种攻击方法,而且全部攻击设备最低只用100~200元就能搞定。因为比较低级,难度不大,容易被黑色产业者掌握,产生较大社会影响。
早在2011年,手机通讯的GSM网络就已经遭到破解。GSM网络除了可以通话,还能传送短信。虽然现在手机通讯普遍升级到安全性更高的4G网络,但GSM网络还在同时发挥作用。
犯罪分子利用干扰器等设备把周围的手机驱赶到GSM网络,然后就可以侦听受害者的短信验证码。
另外,现在个人信息泄露非常严重,个人用户的手机号、身份证号码、银行卡号、家庭和工作地址等等信息,几乎都能以非常低的价格买到,如果掌握了用户的手机号和短信验证码,对于攻击者来说,这样的用户基本上就等于透明的。
银行和第三方支付..在验证用户身份时,如果只通过短信,对此这类攻击者来说,就毫无安全性可言。
有人建议用户晚上关掉手机,以此防范短信验证码攻击。对此邹晓东说,“关机或者飞行模式有用,但是别忘了开机时仍然会被攻击,而且有多种办法让受害者手机收不到或者不提示短信。”
存在漏洞不及时改进
商家应承担主要责任
邹晓东说:“从黑客角度看,没有谁家系统是百分百安全的,各家服务在设计的时候也不可能追求百分百安全,都为了易用性做了一定的折衷。用户和商家过去都享受了易用性带来的好处,只要安全风险控制在一定范围内,就不会去较真。当黑产的攻击威胁加大时,商家就应该及时响应,增加安全措施。同时,易用性过去给商家带来的好处多于给个体用户的好处,所以从道义上,就深圳这个事件,商家应该承担多数损失。”
