8月14日,深圳龙岗警方宣布打掉一个新型盗刷银行卡犯罪团伙,抓获10名嫌疑人,查缴伪基站等电子设备6套,带破同类案件50余宗,涉案金额逾百万元。据专家分析,嫌疑人通过“GSM劫持+短信嗅探”技术截获受害人短信验证码,从而完成盗刷等操作。截至目前,这是全国该类案件中打掉涉案人数最多、金额最大的一起。
“基于短信验证码实现身份验证的安全风险显著增加。”全国信息安全标准化技术..在《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》中指出。
网友遇怪事
梦中收短信网银被盗刷
7月30日凌晨5点,从梦中醒来的网友“独钓寒江雪”发现了一件怪事:“手机一直在震,一看,接收了100多条验证码,支付宝、京东、银行什么都有。吓得一下子清醒,去看支付宝,余额宝、余额和关联银行卡的钱都被转走了。京东开了金条、..功能,借走1万多元。”
人在睡梦中,手机在身边。是谁远程偷看了短信验证码,还利用短信验证码完成了转账购物借贷等操作?据了解,这是不法分子通过“GSM劫持+短信嗅探”技术,实时获取用户手机短信内容,窃取用户信息,盗刷用户账户。
“不法分子先使用伪基站获取用户手机号,再通过网上泄露的数据库,根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些网站启动..或交易,并利用和用户位置相近的特点窃取用户短信验证码。”北京大学信息科学技术学院副教授陈江说。
有业内人士形容,嗅探硬件“小的跟手机差不多,大得像行李箱,最低成本只用花一顿必胜客的钱”。腾讯守护者计划安全专家周正介绍,目前绝大多数移动互联网服务都采用以手机号和短信验证为基础的识别策略,但国内GSM的语音和短信业务鉴权和加密性偏弱。犯罪分子使用定制化、成本低、易携带的嗅探系统,获取受害人的手机号和短信验证码,进而实施犯罪。
