网上的诈骗手段真的是越来越高,现在发生了一件怪事,有人说一夜醒来发现自己所有的财产不见了,还开通了网贷,不仅没有钱了,现在还欠钱,你说别人狠不狠。一起来了解一下这种新型的诈骗手段。
据网络安全平台公布的消息显示,不少用户通过社交平台表示自己遇到了“怪事”。
据受害网友描述,自己在熟睡的晚上,手机莫名地收到多个支付平台和第三方金融应用的登录验证码短信,随后便是修改密码、设置新密码的验证码短信,最后就是账户的钱被转出,甚至被开通网上贷款。
当受害网友一觉醒来,发现手机收到如此多的短信,一夜之间自己账户存款不翼而飞,甚至还因为“被网贷”而欠下一笔巨资后,往往已经是于事无补。
据南方日报记者了解,类似的网络盗窃案从今年开始在全国各地都时有发生,其中7月在广州警方破获的一起案件中,犯罪团伙自6月份以来已作案16宗。
其实,这是一种最新型的诈骗手法。
骗子通过“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
截至今年6月,广州警方已陆续破获多起此类案件。据悉,犯罪团伙大多选择凌晨作案,无需直接与事主接触,因此大部分事主无法及时察觉资金被盗。
这种攻击(‘GSM劫持+短信嗅探技术’)的原理是因为GSM短信没有加密,所以不法分子可以用一些窃听手法听到短信内容。
攻击者只听到短信,其实没什么用,短信验证码需要配合网站或者APP的验证过程才能起作用。
所以,攻击者必须要知道目标的手机号码,可能还需要其他信息,例如身份证号,银行账号等等,其实这些信息可以通过‘撞库’,或者通过侵入某些应用的账户来获得。
据介绍,不法分子只需要一个2G伪基站+一个2G伪终端,让目标手机接入2G伪基站,然后用2G伪终端冒充目标手机,接入运营商网络。
在连接过程中,需要鉴权信息的时候,就从目标手机获取。
在连上网络之后,向外呼出一个电话,到攻击者能看到的一个手机上,攻击者通过来电显示就看到了手机号码。
事实证明,在不少案例中,受害者都反映其通话记录中会有一个外呼的电话,这个电话就有可能是用于获取手机号码的。
只要数据流量、通话、短信走3G或者4G通道,安全系数还是比较高的。短板就是2G网络。
长期处于2G的一些老式手机,或者双卡手机其中一张卡是2G,所有电话短信和流量走2G的用户,都是“GSM劫持+短信嗅探技术”攻击的潜在对象。
资料显示,在今年年初,在全国信息安全标准化技术委员会(简称“TC260”)秘书处牵头下,三大运营商和各互联网公司的安全专家们一起编制了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,提出多项加强身份验证安全性的建议,除短信验证码外还新增了短信上行验证、语音通话传输、常用设备绑定、生物特征识别、动态选择身份验证方式等诸多二次验证机制。
难点在于,现在我们还不能彻底抛弃短信验证码。中国网民跟国外网民的不同点是,国外网民是从PC时代过来的,习惯于使用邮箱,用户名密码。
中国网民是从移动互联网时代成长起来的,手机就是唯一的标识。
APP平台对于短信验证码用还是不用的问题一直处于争论当中,但基本上都保留了短信验证码通道,因为这个通道的“可用性”是最优先的。
要实现‘GSM劫持+短信嗅探技术’攻击会让手机的‘动静’比较大,这个也是犯罪分子大多选择后半夜作案的原因。
腾讯安全的技术人员表示,作为普通网民来说,最简单的一招就是睡觉前关机。手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。
如果发现手机收到来历不明的验证码,表明此刻犯罪分子可能正在撞库或者利用某些漏洞来确定你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。另外还要注意自己手机信号模式改变。
在稳定的4G网络环境下,手机信号突然降频“GSM”、“G”或者无信号时,警惕遇到黑客实施的强制“降频”及GSM Hack攻击,要及时更换网络环境,重新连接真实基站,检查移动APP异常恶意操作情况。
使用“VoLTE”保护信息安全:
在手机设置中开启“VoLTE”选项,目前主流安卓或iphone手机均已支持。(VoLTE:Voice over LTE,是一种数据传输技术,无需2G或3G,可实现数据与语音业务在4G网络同时传输)同时,用户最好关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;
如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。
这种骗子实在是太多了,所以我们一定要警惕呀。