来源:江苏网警
明明什么都没做。
手机没丢,卡也没丢。
二维码不扫描,链接不点击。
醒来发现钱不见了?
手机也莫名其妙的出现N个验证码。
最近在中国各地都有发生。
利用短信验证码盗窃钱财案
一些受害者甚至被莫名其妙地“贷款”
然后遭受了巨大的经济损失。
▼
一夜“无”
8月1日,网友@一个在冷江钓鱼的老人-雪在豆瓣发帖称,自己凌晨醒来发现手机一直在收到验证码,共计100多个,分别来自支付宝、JD.COM和银行。后来发现支付宝和相关银行卡的钱都被取走了;JD.COM开通金条白条功能,贷了一万多...
所有图片均为网络截图。
在长文中,该网友不仅抱怨了这一不幸经历,还指责了支付宝、JD.COM等平台的不作为。支付宝方面表示,之所以判定无法索赔,是因为该案与我自己的操作非常相似。
直到8月3日晚,支付宝对此做出回应,称先赔偿用户资金损失,再配合警方调查事实。
随后,JD.COM也明确表示,将对确认被盗的用户账户进行垫付,并免除用户的还款责任。
然而,像这样的案例并不是个例。
据广州警方介绍,近日,多地警方接到一系列可疑案件。很多人早上起来发现手机收到很多验证码和银行扣款短信。连网银APP登录账号和密码都被篡改,损失惨重。
警方介绍,骗子可以通过这种新技术实时获取用户手机的短信内容,然后利用各大知名银行、网站、移动支付app的技术漏洞和缺陷,实现信息窃取、资金窃取、网络诈骗等犯罪。
新型“伪基站”技术
震惊!这到底是什么新兴技术?公安社区V @江宁公安在线为此专门贴了一篇科普。
也就是说,这些人是被不法分子通过“GSM劫持+短信嗅探”的方式盗取或转移的!
犯罪分为以下四个步骤。
犯罪团伙基于2G移动网络下的GSM通信协议,对开源项目OsmocomBB进行修改优化,用专用手机组装成短信嗅探设备,便于携带和使用。
2.通过号码采集设备(伪基站)获取一定范围内的潜在手机号码,然后在一些支付网站或手机应用的登录界面通过“短信验证码登录”登录,再利用短信嗅探设备嗅探短信。
3通过第三方支付查询目标手机号,匹配对应的用户名和实名信息,利用这些信息从相关政府和医疗网站的社工处获取目标的身份证号,从相关网银的社工处获取目标的银行卡号,或者通过黑产社工库等非法手段。
由此可以把握目标的四大项:手机号、身份证号、银行卡号、短信验证码。
4.通过获得的四大件,进行与支付或贷款等资金流向相关的注册/绑定/解绑、消费、小额贷款、信用扣款等各种恶意操作,从而实现盗窃标的或信用卡诈骗犯罪。
但是,以上四个步骤只是基本原则。攻击者甚至可能干扰附近的手机信号,把4G变成2G信号,然后窃取短信信息。
这种攻击分为以下四个级别
1伪基站垃圾短信
2嗅探GSM消息
3将手机从3G/4G降级到2G
4 3G/4G中间人攻击
因为一般的短信嗅探技术只是同时获取短信,无法拦截短信,所以犯罪分子一般会选择在半夜作案,因为此时受害人正在睡觉,不会注意到异常短信。
虽然这种手法很难防范,但也不用太担心。
@江宁公安在线表示,目前大部分支付、银行app除了短信验证码外,往往还有图片验证、语音验证、人脸验证、指纹验证等诸多二次验证机制。
另外,如果只是验证码泄露,问题不大。被招募的用户大多泄露了其他重要的身份信息,比如身份证号,所以整体作案成功率不高。
如何防止盗刷
1.保护手机号、身份证号、银行卡号、支付平台账号等敏感隐私信息;
2.最简单的招数就是睡前关掉手机或者设置飞行模式。没有信号,短信嗅探器无法获取你的手机号码;
3.如果早上起床看到一条陌生的验证码短信,一定会认为自己可能遇到了短信嗅探攻击,赶紧查看自己的银行卡和支付应用。这时候如果发现钱被盗了,冻结银行卡,报警。
4.如果你突然发现手机信号变成了2G,你应该马上意识到你可能正在经历这样的攻击,并采取上述措施来保护自己。
5.据网友反映,一些银行APP的安全功能可以对此进行防范,比如开启常用设备管理,设置夜间非交易等。
此外,@江宁公安在线呼吁各大运营商和企业尽快采取有效的技术措施,尽快解决此类问题。这种方法能成功,“根本原因还是在于信息泄露!”
萧肃提醒道:
无法阻止GSM劫持。
其他信息泄露还是可以预防的!
睡觉前记得关手机。
不关机的飞行模式也是可以的。
来源:@江宁公安在线,@一个老人在冰冷的河水里钓鱼——雪,
守护者计划,360无线电安全研究所
江苏网警整理编辑
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"验证码诈骗案例,利用验证码诈骗":http://www.guoyinggangguan.com/xedk/227846.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
