每日最新頭條.有趣資訊

存款盜刷調查:偽基地台操控手機驗證碼

李天明收到的各類驗證碼。受訪者供圖

警方查獲的作案工具。犯罪嫌疑人通過偽基地台和嗅探設備獲取手機號和簡訊驗證碼。新京報記者 陳景收 攝

“一夜醒來,卡上存款不翼而飛。”近日,全國多地接連發生多起銀行卡被盜刷事件。深圳市龍崗警方歷時一個多月,打掉一個涉嫌全鏈條盜刷銀行卡的團夥,抓捕10名嫌疑人,涉案金額逾百萬元。

在此之前,鄭州、廣州、廈門等地警方也相繼破獲類似案件。這些銀行卡盜刷案件作案手段一致,均是利用手機2G網絡(GSM)不加密傳輸的漏洞,通過偽基地台和簡訊嗅探器,在一定範圍內獲取用戶手機號碼和簡訊驗證碼。之後,再利用各大銀行、網站、移動支付APP存在的漏洞和缺陷,實現資訊竊取、資金盜刷。

“這種盜刷方式危害性很大。不同於以往電信詐騙需要受害人配合,而是在你不知不覺的情況下,就盜刷了。”深圳市警察局龍崗分局龍新派出所所長佔小明告訴新京報記者。

新京報記者了解到,由於嗅探設備、偽基地台操作簡單,以及各類APP身份驗證方式簡單,此類盜刷的門檻較低,存在較大的安全隱患。

對此,騰訊守護者計劃安全專家周正認為,運營商應該提高4G網絡覆蓋率和穩定性,強製語音和簡訊業務也走4G通道;而各類APP應用應該通過常用設備綁定、账號異常行為強校驗、增加人臉識別驗證等手段,增強APP身份驗證的難度。

睡覺時,銀行卡被盜刷

7月6日凌晨五點半左右,家住深圳龍崗上壟塘的李天明(化名)在睡夢中被持續的手機震動聲吵醒。他起床發現手機連續收到了數十條簡訊驗證碼和消費通知。驗證碼的平台包括途牛網、瓜子二手車、支付寶、京東等。

“我當時感到很驚訝,手機都沒動,怎麽會出現這種情況?”李天明告訴新京報記者,他通過簡訊消費通知發現,其綁定在京東上的興業銀行卡正在被消費。

李天明登錄京東查看情況,卻發現登錄密碼也已經被重置。根據簡訊顯示,他的京東支付密碼和登錄密碼分別於當天4時42分、5時32分被修改。“我趕緊打電話給興業銀行,進行掛失,將账戶凍結。”事後,李天明感到慶幸,由於處理及時,他的興業銀行卡只被盜刷了6000塊錢,而他那張卡餘額有26000元。

不過,李天明的損失不止這些。盜刷者還替他開通了京東金條,並成功借款1.1萬元。“這筆借款是打到我的一張建行卡上。”簡訊資訊顯示,李天明的京東金條借款於5時8分到账。之後,盜刷者用李天明的手機號碼在招商銀行信用卡平台——掌上生活注冊了一網通账號,並開始消費。

在這次盜刷中,李天明總共損失了1.7萬元。剛開始,他找京東理賠遭到拒絕,因為一切行為都像是李天明自己在操作。“所有的步驟都需要簡訊驗證碼,借款也是打到我自己的卡裡。犯罪分子竊取我的資訊後,在網上他就是我。”李天明說。

網友“獨釣寒江雪”也遭遇了和李天明同樣的情況。8月1日,“獨釣寒江雪”在豆瓣上發帖《這下一無所有了》,講述自己被盜刷的經歷。

根據上述帖子,7月30日凌晨5點,“獨釣寒江雪”發現自己的手機接收到了100多條簡訊驗證碼,支付寶、餘額寶裡的餘額、關聯銀行卡的錢都被轉走了。京東還被開通了金條、收據功能,借款10000多元。

起初,支付寶、京東同樣拒絕理賠,原因也是認為這是“獨釣寒江雪”本人操作。支付寶相關人士此前在接受媒體採訪時表示,從當晚操作的狀態來看,登錄账戶、修改密碼、購物、提現的校驗全部一次通過,像是账戶本人或是熟人操作。

銀行卡被盜刷後,李天明到龍新派出所報案,“警察說,最近已經接到多起類似的報案,是犯罪嫌疑人通過簡訊嗅探作案。”

“這是一種新型的侵財犯罪行為,之前很少見。”龍新派出所一位辦案民警告訴新京報記者,最初接到報案的時候,連他們也不太相信會有這種情況發生,“當時正好也是世界杯期間,我自己心裡還以為事主是賭球輸了,沒法跟家人交代,編造的借口。”

2G網絡傳輸漏洞

接到報警後,龍新派出所開始調查,了解到近期深圳及全國各地均有同類案件發生。“後來我們派出所也陸續接到了多起同類報案。”龍新派出所所長佔小明告訴新京報記者。

隨後,龍崗分局組織成立了專案組全面展開偵查。龍崗警方發現,此案件中,犯罪嫌疑人是利用偽基地台、簡訊嗅探器,在一定距離內,盜取受害者手機號、簡訊驗證碼,之後再實施針對移動支付、互聯網金融、社交軟體等APP應用的資訊竊取、資金盜刷、網絡詐騙等。

今年三四月,此案中的犯罪嫌疑人譚亮(化名)在QQ群中看到,有人發布資訊售賣簡訊嗅探設備。“一開始覺得很好奇,別人的簡訊我都可以偷看到。”

譚亮此前在電子廠工作,大學期間,因愛好電腦技術,時常幫同學修電腦。他屬於“技術控”,經常混跡在各種電腦技術討論群。

5月,譚亮購買了一套簡訊嗅探設備。由於本身具備一定的技術基礎,譚亮很快就學會了這套設備的使用。不過,很快他便發現,隻嗅探別人簡訊,除了偷窺隱私,沒有別的用處,“只看到了一堆簡訊,但是不知道是哪個手機的。”

“一開始只是對嗅探技術好奇,但QQ群裡,有人經常在發資訊,說又盜刷了多少錢,慢慢就動心了。”譚亮告訴新京報記者,後來他了解到如果要看到手機號碼,還需要“手機號碼采集器”。這一裝置主要組成部分是一個偽基地台。

偽基地台之所以能發揮作用,實際上利用的是2G網絡單向鑒權的缺陷。

所謂鑒權,是手機用戶與移動通訊網絡之間的認證機制,也就是,兩者之間要進行身份識別。不過,根據中國移動通信集團公司研究院高級工程師粟栗2017年發表的《移動通信網2G/3G/4G互操作風險分析與防護方案》,在2G網絡中,鑒權是單向的,即僅要求網絡對用戶進行認證,而用戶不對網絡的真實性進行鑒權。因此,在2G網絡條件下,攻擊者可將偽基地台信號強度放大,從而強製用戶接入。也就是說,在2G網絡條件下,基地台可以鑒定手機的合法性,但是手機無法鑒定基地台的合法性。這也就使得假冒的基地台(偽基地台)可以與手機進行連接通信。

“通過號碼采集器,就可以把附近2G製式下的手機號碼都吸附過來,形成虛擬撥號,撥到一個系統指定的手機上,這樣就能看到附近人的手機號碼。與簡訊嗅探器一起使用,就可以將手機號碼和簡訊驗證碼進行匹配。”譚亮說。

“目前,絕大部分的移動互聯網應用服務,都是以用戶手機和簡訊驗證為基礎的安全策略。”騰訊守護者計劃安全專家周正告訴新京報記者,犯罪嫌疑人只要截獲用戶移動通訊的核心資訊:簡訊驗證碼,即可盜刷。而國內2G網絡的語音和簡訊業務單向鑒權、缺乏有效加密,且明文傳輸,通訊安全性較差,使得簡訊驗證碼存在被劫持和嗅探的風險。

事實上,2G網絡資訊嗅探技術在幾年前就已經出現。據公開資訊,2009年,德國電腦工程師卡爾斯頓·諾爾就宣布,他已經破解了GSM技術的加密算法,並將破解後的代碼放到網上供人下載。利用這些代碼,一台個人電腦、一部無線電接收裝置就可截獲移動電話用戶的語音資訊。

此後,針對GSM協定的破解越來越成熟,衍生出了多個開源項目。2010年,OsmocomBB項目誕生,可以控制並篩選周圍基地台發來的一切資訊。目前,這已成為網絡上針對2G手機監聽使用最多的開源項目。而其硬體組成則十分簡單——一部手機、一台電腦和幾根串口線。

“本案中,犯罪團夥就是利用OsmocomBB開源技術,組裝搭建GSM劫持設備和環境。”周正告訴新京報記者。

而目前,網絡上很容易檢索到相關教程,這使得嗅探設備的搭建和使用門檻大大降低。“就算你不懂技術,不會搭建,也可以買整套設備,賣設備的人也會告訴你怎麽使用。”譚亮告訴新京報記者。

利用網站、APP漏洞

有了號碼采集器和簡訊嗅探器,譚亮開始嘗試著盜刷。他告訴新京報記者,拿到受害者的手機號和簡訊驗證碼後,要實現盜刷,還需要滿足很多條件。最關鍵的是,要能夠通過多個平台找到受害者的姓名、身份證號、銀行卡號等資訊;此外,受害者銀行卡裡還得有錢,或者有借貸資格。

“我聽說,也有人是先購買了別人的各種資訊,再有針對性地跑到別人家附近,通過信號干擾,將其手機號碼降頻到2G,進行嗅探。”譚亮告訴新京報記者,這種作案方法叫作“精準嗅探”,不過成功率很低,“並不是說,你想攔截誰,就能攔截誰的。”

知名通信行業觀察家項立剛告訴新京報記者,當手機連接的是4G網絡時,就不會成為簡訊嗅探攻擊的對象。但是,2G網絡發展歷史比較久,基地台覆蓋面廣,信號較強,有些地方如果4G信號弱,手機也會自動連接到2G,就可能被嗅探。此外,犯罪分子也可能通過技術手段干擾4G網絡,讓附近的手機自動降頻到2G。

譚亮說,他的作案方式是“廣撒網”。選擇人群密集的地方,打開嗅探設備,將周圍能嗅探到的2G手機號碼和簡訊都攔截下來,再去搜查事主資料。目前能獲取到的事主個人資訊多是利用網站、各類APP本身存在的漏洞進行查詢。

譚亮記得,國內某銀行的網頁只需要用戶手機號和簡訊驗證碼就可登錄,登錄後,雖然用戶的銀行卡號部分數字是隱藏的,但只要點擊頁面源代碼,就可以在代碼中尋找到完整的銀行卡號。

國內某移動支付平台則是泄露用戶身份證號的主要管道。“登錄該支付平台,身份證號碼也是有隱藏的。但是,平台上的一些合作企業服務號通常可以獲得授權,直接獲取用戶資訊,就在這些服務號上泄露了身份證號碼。”譚亮告訴新京報記者。不過,8月14日,他應警方要求,再次演示從該平台獲取用戶身份證資訊時,發現該漏洞已經被堵上了。

除了技術漏洞,周正告訴新京報記者,在簡訊驗證碼可以被截獲的情況下,一些網絡平台、銀行網站,原本正常提供給公眾、政企的查詢接口也會被盜刷者所利用,進行資訊查詢,相互匹配,之後在金融平台新注冊、開通借貸服務、消費變現。

譚亮的供述印證了上述觀點,“在某銀行的APP登錄後,只需要簡訊驗證碼,就可以查看完整銀行卡號。”

“不同平台可查詢到的資訊可能不同,就得多個平台的資訊進行拚湊。”譚亮告訴新京報記者,這也決定了此類盜刷的成功率很低,“有時候查詢不到完整的資料,或者有資料,但是账戶沒錢。”

據譚亮說,從今年5月份開始作案,到8月份被抓,他總共盜刷成功5次,最大的一筆是5000元,盜刷的第一筆錢只有300元,是通過對方的京東收據給自己QQ充了Q幣。“當時,事主的銀行卡裡面都沒有餘額,只有收據有300元的額度。”

全鏈條團夥

譚亮認為,他之所以盜刷金額不高,很重要的原因是他一直都是單乾。此類盜刷,犯罪嫌疑人通常采取團夥作案,各司其職,有的負責銷售設備、有的進行嗅探作案,還有的進行洗錢。

譚亮告訴新京報記者,在行業內,負責盜刷的人被稱為“料主”,洗錢環節稱為“洗料”,通常的做法是“料主”把消費所需要的手機號、驗證碼提供給“洗料”的人;後者進行銷售變現。“一般是買油卡、充Q幣這類虛擬商品,這樣可以不需要收貨地址,更安全。”

高浩波(化名)從今年5月份開始幫此案中另一名犯罪嫌疑人劉某洗錢。他告訴新京報記者,他洗錢的手法,就是協助劉某將盜刷的錢充油卡進行套現。

高浩波告訴新京報記者,劉某告訴他,有門路可以七折優惠充油卡。高浩波將劉某的7折優惠,轉手給他人8折優惠,從中賺取10%提成。“到我被抓,總共賺了1000多塊錢。”

李天明在京東平台上被盜刷的6000元興業銀行存款,也是用於購買虛擬商品。“買了一個電視會員卡499.9元,四張加油卡,分別是兩張1000元,兩張1920元。”

據譚亮介紹,之所以需要“洗料”,除了將贓款洗白,還可以逃避各類電商平台的風控機制。“很多電商平台,如果你消費金額過大或頻次過多,系統認為消費異常,就會啟動風控機制,將账戶凍結。這樣,就算盜刷了一大筆錢,也出不了。因此,就有人專門研究各種洗錢通道,幫助套現。”

在譚亮看來,受害者李天明的建行卡之所以會被綁定在其他平台上進行消費,可能就是盜刷者在逃避京東的風控機制。“把卡綁定在別的平台後,可以在異地到各個不同的消費場所或平台去購物,再套現。”

為了洗出更多的錢,犯罪分子還會鋌而走險,購買實物商品。“這種情況,一般是寄到外省,找一個沒有監控的收貨地址,讓專人去收貨,並想辦法套現。”譚亮告訴新京報記者,之所以要選擇外省的地址,是因為如果被舉報,警方跨省調查手續更複雜,可以拖延時間。

李天明就發現,他的建行卡被綁定在掌上生活,並開通一網通服務後,有人便開始在福建泉州、河南濮陽等地的商貿城進行購物。另一名住在龍崗的受害者也告訴新京報記者,她的銀行卡被綁定在交通銀行信用卡平台——買單吧後,在廣東汕頭被進行掃碼消費。

新京報記者實測上述兩個信用卡平台發現,在獲取驗證碼的情況下,均可以用他人手機號進行注冊,並綁定銀行卡。驗證手段也是姓名、銀行卡號、身份證號碼、手機驗證碼。

“他們手段太多,我怕合作後,越陷越深,最後失控。”譚亮告訴新京報記者,他一直都是自己嗅探、查資料、“洗料”,什麽都懂一點,但懂得不多。“我自己沒有洗料通道,出不了錢,所以也就不可能盜刷很多錢。我只會充Q幣,包括最多的那筆5000元,也全充了Q幣。”

譚亮還告訴新京報記者,由於盜刷需要到各類平台查詢事主各類資訊資料,也衍生出了一些人專門幫忙查資訊。

“還有人可能會通過黑產社工庫等違法手段獲取受害者的資訊。”周正告訴新京報記者。地下“社工庫”掌握著眾多網站和網民的數據和資訊。

不過,譚亮表示,據其了解,在目前的簡訊嗅探盜刷案件中,利用這類數據庫進行查找用戶資訊的較少,主要還是利用各類網站、APP本身的漏洞和缺陷。

有待提高的驗證手段

8月14日-16日,新京報記者調查發現,許多平台已經提升網絡安全系數。開通支付寶借唄需要人臉識別,開通京東金條需要上傳身份證正反面。“京東金條的開通,我是十幾天前(注:採訪日期為8月15日)才聽說開始需要上傳審核資料的。”譚亮告訴新京報記者。

在李天明被盜刷的7月6日,犯罪嫌疑人輕易就開通了他的京東金條進行借款,“從簡訊驗證碼看,是凌晨4點48分申請,4點49分就審核通過了,5點08分借款到账。這肯定沒有人證合一的審核。”

新京報記者發現,相對來說,微信在非常用設備上登錄時的驗證是最複雜的,需要“回答安全問題”、原設備“掃二維碼驗證”、“邀請好友輔助驗證”。此外,多個銀行的APP系統也在近期更新,登錄驗證難度較高。

不過,新京報記者實測也發現,不少APP在非常用設備上登錄、修改密碼時,驗證手段依然不夠安全。比如,支付寶在账戶非常用設備上登錄、修改登錄密碼、修改支付密碼,進而進行轉账、付款、提現,都可以通過“簡訊驗證碼+身份證號+銀行卡號”實現。

在京東商城APP則可以通過“簡訊驗證碼+歷史收件人姓名”進行登錄,並通過“簡訊驗證碼+銀行卡號+身份證號”重置支付密碼。蘇寧易購也可以通過手機驗證碼直接登錄,並使用“身份證號碼+手機驗證碼”重置支付密碼。

在銀行APP方面,中國銀行、招商銀行,也是採用姓名、銀行卡號、身份證、驗證碼的不同組合即可在非常用設備上登錄。

這就意味著,如果犯罪嫌疑人嗅探到用戶驗證碼,並利用多個手段獲取身份證號、姓名、銀行卡號,即可在支付寶、京東、蘇寧易購等平台上進行消費。

不過,在網絡資訊安全專家洪禾看來,目前國內各大銀行APP,以及支付寶、京東、微信等平台,安全級別還是很高,應用本身並不存在危及用戶資金安全的明顯漏洞。“但是,加入一定的使用場景,情況就比較複雜了。比如,手機系統本身被破壞、簡訊被嗅探,或者別的管道泄露資訊,那這些APP本身再安全也可能面臨風險。”

事實上,簡訊嗅探帶來的網絡安全問題,已經引起了業內的注意。今年2月11日,全國資訊安全標準化技術委員會組織專家論證,發布《網絡安全實踐指南——應對截獲簡訊驗證碼實施網絡身份假冒攻擊的技術指引》,指出由於2G網絡存在單向鑒權和簡訊內容無加密傳輸等局限性,且簡訊截獲攻擊呈現工具化和自動化趨勢,使利用此類威脅實施攻擊的門檻大幅降低,基於簡訊驗證碼實現身份驗證的安全風險顯著增加。

對此,上述技術指引建議,“各移動應用、網站服務提供商優化用戶身份驗證措施,選用一種或採用多種方式組合,比如通過簡訊上行驗證、語音通話傳輸驗證碼、常用設備綁定、生物特徵識別、動態選擇身份等驗證方式,加強安全性。”

其中,簡訊上行驗證是由用戶手機主動發送指定簡訊內容到各類應用平台進行身份驗證;常用設備綁定是指原則上支付、轉账等敏感操作只能通過綁定的設備執行;生物特徵識別是人臉識別、指紋識別等。

龍崗警方提醒,如果手機收到來路不明的驗證碼,有可能嫌疑人正在攻擊手機,這時候要立即關機,或啟動飛行模式;睡覺時盡量關機或採用飛行模式。盡量關掉網站APP上的免密支付功能,或者降低每日、每筆最高限額。此外,如果看到銀行等金融機構發來的驗證碼,但不是本人操作,除了關閉手機,還要盡快凍結銀行卡,減少損失。

新京報記者 陳景收 實習生 李想俁 張一川

獲得更多的PTT最新消息
按讚加入粉絲團