資料圖:市民正在使用手機上網。中新社記者 侯宇 攝
中新網客戶端北京9月14日電(記者 吳濤)原來我們晚上入睡之後,手機也不安全。明明是在睡夢中,可手機卻收到銀行發來的驗證碼,然後账戶裡的錢就沒了?
北京移動的專家近日表示,這是因為騙子使用了“GSM劫持+簡訊嗅探技術”。他們通過這種技術獲取用戶手機簡訊內容,然後利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷,進行資訊竊取、資金盜刷和網絡詐騙等犯罪行為。
專家稱,以前,騙子會購買一些設備搭建“偽基地台”,利用2G移動通信的缺陷,假裝正規基地台,再冒充銀行、運營商給手機發送一些詐騙簡訊,或者為一些公司發送垃圾推廣廣告來實施詐騙。
後來,隨著一項GSM劫持技術被國際黑客界公布,不法分子不再滿足於隻給用戶發簡訊,而是想到要監視用戶簡訊。他們通過淘寶等電商網站購買一些單機設備,再通過安裝黑客開發的相關軟體,很方便就能組裝好一個GSM劫持設備。
那麽劫持設備的原理是什麽呢?專家表示,它的原理和偽基地台的原理差不多,但它的可怕之處在於——騙子通過這個技術,可以看到該基地台區域內用戶的所有簡訊內容,搞到用戶手機號碼,再通過登錄其他一些網站,利用社工手段搜到個人的銀行卡账號、身份證號,而這些用戶根本不會察覺。
專家還表示,而2G網絡使用的協定是一種較為老舊的單向鑒權GSM協定。單向鑒權就是說網絡會對終端的真實性進行驗證,但是終端不驗證網絡的真實性,這樣不法分子就可以使用一些特定設備假扮成運營商的網絡,與用戶手機進行通信,從而獲取用戶的資訊。
“在現在的4G協定中,手機和網絡會進行雙向鑒權並且進行完整性保護,因此4G網絡基本上不存在簡訊嗅探的問題。但是因為4G手機本身是支持2、3、4G網絡的,所以不法分子可以通過一定手段,迫使4G手機用戶回落到2G網絡上,從而繼續利用2G協定的問題進行簡訊嗅探。”
那麽,我們應該如何防範簡訊嗅探呢?
北京移動的專家給出了以下的建議:
1,在設定支付、轉帳等功能時,除簡訊驗證碼之外,還要結合強口令、U盾等方式,通過多因素身份驗證保障財產安全;
2,不要訪問不明網站、下載不明來歷的手機應用,在使用業務或訪問網站時注意設定不同密碼而且要定期修改,一定注意保護好個人銀行账號、身份證號等敏感資訊;
3,在手機裡安裝一些可攔截騷擾電話的軟體,並且定期對手機系統和安裝的應用進行安全檢測,避免一些惡意軟體盜取個人資訊;
4,此類犯罪也基本發生在後半夜,先看下自己的手機是不是標準入網手續的終端(非山寨機),如果是呢,睡覺前可以關閉移動網絡或者使用飛行模式,使用WIFI,實在不放心就關機;
5,看到奇怪的驗證碼和簡訊,要馬上意識到可能已被劫持攻擊,要馬上聯繫簡訊所屬的移動應用和網站服務提供商,並可考慮暫時關機;
6,如果自己的手機信號忽然從4G降到2G,可能會被騙子降維攻擊,請關閉手機的移動信號或者啟用飛行模式,避免被“掏空”。(完)
香港九龍灣馬來街興發大廈15樓D室