首頁>要聞>沸點 沸點
“短信嗅探”調查:監控你的短信,只要不到30元?
只針對2G信號?從4G降為2G也要小心
去年9月17日,2018國家網絡安全宣傳周——網絡安全博覽會開幕,有展館展出了多種網絡黑灰產作案工具,其中便包括能夠悄無聲息偷走手機短信的“2G短信嗅探設備”。
據介紹,2G短信嗅探設備總材料價格不足100元,但可以做到獲取周邊任何人的短信內容,危害特別大?;疽詮V播方式轉發到用戶手里的加密短信,可被這套設備所截取并破解還原出來,最終被黑產用戶實現信息竊取、資金盜刷和網絡詐騙等犯罪。此前此類犯罪只針對移動與聯通,不針對電信,同時這種犯罪只針對2G信號。
“但其實,手機在3G或4G時的特定情景下也有可能被監控到,原因是通過特殊設備壓制或者信號質量不佳導致信號降頻。”知道創宇404實驗室副總監隋剛告訴新京報記者。
“2G本來就是開源的,在數據傳輸過程中也沒有加密?!彼鍎傁蛐戮﹫笥浾呓榻B說,在短信嗅探中,C118手機只是扮演著一個偽基站的角色。
偽基站又稱“假基站”,可以利用移動信令監測系統監測移動通訊過程中的各種信令過程,獲得手機用戶當前的位置信息。按照通信協議世界的“游戲規則”,誰來先跟你“握手”,設備便會優先作出回應。偽基站啟動后就會干擾和屏蔽一定范圍內的運營商信號,之后則會搜索出附近的手機號,主動握手,并將短信發送到這些號碼上。屏蔽運營商的信號可以持續10秒到20秒,短信推送完成后,對方手機才能重新搜索到信號。
給不法分子可乘之機的,卻是2G網絡的天然缺陷?!?G網絡其架構本身就是開源的,其使用的GSM協議也都是明文傳輸。因為并沒有加密,所以在傳輸的過程中就可以嗅探到。將C118連接至電腦,然后用類似Wireshark的網絡抓包工具直接抓包,就可以抓出來通信過程中的所有指令?!彼鍎傉f。
其實,聽起來駭人聽聞的GSM短信嗅探技術并非沒有自己的軟肋。據隋剛介紹,GSM短信嗅探技術的短板,主要有兩方面,“一方面是摩托羅拉C118發射功率有限,黑產從業者只有在‘獵物’附近時才能實現嗅探,距離被嚴重限制;另一方面是這種方法獲取的信息比較單一,只能獲取短信驗證碼,所以只能做與短信驗證碼相關的事情?!?/p>
隋剛說:“我們能做的事情還有很多,比如說U盾等實體二步認證硬件就可以很好地防范這種攻擊?!?/p>
全鏈條:獲取身份證號、銀行賬號、支付賬號
新京報記者進一步調查發現,GSM短信嗅探攻擊已基本實現全鏈條化。在電信用戶的短信驗證碼、手機號碼被劫持的的基礎上,黑產從業者可以通過社工庫等方式獲取身份證號碼、銀行賬號、支付平臺賬號等敏感信息。
在一個名為“C118研究社嗅探學習群”的QQ群中,一則與查詢個人信息相關的廣告顯示,“可查卡查證”。有媒體曾在報道中提及,記者花費700元就買到同事行蹤,包括乘機、開房、上網吧等11項記錄。在另一個名為“短信設備”的QQ群中,一名自稱出售短信號碼采集器的賣家表示,“通過號碼采集器可以采集到一定范圍的手機號碼?!?/p>
在這個QQ群里,共聚集著377名黑產從業者。每天,如何“賺大錢”成為群內學習和討論的焦點。
那么,黑產從業者是如何通過手機號來查到多種個人信息的呢?新京報記者發現,通過社工庫并不難實現個人信息的查詢。所謂社工庫,即一個數據資料集合庫,包含有大量被泄露的數據。通過這些數據,社工庫的使用者可以輕易勾勒出一幅用戶的網絡畫像。
有接近黑灰產的人士指出,隨著國內監管愈發嚴格,社工庫一般只供黑產團伙內部使用。并且,目前灰產從業者有向國外轉移的趨勢。在暗網上的某個交易市場中,新京報記者發現大量包含“個人信息查詢”的交易帖。其中一則帖子中顯示,可以查戶籍信息、開房信息、婚姻、寬帶。在該交易帖中,根據查詢信息不同,價位也從0.014BTC-0.15BTC不等。交易信息一覽中顯示,該商品單價為1美元,用戶可以通過調整購買數量來滿足不同需求。在不可追蹤的暗網交易市場中,該服務“頗有賣相”,截至4月28日,該商品顯示已被購買1368次。
■ 分析
短信驗證碼安全嗎?
愈演愈烈的黑產,引發人們對手機短信驗證碼本身是否足夠安全的討論。有關人士表示,現在手機驗證碼能做到的東西(轉賬、實名等)已經遠遠超出了它本身安全性的范圍。
據《2018網絡黑灰產治理研究報告》估算,2017年我國網絡安全產業規模為450多億元,而黑灰產已達近千億元規模;全年因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。而且電信詐騙案每年以20%至30%的速度在增長。
另據阿里安全歸零實驗室統計,2017年4月至12月共監測到電信詐騙數十萬起,案發資金損失過億元,涉及受害人員數萬人,電信詐騙案件居高不下,規模化不斷升級。2018年,活躍的專業技術黑灰產平臺多達數百個。
那么,面對規模如此龐大的黑灰產,短信驗證碼是否已經顯得捉襟見肘了呢?對此,隋剛認為,雖然在嗅探的情景下,短信驗證碼并不安全,但是就目前來說,短信驗證碼仍是一個切實可行的方案。
“就目前情況來看,如果將短信驗證碼換成其他的驗證方式,無形之中肯定會加大使用成本?!彼鍎偢嬖V新京報記者,“安全是相對的,就看愿意付出多大的代價。與便捷性相平衡,短信驗證碼相對合適。安全本身就是提升攻防雙方的成本,并沒有絕對的安全?!?/p>
如何防范短信嗅探?
那么如何防止被黑產截獲短信呢?2018年2月,全國信息安全標準化技術委員會秘書處發布《網絡安全實踐指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》。
該指引指出,攻擊者在截獲短信驗證碼后,能夠假冒受害者身份,成功通過移動應用、網站服務提供商的身份驗證安全機制,實施信用卡盜刷等網絡犯罪,給用戶帶來經濟損失。指引同時指出,缺陷修復難度大。目前,GSM網絡使用單向鑒權技術,且短信內容以明文形式傳輸,該缺陷由GSM設計造成,且GSM網絡覆蓋范圍廣,因此修復難度大、成本高。攻擊過程中,受害者的手機信號被劫持,攻擊者假冒受害者身份接入通信網絡,受害者一般難以覺察。
那么,面對GMS短信嗅探的威脅,我們是否真的束手無策呢?有專家建議,用戶可以要求運營商開通VoLTE功能(一種數據傳輸技術),從而防范短信被劫持的可能。“也就是說,不再使用2G網絡傳輸短信,而是讓短信通過4G網絡傳輸,從而防范無線監控竊取短信。”也有專家認為,運營商應盡快替換掉2G網絡。通信運營商應考慮加快淘汰2G網絡技術,以更大程度確保信息安全。據介紹,在國際上,2G網絡已被諸多運營商所拋棄。
上述指引也建議各移動應用、網站服務提供商優化用戶身份驗證措施,選用一種或采用多種方式組合,加強安全性:如短信上行驗證(提供由用戶主動發送短信用以驗證身份的功能)、語音通話傳輸驗證碼、常用設備綁定、生物特征識別、動態選擇身份驗證方式等。
新京報記者 李大偉
編輯:周佳佳
關鍵詞:“短信嗅探”