|
經(jīng)技術(shù)分析�,該用戶被犯罪份子用“GSM劫持+短信嗅探”的方式,把上述金融機(jī)構(gòu)平臺中用戶的錢盜刷或轉(zhuǎn)移了��。具體的實現(xiàn)方法是:首先�����,犯罪份子基于GSM通信協(xié)議進(jìn)行惡意的人為的修改�,組裝起便攜式的短信嗅探設(shè)備;然后�����,通過傳統(tǒng)的偽基站收集一定地理位置范圍內(nèi)的用戶的手機(jī)號碼,然后利用這些號碼嘗試登陸支付寶等支付平臺��,選擇“短信驗證碼登錄”等方式觸發(fā)平臺發(fā)送驗證短信���,這時犯罪分子手中的短信嗅探設(shè)備就能嗅探到這些短信����,獲取到驗證碼����;登錄到這些支付平臺后,犯罪分子就能查詢到目標(biāo)手機(jī)號碼所對應(yīng)的用戶名和實名信息����,利用這些實名信息,進(jìn)而通過政務(wù)����、醫(yī)療、交通等系統(tǒng)等漏洞獲取到用戶的身份證號碼�,并通過網(wǎng)上銀行或者網(wǎng)上的黑色產(chǎn)業(yè)鏈獲取用戶的銀行卡號。至此�,犯罪分子一步一步獲取到了用戶互聯(lián)網(wǎng)生活的“四大件”:手機(jī)號碼��、身份證號碼�����、銀行卡號����、短信驗證碼�。 掌握了這“四大件”����,犯罪分子將無所不能,包括實施各類與支付或借貸等資金流轉(zhuǎn)相關(guān)等注冊/綁定/解綁��、消費�����、轉(zhuǎn)賬�、透支、貸款�、信用抵扣等金融行為,卷走用戶各類支付平臺和銀行卡中的積蓄就是分分鐘的事情���。 值得注意的是�,短信嗅探技術(shù)只能獲取短信,并不能攔截發(fā)至用戶手機(jī)的短信�,因此,犯罪分子一般都會在深夜里作案���,因為這時候大部分都在酣睡中����,不會發(fā)覺到異常短信而中斷其不法行為�。 
這整個過程中的一個最關(guān)鍵的節(jié)點在于“驗證短信的獲取”,所以公眾一旦發(fā)生類似的詐騙事件�����,第一時間會責(zé)難電信運營商���,當(dāng)然�,這個“鍋”��,運營商肯定是甩不掉的����,畢竟運營商本身肩負(fù)著給用戶提供安全可靠的網(wǎng)絡(luò)服務(wù)的責(zé)任���,這個網(wǎng)絡(luò)被輕易攻破了,才給了犯罪分子犯罪的條件����。 但是,其實這些年來運營商在打擊偽基站上可以說已經(jīng)盡心盡力�����,聯(lián)合公安機(jī)關(guān)開展了多輪針對偽基站的打擊行動��,也取得了一定的效果��。至于針對此案件中利用“GSM劫持+短信嗅探”方式的新型犯罪手法�����,這算是GSM協(xié)議中的“天然漏洞”——GSM制式?jīng)]有過多考慮安全性�,導(dǎo)致了很容易被破解���。OsmocomBB開源項目已完成對GSM通信網(wǎng)絡(luò)的破解���。程序員可以利用OsmocomBB開源項目的成果�,實現(xiàn)對2G手機(jī)的非接觸式監(jiān)聽�����。事實上��,在技術(shù)層面�����,運營商能做的工作其實并不多��。 有用戶提出是落后的GSM網(wǎng)絡(luò)導(dǎo)致了這一切�,要求運營商全面升級網(wǎng)絡(luò),以及停用2G網(wǎng)絡(luò)���。此話確實不假�,因為在3G��、4G網(wǎng)絡(luò)中這樣的漏洞是不存在的�,犯罪分子根本無機(jī)可趁。但“2G���、3G����、4G并存”是中國網(wǎng)絡(luò)發(fā)展現(xiàn)狀,運營商不可能在一朝一夕中棄用2G(GSM)網(wǎng)絡(luò)����,畢竟2G網(wǎng)絡(luò)在很多地方、很多場景下還是語音業(yè)務(wù)的主要承載網(wǎng)絡(luò)��,網(wǎng)絡(luò)升級演進(jìn)是一件系統(tǒng)工程�,預(yù)計volte全面取代2G的話音業(yè)務(wù)估計還要3-5年。 以上是關(guān)于運營商能做的事情的一些討論�����,但是問題的另外一側(cè)是��,這些互聯(lián)網(wǎng)金融平臺�����、這些“技術(shù)高超”的互聯(lián)網(wǎng)企業(yè)����,為什么一直以來都如此固執(zhí)又堅定地依靠短信驗證碼來確認(rèn)用戶行為信息呢? 答案其實很簡單��,因為幾乎所有的用戶都有至少一個手機(jī)號碼����,這是與用戶達(dá)成聯(lián)系的最直接的渠道,而隨著近年來運營商用戶實名制的推行�,手機(jī)號碼幾乎就等同于用戶的身份標(biāo)識,所以互聯(lián)網(wǎng)企業(yè)非常樂于通過短信驗證碼來進(jìn)行鑒權(quán)�。 
但是,互聯(lián)網(wǎng)企業(yè)不能把鍋完全就拋給了運營商����,互聯(lián)網(wǎng)企業(yè),尤其是涉及用戶金融安全的互聯(lián)網(wǎng)企業(yè)�����,其在考慮用戶金融安全體系建設(shè)時就必須考慮到網(wǎng)絡(luò)側(cè)可能出現(xiàn)的漏洞��,并提供切實可行的補(bǔ)鍋方案�����,畢竟����,用戶的錢是放在你的平臺里���,也是通過你的渠道被轉(zhuǎn)移或盜刷,無論如何����,這些金融類的互聯(lián)網(wǎng)企業(yè)都是第一責(zé)任人。
|
