近期有网友表示,手机网络突然从4G变成2G然后就接到来自银行、第三方支付和移动公司的各类短信验证码。随后,银行账户被转空、手机自动订购了一堆无用的增值业务……造成财产损失。原来这是一场短信嗅探窃取阴谋。
1.手机2G网络的缺陷
在2G通讯时代,三大运营商的覆盖能力是最令人称道的,特别是在偏远的西部地区,地广人稀、高山林立、荒漠丛生,电信却能够无缝覆盖,喜欢旅游的人都知道,在西藏、青海等高原偏远地区,2G网络有一定的优越性,其实这就得益于低频段的广覆盖能力,在低频段的时候,电磁波能够有很好的绕射和穿透能力,这样一个发射台就可以覆盖很广袤的地区。
但是在2G通道下进行的短信和通话信息使用的是明文传输,其安全性不够。为成功劫持信号完成短信嗅探,不法分子有时还会干扰3G和4G信号,强制让用户“降维”到2G网络状态。这就是前面提到的4G信号突然下降2G,很可能就是受到了干扰。
2.犯罪分子利用嗅探技术“隔空取物”,短信验证码也被劫取
去年8月,一位新浪微博网友向警方和相关金融机构报案:凌晨2时至5时,手机先后收到100余条来自第三方支付平台和银行等金融机构的短信验证码,相关账户内的余额及绑定银行卡内的余额全部“凭空蒸发”。
事后经安全技术专家鉴定,认为这是一起较为典型的利用短信嗅探技术实施财产侵害的案例。据中国电子技术标准化研究院技术专家何延哲介绍,短信嗅探技术是在不影响用户正常接收短信的情况下,通过植入手机木马或者设立伪基站的方式,获取用户的短信内容,这其中就包括来自银行、第三方支付平台和移动运营商的短信验证码。
另外,对于支付机构和金融机构来说,虽然基于账户登录密码和短信验证码的“双因子安全认证”比较方便,但由于短信会被拦截,所以存在安全隐患。有关专家建议,在“双因子安全认证”出现漏洞的情况下,包括银行和第三方支付平台在内的金融机构应加强安全因子的多重验证,推出更为完善可靠的校验手段,以避免短信遭到拦截之后出现安全问题。
3.如何防止短信嗅探
腾讯安全玄武实验室负责人于旸建议,用户可以要求运营商开通VoLTE功能(一种数据传输技术),让短信通过4G网络传输,防范无线监听窃取短信。
于旸表示,在网络安全领域存在一个“不可能三角”,即无法同时实现安全、便捷和廉价三个要素。从短信嗅探技术盗刷他人金融账户的案例来看,目前,被多数金融机构采用的基于账户登录密码和短信验证码的“双因子安全认证”虽然方便,但在该环境下有失效风险。
何延哲等业内专家建议,通信运营商应考虑加快淘汰2G网络技术,确保用户的短信和通话内容不被他人截获窃取。此外,有关专家建议,在“双因子安全认证”出现漏洞的情况下,包括银行和第三方支付平台在内的金融机构应加强安全因子的多重验证,推出更为完善可靠的校验手段。
4.对于非法买卖相关设备的行为要加大打击
法律专业人士表示,对于非法买卖、使用短信嗅探设备的行为也应该加大打击。由于出售人未经有关主管部门批准,未取得电信设备进网许可等资质,非法生产、组装、销售“伪基站”设备的行为可能构成非法经营罪。
如购买者擅自设置、使用无线电台(站)或者擅自使用无线电频率,干扰无线电通讯秩序,造成公用电信设施不同程度中断,使不特定多数的个人无法正常进行通讯联络活动,其行为可能构成破坏广播电视设施、公用电信设施罪、扰乱无线电通讯管理秩序罪。此外,若使用者实施了盗刷银行卡的行为,则可能同时构成盗窃罪、信用卡诈骗罪等。信设施不同程度中断,使不特定多数的个人无法正常进行通讯联络活动,其行为可能构成破坏广播电视设施、公用电信设施罪、扰乱无线电通讯管理秩序罪。此外,若使用者实施了盗刷银行卡的行为,则可能同时构成盗窃罪、信用卡诈骗罪等。
