首页
公益播报
公益汇
爱心汇
进社区
爆料官
公益咖
武汉慈善
希望工程
武汉残联
创新创业
见义勇为
新闻
娱乐
旅游
武汉晚报
食品安全
法治武汉
退休学堂
首页
>
国内
> 正文
短信验证码攻击案频发,一夜收到百余短信账户被刷光
2018-08-08 17:51:00
来源:
调整字体
分享
一位网友近日发帖,称早上醒来,发现手机接收到100多条验证码,支付宝余额、余额宝和关联银行卡的钱都被转走了,京东账户被开通金条、白条功能,借款并转走一万多。这个消息引起极大关注。
伪基站。
扬子晚报紫牛新闻记者调查发现,近期遭受这类短信验证码攻击的人不在少数,此前的报道对于攻击方式的解释并不全面,而提出的“睡觉时关机”等防范建议也不一定有用。专家指出,连续发生的短信验证码攻击事件,是攻击工具产业化的标志。利用手机短信验证身份已无法保证安全,需要尽快改进,选择安全性更高的方式。 紫牛新闻记者 宋世锋
连续发生短信验证码攻击事件,多发生在深圳龙岗
8月1日,深圳市龙岗区的网友“独钓寒江雪”发帖说,“7月30日凌晨5点被尿憋醒,发现手机一直在震,一看,接收了100多条验证码,支付宝、京东、银行什么都有。吓得一下子清醒,去看支付宝,余额宝、余额和关联银行卡的钱都被转走了。京东账户被开通了金条、白条功能,借走一万多。”
手机收到的验证码和提示短信。
另一位受害者住在深圳市龙岗中心城附近,他告诉紫牛新闻记者说,7月24日早上6点多钟睡觉时,突然听到手机响个不停,拿起手机一看,发现收到100多条短信验证码,“支付宝、京东的、银行的、购房的什么都有,忽然间我看到了消费款2999元,一下子清醒起来。”他马上打电话给建设银行把卡挂失、京东账户冻结、随后到派出所报案,报案期间才发现支付宝被盗刷了466.12元,建设银行卡被盗刷5000元,京东白条借款19000元。
深圳市龙岗区还有一位更早的受害者,他告诉紫牛新闻记者说,5月27日夜间遭到短信验证码攻击,犯罪分子通过这种方式侵入招商银行一网通客户端,把他的信用卡额度从3万元提到4万元,然后全部盗刷走。由于他的农行卡也捆绑在招行的一网通里,所以这张卡的余额也被刷走一部分。第二天早上他打开手机,才发现接收到70多条短信验证码和扣款信息。7月5日夜间,他妻子遭到同样的攻击。
深圳市龙岗区虽然可能是多发区,但这类攻击并不局限于那里。武汉的受害者倩倩(化名)告诉紫牛新闻记者说,她在7月18日凌晨遭到这种攻击,建行网银被盗刷,京东账户遭到入侵,但因为银行卡余额只有300多元,所以实际损失不太多。
维权频频遭遇推诿,受害者经历“可以写一本书”
遭到攻击之后,受害者们维权的经历相当艰难。他们不得不去派出所报案立案录口供,到银行打流水账,查询账户的异常,联系支付宝客服、京东客服、各家银行客服,等待各种专员回复。
汤先生的损失主要出现在京东的平台上,他认为京东在识别用户账户的真实性方面存在严重不足,金条借款审核过程形同虚设,他说起初和京东人员多次沟通,但每次都是推卸责任。其他受害者和支付宝等机构交涉时,也经常遇到类似情况。
一些受害者无奈之下选择在网上曝光,而且网友“独钓寒江雪”的经历经媒体披露后,京东和支付宝等第三方支付平台的态度开始变得积极。
京东4日表示可以免去“独钓寒江雪”11000元的金条借贷。支付宝工作人员5日告诉他,将补偿通过支付宝消费出去的Q币充值订单932.31元,行使代位求偿权利。汤先生6日已经接到京东的电话,表示愿意赔付损失,不过还需要提交一些资料。京东金融市场营销部的吴芳女士告诉记者,京东金融对此事高度关注,并设立了专门的盗刷案件处理通道。
相比之下,受害者们普遍感觉和银行交涉更加困难。倩倩起初找银行,遇到推诿。她到派出所做了笔录,但是金额不够立案标准。警方让她向银监会投诉银行。她投诉之后,银行打电话回复说,案子发回开户行,找了人联系我提供资料进入理赔流程。但是提供资料后能不能理赔看省行的审核,最多可以赔付盗刷金额的70%。自己和妻子都曾遭到这种攻击的那位受害者告诉记者,“从5月份到8月份,关于银行卡被盗刷的维权经历,都可以写一本书了。”
一两百元搞定攻击设备,手机短信安全性堪忧
这种短信验证码攻击事件曝光后,有人称这是“GSM劫持+短信嗅探”攻击,犯罪分子建立伪基站,获取周围的手机号码,再利用短信嗅探设备来嗅探短信。不过信息安全界资深人士说,并不能确定具体的攻击类型,目前有多种方法可以达到获取短信验证码的目的。
中国海天集团有限公司创始人兼CEO邹晓东(Seeker)在网络安全界享有盛誉,被称为“黑客炼金术士”,他在2016年就曝光了利用伪基站攻击短信验证码的漏洞。邹晓东告诉紫牛新闻记者,笼统说有4种攻击短信验证码的方法,其中两种不需要伪基站。更可怕的是,在4种方法里,有3种可以把短信拦截下来,不让受害者的手机接收到。如果看不到手机上出现莫名其妙的验证码和消费提示,受害者可能根本不知道账户遭到攻击。
邹晓东说,看起来最近这些受害者遇到的是最低级的一种攻击方法,而且全部攻击设备最低只用100~200元就能搞定。因为比较低级,难度不大,容易被黑色产业者掌握,产生较大社会影响。
早在2011年,手机通讯的GSM网络就已经遭到破解。GSM网络除了可以通话,还能传送短信。虽然现在手机通讯普遍升级到安全性更高的4G网络,但GSM网络还在同时发挥作用。
犯罪分子利用干扰器等设备把周围的手机驱赶到GSM网络,然后就可以侦听受害者的短信验证码。另外,现在个人信息泄露非常严重,个人用户的手机号、身份证号码、银行卡号、家庭和工作地址等等信息,几乎都能以非常低的价格买到,如果掌握了用户的手机号和短信验证码,对于攻击者来说,这样的用户基本上就等于透明的。
银行和第三方支付平台在验证用户身份时,如果只通过短信,对此类攻击者来说,就毫无安全性可言。有人建议用户晚上关掉手机,以此防范短信验证码攻击。对此邹晓东说,“关机或者飞行模式有用,但是别忘了开机时仍然会被攻击,而且有多种办法让受害者手机收不到或者不提示短信。”
专家说法
存在漏洞不及时改进 商家应承担主要责任
邹晓东说:“从黑客角度看,没有谁家系统是百分百安全的,各家服务在设计的时候也不可能追求百分百安全,都为了易用性做了一定的折衷。用户和商家过去都享受了易用性带来的好处,只要安全风险控制在一定范围内,就不会去较真。当黑产的攻击威胁加大时,商家就应该及时响应,增加安全措施。同时,易用性过去给商家带来的好处多于给个体用户的好处,所以从道义上,就深圳这个事件,商家应该承担多数损失。”
知名法律博主“逻格斯logics”告诉紫牛新闻记者,“目前我国在银行卡盗刷案件中的裁判思路是比较明确的,就是倾斜保护储户的利益,严格要求银行尽到安全保障义务。”
他说上海有个案件被最高院选入保障民生典型案例,法官是这么认为的:银行更有条件防范犯罪分子利用银行实施的犯罪,故银行应当制定完善的业务规范,并严格遵守规范,尽可能避免风险,确保储户的存款安全。
“逻格斯logics”认为,对于短信验证漏洞导致的用户损失,法院可能会认定银行提供的手机网银服务未能抗拒类似的技术手段,属于未尽法律规定的“安全保障义务”,要求银行承担赔偿责任。
攻击工具或已产业化
该向短信验证码说“再见”
邹晓东告诉紫牛新闻记者,短信验证码确实比较脆弱,漏洞一直存在,解决方案也有,只是因为使用起来方便,才勉强作为一种身份认证方式。邹晓东认为,安全的系统都应该至少采用“双因子认证”,就是指结合密码以及实物这两种条件对用户进行认证的方法,两者都通过,才算通过身份认证。
事实上,对于“双因子认证”,央行早就提出了要求。2016年6月13日,中国人民银行就发出《关于进一步加强银行卡风险管理的通知》,要求各商业银行、支付机构、卡清算机构加强对支付敏感信息的内控管理和安全防护工作。
该通知明确要求加强业务开通身份认证安全管理。自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。身份鉴别应使用数字证书、交易密码、动态令牌设备等方式至少组合两种认证。
通知还要求各商业银行、支付机构应利用大数据分析、用户行为建模等手段,建立交易风险监控模型和系统,及时预警异常交易,并采取调查核实、风险提示、延迟结算等措施。针对批量或高频登录等异常行为,应利用IP地址、终端设备标识信息、浏览器缓存信息等进行综合识别,及时采取附加验证、拒绝请求等手段。
很多受害者都在短时间内接收到上百条验证和交易短信,相关银行和支付机构有没有尽到央行要求的监控义务,是令人怀疑的。
邹晓东指出:“如果连续发生多起短信验证码攻击事件,就是攻击工具可能产业化的标志。这种情况下,就更不能只依赖于短信验证码。”手机短信曾经有过辉煌的时候,2012年全国手机短信发送量达到惊人的8973.1亿条。随着通讯方式的变化,手机短信近年来迅速衰落,而接收验证码几乎成为它的一个主要功能。不过面对黑产的攻击,也许应该向手机验证码说再见了。
【编辑:朱曦东】
上一篇:
原海南省国土环境资源厅副巡视员唐文智被查
下一篇:
20岁外卖小哥成"癖衣贼",趁送外卖多次偷女性内衣
为你推荐
公益播报
公益汇
进社区
长江评论:让志愿者精神成为城市之光
2018-08-08
北京明伦公益基金会参加“一带一路”减贫国际合作论坛
2018-08-08
全国红十字系统第二届众筹扶贫大赛湖北赛区启动仪式暨培训会在汉举行
2018-08-08
质量抽检来了还想“躲猫猫”?2次不开门将被请出市场,还会纳入失信名单
2018-08-08
武汉市低保标准再次提高 城市居民每人每月提至780元
2018-08-08
长江评论:让志愿者精神成为城市之光
2018-08-08
北京明伦公益基金会参加“一带一路”减贫国际合作论坛
2018-08-08
全国红十字系统第二届众筹扶贫大赛湖北赛区启动仪式暨培训会在汉举行
2018-08-08
质量抽检来了还想“躲猫猫”?2次不开门将被请出市场,还会纳入失信名单
2018-08-08
武汉市低保标准再次提高 城市居民每人每月提至780元
2018-08-08
市民文旅大讲堂16日开讲啦 跟你说说旅途中要注意的事
2018-08-08
从今天起,请叫他们“小水杉”,25万武汉军运会志愿者有了昵称
2018-08-08
党纪法规知识竞赛上线“斗鱼”直播,“廉洁宣传”平台多形式新
2018-08-08
10万人次参与 武汉16家图书馆接力"阅读马拉松"
2018-08-08
这堂党纪法规教育课在斗鱼直播 2.7万人线上参与
2018-08-08
BRT各站电梯19时停运,网友建议:晚停半小时
2018-08-08
70多名党员和入党积极分子走进大悟革命老区
2018-08-08
73个“军体联国家代表队”齐聚武昌,这个迷你“军运会”好燃
2018-08-08
新“瞪羚企业”可获无偿资助,武汉将出台系列措施激发民间投资活力
2018-08-08
武汉市低保标准再次提高,城市居民每人每月提至780元
2018-08-08
热点推荐
1、400年汉剧焕发新活力 央视戏曲频道专题聚焦首届中国(武汉)汉剧艺术节
2、"中国好人"公交780路司机李福斌:"他让我看到了武汉人的热情与友善"
3、好开心!35名留守儿童游东湖找“课文里的小动物”
4、长江主轴左岸大道极致段全线贯通,6车道,人行道在堤顶,能看江景
5、肤白貌美大长腿!这群白衣天使今天刷屏网络……
6、老公cosplay护士妻子 帮忙招募献血者
7、"国际护士节"前走进武汉特殊病房 看到一群这样的白衣天使
8、巴基斯坦留学生要带“汉派讲解”回家乡
即时新闻
1、湖北唯一!黄石获全国“优秀”!
2、走一线、强建设、做表率 联合主题党日活动让组织生活“活”起来
3、截至8月17日24时疫情防控及全国中高风险地区最新情况
4、长江岳阳航道处党委理论学习中心组深入学习贯彻长江航运高质量发展推进会精神
5、泰州与中石化华东油气分公司签约
6、服务+畅通 |“汛期反枯”,长江宜昌航道人力战特殊水情
7、王家滩的坚守
8、免费报名!
武汉
1、40℃+!今天晴热高温回归,下周有望降温
2、2022年8月17日潜江市新冠肺炎疫情情况
3、@潜江人 节约用电倡议书,请查收→
4、清凉!黄石普降“及时雨”,未来天气将……
5、清凉!黄石普降“及时雨”,未来天气将……
6、湖北出台重磅办法!
7、多地大旱,会引发粮价、菜价上涨吗?
8、全市县处级主要领导干部专题培训班举行
站点地图
qq:3403719454