“太可怕了�,簡直防不勝防���,一覺醒來支付寶和網(wǎng)銀就被‘清空’了�����?����!币淮笤?�,小編被校友群的各種“驚恐”籠罩���。
近日,多地警方接報(bào)���,有市民早上醒來發(fā)現(xiàn)手機(jī)多出一堆驗(yàn)證碼短信���,同時(shí),支付寶和網(wǎng)銀里的錢已不翼而飛��。
比如����,豆瓣ID“獨(dú)釣寒江雪”的網(wǎng)友8月1日凌晨發(fā)布:“30號(hào)凌晨5點(diǎn)被尿憋醒����,發(fā)現(xiàn)手機(jī)一直在震�,一看,接收了100多條驗(yàn)證碼���,支付寶�����、京東���、銀行什么都有。嚇得一下子清醒�����,去看支付寶�,余額寶和關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走了。在京東也開了金條���、白條功能��,借了1萬多���。”
新式偽基站詐騙
記者了解到���,這是一種新型的偽基站詐騙手段——“GSM劫持+短信嗅探技術(shù)”��,通過GSM2G網(wǎng)絡(luò)缺陷�����,在不接觸手機(jī)的情況下���,通過偽基站和短信嗅探設(shè)備獲取到目標(biāo)手機(jī)的短信驗(yàn)證碼,利用銀行��、網(wǎng)站�����、移動(dòng)支付APP的技術(shù)漏洞����,進(jìn)行短信驗(yàn)證碼登陸來盜刷信用卡�、轉(zhuǎn)賬等�。
這種新型詐騙術(shù)通常分三步:
第一步,通過偽基站獲取到一定范圍內(nèi)(一般是周邊幾百米內(nèi))的手機(jī)號(hào)碼���;
第二步����,在支付APP或網(wǎng)站����,選擇通過“短信驗(yàn)證碼登陸”,然后通過短信嗅探設(shè)備來嗅探到驗(yàn)證碼短信����;
第三步,通過第三方支付��、網(wǎng)上銀行等��,碰撞查詢到目標(biāo)手機(jī)號(hào)碼對(duì)應(yīng)的身份證號(hào)碼���、銀行卡號(hào)等��;
第四步�,通過驗(yàn)證碼登陸、修改賬戶信息�,進(jìn)行賬戶的支付�����、借貸等資金流轉(zhuǎn)操作���,如綁定�����、申請(qǐng)貸款����、白條等�,實(shí)施盜刷、信用卡詐騙等犯罪行為�。
而且呀,由于一般嗅探設(shè)備只能嗅探但不能攔截短信��,犯罪分子通常會(huì)選擇在夜深人靜�、伸手不見五指的深夜作案。這個(gè)時(shí)候呢,受害者多數(shù)在酣然大睡��,不會(huì)注意到短信異常��。
支付寶調(diào)查小組根據(jù)相關(guān)操作記錄����,復(fù)原了遭遇攻擊的網(wǎng)友的支付寶賬戶狀態(tài):
重點(diǎn)來了,這一事件之所以比較罕見�����,是因?yàn)椴僮髡唑?yàn)證通過了多個(gè)校驗(yàn)因子(包括短信驗(yàn)證碼���、用戶的多項(xiàng)個(gè)人信息���,都是一次校驗(yàn)成功),且除一筆消費(fèi)外��,其他多筆款項(xiàng)均被提現(xiàn)至用戶自己名下的銀行卡����。
這和以前出現(xiàn)的被盜案件不太一樣,太像是用戶本人或身邊人的操作了����,因此保險(xiǎn)公司初次判定拒賠���。?
多家支付平臺(tái)發(fā)聲:全額補(bǔ)償
這下怎么辦?多家支付平臺(tái)發(fā)聲�����,將“全額補(bǔ)償損失”��。
支付寶表示����,會(huì)全額補(bǔ)償用戶損失(參見下圖)�����。支付寶數(shù)據(jù)顯示�,目前的交易資損率不到百萬分之一。
?
京東金融也表示�����,已設(shè)立專門的盜刷案件處理通道��,并會(huì)對(duì)被確認(rèn)盜刷的用戶賬戶進(jìn)行先行墊付,免除用戶的還款責(zé)任��。
移動(dòng)支付還安全嗎���?
用戶最關(guān)心的是�����,今后�����,移動(dòng)支付還安全嗎�����?如果密碼和短信驗(yàn)證碼都泄露了怎么辦�����?
對(duì)此��,支付寶表示�����,除短信驗(yàn)證碼外�,目前平臺(tái)已增加多因子驗(yàn)證,如人臉驗(yàn)證�����。上述案例中�����,操作者先是利用短信驗(yàn)證碼進(jìn)行了一筆900多元的消費(fèi)�,但在嘗試第二筆時(shí)����,風(fēng)控系統(tǒng)要求人臉校驗(yàn),操作者校驗(yàn)失敗�。
?同樣的,京東金融在開通激活白條或金條時(shí)���,也需要完成實(shí)名認(rèn)證�����、補(bǔ)充完善用戶信息并簽約授權(quán)服務(wù)協(xié)議����,最后通過風(fēng)險(xiǎn)綜合策略的審批,才可開通成功���。在實(shí)名認(rèn)證環(huán)節(jié)�,會(huì)根據(jù)用戶賬戶信用和風(fēng)險(xiǎn)等級(jí)動(dòng)態(tài)選擇通過銀行卡信息���、身份證信息�����、人臉識(shí)別�、短信驗(yàn)證碼等多維度交叉校驗(yàn)��。
?類似的交叉認(rèn)證也在很多銀行類APP中得到應(yīng)用:
江寧警方指出���,更危險(xiǎn)的犯罪手段則是重新定向手機(jī)信號(hào)����,同時(shí)使用GSM“中間人”劫持驗(yàn)證短信����,此類劫持和嗅探并不僅限于GSM手機(jī)�,包括LTE����,CDMA類的4G手機(jī)也會(huì)受到相應(yīng)威脅。
移動(dòng)支付在帶來便利的同時(shí)���,必須基于安全這一根本原則�。綜合螞蟻金服�����、騰訊“守護(hù)者計(jì)劃”等專業(yè)黑產(chǎn)戰(zhàn)斗軍團(tuán)的防范措施��,以及警方意見�,小編建議大家:
?
(圖片來源:騰訊“守護(hù)者計(jì)劃”)
但這也不是萬能���,江寧警方就表示���,有的手機(jī)可能被劫持后本身已無法接收到短信,較為明顯的被攻擊特征除了接收短信外還有手機(jī)信號(hào)可能在4G和2G間切換���。而一旦你晚上關(guān)機(jī)或者開啟飛行模式����,也可能導(dǎo)致其他詐騙風(fēng)險(xiǎn)的上升或者重要事件時(shí)親友無法聯(lián)系你。
江寧警方建議�����,比較穩(wěn)妥的辦法是關(guān)閉手機(jī)的移動(dòng)信號(hào)�����,只使用家中或辦公室的WIFI����,這樣既能保持和大家的網(wǎng)絡(luò)聯(lián)系,也能略微提高被嗅探的難度�����。
還有就是堅(jiān)持智能手機(jī)使用的基本原則����,以下四點(diǎn)怎樣強(qiáng)調(diào)都不為過:
1.? 不給手機(jī)“越獄”、不亂裝軟件���,謹(jǐn)防病毒軟件
2.? 不使用網(wǎng)吧或免費(fèi)WIFI等公用網(wǎng)絡(luò)上網(wǎng)(如果連接了黑客或不法分子架設(shè)的WIFI��,那么你通過這個(gè)WIFI傳輸?shù)乃谢ヂ?lián)網(wǎng)數(shù)據(jù)都可能被監(jiān)聽或竊取�,如果數(shù)據(jù)沒有被很好地加密,就可能被讀取���。)?
3.? 不點(diǎn)擊不明鏈接�、二維碼����、圖片,不安裝不明文件���,謹(jǐn)防手機(jī)木馬(如果你點(diǎn)擊不明鏈接后手機(jī)失去信號(hào)����,收不到任何短信了����,有可能是手機(jī)中了木馬。此時(shí)請(qǐng)立即恢復(fù)手機(jī)出廠設(shè)置���,避免手機(jī)木馬盜取你的資料、賬戶等個(gè)人資產(chǎn)����。)
4.? 手機(jī)丟失或遭遇此類詐騙后��,應(yīng)立即報(bào)警�,并保留好短信內(nèi)容等證據(jù)�����。同時(shí)及時(shí)聯(lián)系運(yùn)營商和支付服務(wù)商進(jìn)行掛失或賬戶凍結(jié)����。
在培養(yǎng)用戶安全使用習(xí)慣的同時(shí),平臺(tái)方與警方也共同呼吁:想要阻止短信嗅探犯罪�,還需要各大運(yùn)營商、通信管理部門以及企業(yè)的共同努力��。移動(dòng)應(yīng)用和網(wǎng)站服務(wù)提供商需優(yōu)化身份驗(yàn)證措施�。如短信上行驗(yàn)證、語音通話傳輸驗(yàn)證碼��、常用設(shè)備綁定����、生物特征識(shí)別等。
