今天给各位分享诺尔国际物流快递查询的知识,其中也会对诺尔国际物流快递查询进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
“一夜醒来,卡上存款不翼而飞。”近日,全国多地接连发生多起银行卡被盗刷事件。深圳市龙岗警方历时一个多月,打掉一个涉嫌全链条盗刷银行卡的团伙,抓捕10名嫌疑人,涉案金额逾百万元。
对此,腾讯守护者计划安全专家周正认为,运营商应该提高4G网络覆盖率和稳定性,强制语音和短信业务也走4G通道;而各类APP应用应该通过常用设备绑定、账号异常行为强校验、增加人脸识别验证等手段,增强APP身份验证的难度。
睡觉时,银行卡被盗刷
7月6日凌晨五点半左右,家住深圳龙岗上垅塘的李天明(化名)在睡梦中被持续的手机震动声吵醒。他起床发现手机连续收到了数十条短信验证码和消费通知。验证码的平台包括途牛网、瓜子二手车、支付宝、京东等。
不过,李天明的损失不止这些。盗刷者还替他开通了京东金条,并成功借款1.1万元。“这笔借款是打到我的一张建行卡上。”短信信息显示,李天明的京东金条借款于5时8分到账。之后,盗刷者用李天明的手机号码在招商银行信用卡平台——掌上生活注册了一网通账号,并开始消费。
在这次盗刷中,李天明总共损失了1.7万元。刚开始,他找京东理赔遭到拒绝,因为一切行为都像是李天明自己在操作。“所有的步骤都需要短信验证码,借款也是打到我自己的卡里。犯罪分子窃取我的信息后,在网上他就是我。”李天明说。
网友“独钓寒江雪”也遭遇了和李天明同样的情况。8月1日,“独钓寒江雪”在豆瓣上发帖《这下一无所有了》,讲述自己被盗刷的经历。
根据上述帖子,7月30日凌晨5点,“独钓寒江雪”发现自己的手机接收到了100多条短信验证码,支付宝、余额宝里的余额、关联银行卡的钱都被转走了。京东还被开通了金条、白条功能,借款多元。
起初,支付宝、京东同样拒绝理赔,原因也是认为这是“独钓寒江雪”本人操作。支付宝相关人士此前在接受媒体采访时表示,从当晚操作的状态来看,登录账户、修改密码、购物、提现的校验全部一次通过,像是账户本人或是熟人操作。
银行卡被盗刷后,李天明到龙新派出所报案,“警察说,最近已经接到多起类似的报案,是犯罪嫌疑人通过短信嗅探作案。”
2G网络传输漏洞
随后,龙岗分局组织成立了专案组全面展开侦查。龙岗警方发现,此案件中,犯罪嫌疑人是利用伪基站、短信嗅探器,在一定距离内,盗取受害者手机号、短信验证码,之后再实施针对移动支付、互联网金融、社交软件等APP应用的信息窃取、资金盗刷、网络诈骗等。
谭亮此前在电子厂工作,大学期间,因爱好计算机技术,时常帮同学修电脑。他属于“技术控”,经常混迹在各种计算机技术讨论群。
5月,谭亮购买了一套短信嗅探设备。由于本身具备一定的技术基础,谭亮很快就学会了这套设备的使用。不过,很快他便发现,只嗅探别人短信,除了偷窥隐私,没有别的用处,“只看到了一堆短信,但是不知道是哪个手机的。”
伪基站之所以能发挥作用,实际上利用的是2G网络单向鉴权的缺陷。
所谓鉴权,是手机用户与移动通讯网络之间的认证机制,也就是,两者之间要进行身份识别。不过,根据中国移动通信集团公司研究院高级工程师粟栗2017年发表的《移动通信网2G/3G/4G互操作风险分析与防护方案》,在2G网络中,鉴权是单向的,即仅要求网络对用户进行认证,而用户不对网络的真实性进行鉴权。因此,在2G网络条件下,攻击者可将伪基站信号强度放大,从而强制用户接入。也就是说,在2G网络条件下,基站可以鉴定手机的合法性,但是手机无法鉴定基站的合法性。这也就使得假冒的基站(伪基站)可以与手机进行连接通信。
“通过号码采集器,就可以把附近2G制式下的手机号码都吸附过来,形成虚拟拨号,拨到一个系统指定的手机上,这样就能看到附近人的手机号码。与短信嗅探器一起使用,就可以将手机号码和短信验证码进行匹配。”谭亮说。
此后,针对GSM协议的破解越来越成熟,衍生出了多个开源项目。2010年,OsmocomBB项目诞生,可以控制并筛选周围基站发来的一切信息。目前,这已成为网络上针对2G手机监听使用最多的开源项目。而其硬件组成则十分简单——一部手机、一台电脑和几根串口线。
谭亮记得,国内某银行的网页只需要用户手机号和短信验证码就可登录,登录后,虽然用户的银行卡号部分数字是隐藏的,但只要点击页面源代码,就可以在代码中寻找到完整的银行卡号。
谭亮的供述印证了上述观点,“在某银行的APP登录后,只需要短信验证码,就可以查看完整银行卡号。”
全链条团伙
谭亮认为,他之所以盗刷金额不高,很重要的原因是他一直都是单干。此类盗刷,犯罪嫌疑人通常采取团伙作案,各司其职,有的负责销售设备、有的进行嗅探作案,还有的进行洗钱。
李天明在京东平台上被盗刷的6000元兴业银行存款,也是用于购买虚拟商品。“买了一个电视会员卡499.9元,四张加油卡,分别是两张1000元,两张1920元。”
据谭亮介绍,之所以需要“洗料”,除了将赃款洗白,还可以逃避各类电商平台的风控机制。“很多电商平台,如果你消费金额过大或频次过多,系统认为消费异常,就会启动风控机制,将账户冻结。这样,就算盗刷了一大笔钱,也出不了。因此,就有人专门研究各种洗钱通道,帮助套现。”
在谭亮看来,受害者李天明的建行卡之所以会被绑定在其他平台上进行消费,可能就是盗刷者在逃避京东的风控机制。“把卡绑定在别的平台后,可以在异地到各个不同的消费场所或平台去购物,再套现。”
有待提高的验证手段
在京东商城APP则可以通过“短信验证码+历史收件人姓名”进行登录,并通过“短信验证码+银行卡号+身份证号”重置支付密码。苏宁易购也可以通过手机验证码直接登录,并使用“身份证号码+手机验证码”重置支付密码。
在银行APP方面,中国银行、招商银行,也是采用姓名、银行卡号、身份证、验证码的不同组合即可在非常用设备上登录。
这就意味着,如果犯罪嫌疑人嗅探到用户验证码,并利用多个手段获取身份证号、姓名、银行卡号,即可在支付宝、京东、苏宁易购等平台上进行消费。
事实上,短信嗅探带来的网络安全问题,已经引起了业内的注意。今年2月11日,全国信息安全标准化技术委员会组织专家论证,发布《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,指出由于2G网络存在单向鉴权和短信内容无加密传输等局限性,且短信截获攻击呈现工具化和自动化趋势,使利用此类威胁实施攻击的门槛大幅降低,基于短信验证码实现身份验证的安全风险显著增加。
好了,文章到此结束,希望可以帮助到大家。
