在此之前,鄭州、廣州、廈門(mén)等地警方也相繼破獲類(lèi)似案件。這些銀行卡盜刷案件作案手段一致,均是利用手機(jī)2G網(wǎng)絡(luò)(GSM)不加密傳輸?shù)穆┒?,通過(guò)偽基站和短信嗅探器,在一定范圍內(nèi)獲取用戶(hù)手機(jī)號(hào)碼和短信驗(yàn)證碼。之后,再利用各大銀行、網(wǎng)站、移動(dòng)支付App存在的漏洞和缺陷,實(shí)現(xiàn)信息竊取、資金盜刷。
“這種盜刷方式危害性很大。不同于以往電信詐騙需要受害人配合,而是在你不知不覺(jué)的情況下,就盜刷了?!鄙钲谑泄簿铸垗彿志铸埿屡沙鏊L(zhǎng)占小明告訴新京報(bào)記者。
新京報(bào)記者了解到,由于嗅探設(shè)備、偽基站操作簡(jiǎn)單,以及各類(lèi)App身份驗(yàn)證方式簡(jiǎn)單,此類(lèi)盜刷的門(mén)檻較低,存在較大的安全隱患。
對(duì)此,騰訊守護(hù)者計(jì)劃安全專(zhuān)家周正認(rèn)為,運(yùn)營(yíng)商應(yīng)該提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性,強(qiáng)制語(yǔ)音和短信業(yè)務(wù)也走4G通道;而各類(lèi)App應(yīng)用應(yīng)該通過(guò)常用設(shè)備綁定、賬號(hào)異常行為強(qiáng)校驗(yàn)、增加人臉識(shí)別驗(yàn)證等手段,增強(qiáng)App身份驗(yàn)證的難度。
睡覺(jué)時(shí),銀行卡被盜刷
7月6日凌晨五點(diǎn)半左右,家住深圳龍崗上垅塘的李天明(化名)在睡夢(mèng)中被持續(xù)的手機(jī)震動(dòng)聲吵醒。他起床發(fā)現(xiàn)手機(jī)連續(xù)收到了數(shù)十條短信驗(yàn)證碼和消費(fèi)通知。驗(yàn)證碼的平臺(tái)包括途牛網(wǎng)、瓜子二手車(chē)、支付寶、京東等。
“我當(dāng)時(shí)感到很驚訝,手機(jī)都沒(méi)動(dòng),怎么會(huì)出現(xiàn)這種情況?”李天明告訴新京報(bào)記者,他通過(guò)短信消費(fèi)通知發(fā)現(xiàn),其綁定在京東上的興業(yè)銀行卡正在被消費(fèi)。
李天明登錄京東查看情況,卻發(fā)現(xiàn)登錄密碼也已經(jīng)被重置。根據(jù)短信顯示,他的京東支付密碼和登錄密碼分別于當(dāng)天4時(shí)42分、5時(shí)32分被修改。“我趕緊打電話(huà)給興業(yè)銀行,進(jìn)行掛失,將賬戶(hù)凍結(jié)?!笔潞螅钐烀鞲械綉c幸,由于處理及時(shí),他的興業(yè)銀行卡只被盜刷了6000塊錢(qián),而他那張卡余額有26000元。
不過(guò),李天明的損失不止這些。盜刷者還替他開(kāi)通了京東金條,并成功借款1.1萬(wàn)元?!斑@筆借款是打到我的一張建行卡上?!倍绦判畔@示,李天明的京東金條借款于5時(shí)8分到賬。之后,盜刷者用李天明的手機(jī)號(hào)碼在招商銀行信用卡平臺(tái)——掌上生活注冊(cè)了一網(wǎng)通賬號(hào),并開(kāi)始消費(fèi)。
在這次盜刷中,李天明總共損失了1.7萬(wàn)元。剛開(kāi)始,他找京東理賠遭到拒絕,因?yàn)橐磺行袨槎枷袷抢钐烀髯约涸诓僮鳌!八械牟襟E都需要短信驗(yàn)證碼,借款也是打到我自己的卡里。犯罪分子竊取我的信息后,在網(wǎng)上他就是我?!崩钐烀髡f(shuō)。
網(wǎng)友“獨(dú)釣寒江雪”也遭遇了和李天明同樣的情況。8月1日,“獨(dú)釣寒江雪”在豆瓣上發(fā)帖《這下一無(wú)所有了》,講述自己被盜刷的經(jīng)歷。
根據(jù)上述帖子,7月30日凌晨5點(diǎn),“獨(dú)釣寒江雪”發(fā)現(xiàn)自己的手機(jī)接收到了100多條短信驗(yàn)證碼,支付寶、余額寶里的余額、關(guān)聯(lián)銀行卡的錢(qián)都被轉(zhuǎn)走了。京東還被開(kāi)通了金條、白條功能,借款10000多元。
起初,支付寶、京東同樣拒絕理賠,原因也是認(rèn)為這是“獨(dú)釣寒江雪”本人操作。支付寶相關(guān)人士此前在接受媒體采訪時(shí)表示,從當(dāng)晚操作的狀態(tài)來(lái)看,登錄賬戶(hù)、修改密碼、購(gòu)物、提現(xiàn)的校驗(yàn)全部一次通過(guò),像是賬戶(hù)本人或是熟人操作。
銀行卡被盜刷后,李天明到龍新派出所報(bào)案,“警察說(shuō),最近已經(jīng)接到多起類(lèi)似的報(bào)案,是犯罪嫌疑人通過(guò)短信嗅探作案?!?/p>
“這是一種新型的侵財(cái)犯罪行為,之前很少見(jiàn)?!饼埿屡沙鏊晃晦k案民警告訴新京報(bào)記者,最初接到報(bào)案的時(shí)候,連他們也不太相信會(huì)有這種情況發(fā)生,“當(dāng)時(shí)正好也是世界杯期間,我自己心里還以為事主是賭球輸了,沒(méi)法跟家人交代,編造的借口。”
2G網(wǎng)絡(luò)傳輸漏洞
接到報(bào)警后,龍新派出所開(kāi)始調(diào)查,了解到近期深圳及全國(guó)各地均有同類(lèi)案件發(fā)生?!昂髞?lái)我們派出所也陸續(xù)接到了多起同類(lèi)報(bào)案?!饼埿屡沙鏊L(zhǎng)占小明告訴新京報(bào)記者。
隨后,龍崗分局組織成立了專(zhuān)案組全面展開(kāi)偵查。龍崗警方發(fā)現(xiàn),此案件中,犯罪嫌疑人是利用偽基站、短信嗅探器,在一定距離內(nèi),盜取受害者手機(jī)號(hào)、短信驗(yàn)證碼,之后再實(shí)施針對(duì)移動(dòng)支付、互聯(lián)網(wǎng)金融、社交軟件等App應(yīng)用的信息竊取、資金盜刷、網(wǎng)絡(luò)詐騙等。
今年三四月,此案中的犯罪嫌疑人譚亮(化名)在QQ群中看到,有人發(fā)布信息售賣(mài)短信嗅探設(shè)備?!耙婚_(kāi)始覺(jué)得很好奇,別人的短信我都可以偷看到?!?/p>
譚亮此前在電子廠工作,大學(xué)期間,因愛(ài)好計(jì)算機(jī)技術(shù),時(shí)常幫同學(xué)修電腦。他屬于“技術(shù)控”,經(jīng)?;燠E在各種計(jì)算機(jī)技術(shù)討論群。
5月,譚亮購(gòu)買(mǎi)了一套短信嗅探設(shè)備。由于本身具備一定的技術(shù)基礎(chǔ),譚亮很快就學(xué)會(huì)了這套設(shè)備的使用。不過(guò),很快他便發(fā)現(xiàn),只嗅探別人短信,除了偷窺隱私,沒(méi)有別的用處,“只看到了一堆短信,但是不知道是哪個(gè)手機(jī)的?!?/p>
“一開(kāi)始只是對(duì)嗅探技術(shù)好奇,但QQ群里,有人經(jīng)常在發(fā)信息,說(shuō)又盜刷了多少錢(qián),慢慢就動(dòng)心了?!弊T亮告訴新京報(bào)記者,后來(lái)他了解到如果要看到手機(jī)號(hào)碼,還需要“手機(jī)號(hào)碼采集器”。這一裝置主要組成部分是一個(gè)偽基站。
偽基站之所以能發(fā)揮作用,實(shí)際上利用的是2G網(wǎng)絡(luò)單向鑒權(quán)的缺陷。
所謂鑒權(quán),是手機(jī)用戶(hù)與移動(dòng)通訊網(wǎng)絡(luò)之間的認(rèn)證機(jī)制,也就是,兩者之間要進(jìn)行身份識(shí)別。不過(guò),根據(jù)中國(guó)移動(dòng)通信集團(tuán)公司研究院高級(jí)工程師粟栗2017年發(fā)表的《移動(dòng)通信網(wǎng)2G/3G/4G互操作風(fēng)險(xiǎn)分析與防護(hù)方案》,在2G網(wǎng)絡(luò)中,鑒權(quán)是單向的,即僅要求網(wǎng)絡(luò)對(duì)用戶(hù)進(jìn)行認(rèn)證,而用戶(hù)不對(duì)網(wǎng)絡(luò)的真實(shí)性進(jìn)行鑒權(quán)。因此,在2G網(wǎng)絡(luò)條件下,攻擊者可將偽基站信號(hào)強(qiáng)度放大,從而強(qiáng)制用戶(hù)接入。也就是說(shuō),在2G網(wǎng)絡(luò)條件下,基站可以鑒定手機(jī)的合法性,但是手機(jī)無(wú)法鑒定基站的合法性。這也就使得假冒的基站(偽基站)可以與手機(jī)進(jìn)行連接通信。
“通過(guò)號(hào)碼采集器,就可以把附近2G制式下的手機(jī)號(hào)碼都吸附過(guò)來(lái),形成虛擬撥號(hào),撥到一個(gè)系統(tǒng)指定的手機(jī)上,這樣就能看到附近人的手機(jī)號(hào)碼。與短信嗅探器一起使用,就可以將手機(jī)號(hào)碼和短信驗(yàn)證碼進(jìn)行匹配?!弊T亮說(shuō)。
“目前,絕大部分的移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù),都是以用戶(hù)手機(jī)和短信驗(yàn)證為基礎(chǔ)的安全策略?!彬v訊守護(hù)者計(jì)劃安全專(zhuān)家周正告訴新京報(bào)記者,犯罪嫌疑人只要截獲用戶(hù)移動(dòng)通訊的核心信息:短信驗(yàn)證碼,即可盜刷。而國(guó)內(nèi)2G網(wǎng)絡(luò)的語(yǔ)音和短信業(yè)務(wù)單向鑒權(quán)、缺乏有效加密,且明文傳輸,通訊安全性較差,使得短信驗(yàn)證碼存在被劫持和嗅探的風(fēng)險(xiǎn)。
事實(shí)上,2G網(wǎng)絡(luò)信息嗅探技術(shù)在幾年前就已經(jīng)出現(xiàn)。據(jù)公開(kāi)信息,2009年,德國(guó)計(jì)算機(jī)工程師卡爾斯頓·諾爾就宣布,他已經(jīng)破解了GSM技術(shù)的加密算法,并將破解后的代碼放到網(wǎng)上供人下載。利用這些代碼,一臺(tái)個(gè)人計(jì)算機(jī)、一部無(wú)線電接收裝置就可截獲移動(dòng)電話(huà)用戶(hù)的語(yǔ)音信息。
此后,針對(duì)GSM協(xié)議的破解越來(lái)越成熟,衍生出了多個(gè)開(kāi)源項(xiàng)目。2010年,OsmocomBB項(xiàng)目誕生,可以控制并篩選周?chē)景l(fā)來(lái)的一切信息。目前,這已成為網(wǎng)絡(luò)上針對(duì)2G手機(jī)監(jiān)聽(tīng)使用最多的開(kāi)源項(xiàng)目。而其硬件組成則十分簡(jiǎn)單——一部手機(jī)、一臺(tái)電腦和幾根串口線。
“本案中,犯罪團(tuán)伙就是利用OsmocomBB開(kāi)源技術(shù),組裝搭建GSM劫持設(shè)備和環(huán)境?!敝苷嬖V新京報(bào)記者。
而目前,網(wǎng)絡(luò)上很容易檢索到相關(guān)教程,這使得嗅探設(shè)備的搭建和使用門(mén)檻大大降低?!熬退隳悴欢夹g(shù),不會(huì)搭建,也可以買(mǎi)整套設(shè)備,賣(mài)設(shè)備的人也會(huì)告訴你怎么使用?!弊T亮告訴新京報(bào)記者。
利用網(wǎng)站、App漏洞
有了號(hào)碼采集器和短信嗅探器,譚亮開(kāi)始嘗試著盜刷。他告訴新京報(bào)記者,拿到受害者的手機(jī)號(hào)和短信驗(yàn)證碼后,要實(shí)現(xiàn)盜刷,還需要滿(mǎn)足很多條件。最關(guān)鍵的是,要能夠通過(guò)多個(gè)平臺(tái)找到受害者的姓名、身份證號(hào)、銀行卡號(hào)等信息;此外,受害者銀行卡里還得有錢(qián),或者有借貸資格。
“我聽(tīng)說(shuō),也有人是先購(gòu)買(mǎi)了別人的各種信息,再有針對(duì)性地跑到別人家附近,通過(guò)信號(hào)干擾,將其手機(jī)號(hào)碼降頻到2G,進(jìn)行嗅探?!弊T亮告訴新京報(bào)記者,這種作案方法叫作“精準(zhǔn)嗅探”,不過(guò)成功率很低,“并不是說(shuō),你想攔截誰(shuí),就能攔截誰(shuí)的。”
知名通信行業(yè)觀察家項(xiàng)立剛告訴新京報(bào)記者,當(dāng)手機(jī)連接的是4G網(wǎng)絡(luò)時(shí),就不會(huì)成為短信嗅探攻擊的對(duì)象。但是,2G網(wǎng)絡(luò)發(fā)展歷史比較久,基站覆蓋面廣,信號(hào)較強(qiáng),有些地方如果4G信號(hào)弱,手機(jī)也會(huì)自動(dòng)連接到2G,就可能被嗅探。此外,犯罪分子也可能通過(guò)技術(shù)手段干擾4G網(wǎng)絡(luò),讓附近的手機(jī)自動(dòng)降頻到2G。
譚亮說(shuō),他的作案方式是“廣撒網(wǎng)”。選擇人群密集的地方,打開(kāi)嗅探設(shè)備,將周?chē)苄崽降降?G手機(jī)號(hào)碼和短信都攔截下來(lái),再去搜查事主資料。目前能獲取到的事主個(gè)人信息多是利用網(wǎng)站、各類(lèi)App本身存在的漏洞進(jìn)行查詢(xún)。
譚亮記得,國(guó)內(nèi)某銀行的網(wǎng)頁(yè)只需要用戶(hù)手機(jī)號(hào)和短信驗(yàn)證碼就可登錄,登錄后,雖然用戶(hù)的銀行卡號(hào)部分?jǐn)?shù)字是隱藏的,但只要點(diǎn)擊頁(yè)面源代碼,就可以在代碼中尋找到完整的銀行卡號(hào)。
國(guó)內(nèi)某移動(dòng)支付平臺(tái)則是泄露用戶(hù)身份證號(hào)的主要渠道?!暗卿浽撝Ц镀脚_(tái),身份證號(hào)碼也是有隱藏的。但是,平臺(tái)上的一些合作企業(yè)服務(wù)號(hào)通??梢垣@得授權(quán),直接獲取用戶(hù)信息,就在這些服務(wù)號(hào)上泄露了身份證號(hào)碼?!弊T亮告訴新京報(bào)記者。不過(guò),8月14日,他應(yīng)警方要求,再次演示從該平臺(tái)獲取用戶(hù)身份證信息時(shí),發(fā)現(xiàn)該漏洞已經(jīng)被堵上了。
除了技術(shù)漏洞,周正告訴新京報(bào)記者,在短信驗(yàn)證碼可以被截獲的情況下,一些網(wǎng)絡(luò)平臺(tái)、銀行網(wǎng)站,原本正常提供給公眾、政企的查詢(xún)接口也會(huì)被盜刷者所利用,進(jìn)行信息查詢(xún),相互匹配,之后在金融平臺(tái)新注冊(cè)、開(kāi)通借貸服務(wù)、消費(fèi)變現(xiàn)。
譚亮的供述印證了上述觀點(diǎn),“在某銀行的App登錄后,只需要短信驗(yàn)證碼,就可以查看完整銀行卡號(hào)?!?/p>
“不同平臺(tái)可查詢(xún)到的信息可能不同,就得多個(gè)平臺(tái)的信息進(jìn)行拼湊?!弊T亮告訴新京報(bào)記者,這也決定了此類(lèi)盜刷的成功率很低,“有時(shí)候查詢(xún)不到完整的資料,或者有資料,但是賬戶(hù)沒(méi)錢(qián)。”
據(jù)譚亮說(shuō),從今年5月份開(kāi)始作案,到8月份被抓,他總共盜刷成功5次,最大的一筆是5000元,盜刷的第一筆錢(qián)只有300元,是通過(guò)對(duì)方的京東白條給自己QQ充了Q幣?!爱?dāng)時(shí),事主的銀行卡里面都沒(méi)有余額,只有白條有300元的額度。”
全鏈條團(tuán)伙
譚亮認(rèn)為,他之所以盜刷金額不高,很重要的原因是他一直都是單干。此類(lèi)盜刷,犯罪嫌疑人通常采取團(tuán)伙作案,各司其職,有的負(fù)責(zé)銷(xiāo)售設(shè)備、有的進(jìn)行嗅探作案,還有的進(jìn)行洗錢(qián)。
譚亮告訴新京報(bào)記者,在行業(yè)內(nèi),負(fù)責(zé)盜刷的人被稱(chēng)為“料主”,洗錢(qián)環(huán)節(jié)稱(chēng)為“洗料”,通常的做法是“料主”把消費(fèi)所需要的手機(jī)號(hào)、驗(yàn)證碼提供給“洗料”的人;后者進(jìn)行銷(xiāo)售變現(xiàn)。“一般是買(mǎi)油卡、充Q幣這類(lèi)虛擬商品,這樣可以不需要收貨地址,更安全?!?/p>
高浩波(化名)從今年5月份開(kāi)始幫此案中另一名犯罪嫌疑人劉某洗錢(qián)。他告訴新京報(bào)記者,他洗錢(qián)的手法,就是協(xié)助劉某將盜刷的錢(qián)充油卡進(jìn)行套現(xiàn)。
高浩波告訴新京報(bào)記者,劉某告訴他,有門(mén)路可以七折優(yōu)惠充油卡。高浩波將劉某的7折優(yōu)惠,轉(zhuǎn)手給他人8折優(yōu)惠,從中賺取10%提成?!暗轿冶蛔ィ偣操嵙?000多塊錢(qián)?!?/p>
李天明在京東平臺(tái)上被盜刷的6000元興業(yè)銀行存款,也是用于購(gòu)買(mǎi)虛擬商品。“買(mǎi)了一個(gè)電視會(huì)員卡499.9元,四張加油卡,分別是兩張1000元,兩張1920元。”
據(jù)譚亮介紹,之所以需要“洗料”,除了將贓款洗白,還可以逃避各類(lèi)電商平臺(tái)的風(fēng)控機(jī)制?!昂芏嚯娚唐脚_(tái),如果你消費(fèi)金額過(guò)大或頻次過(guò)多,系統(tǒng)認(rèn)為消費(fèi)異常,就會(huì)啟動(dòng)風(fēng)控機(jī)制,將賬戶(hù)凍結(jié)。這樣,就算盜刷了一大筆錢(qián),也出不了。因此,就有人專(zhuān)門(mén)研究各種洗錢(qián)通道,幫助套現(xiàn)?!?/p>
在譚亮看來(lái),受害者李天明的建行卡之所以會(huì)被綁定在其他平臺(tái)上進(jìn)行消費(fèi),可能就是盜刷者在逃避京東的風(fēng)控機(jī)制?!鞍芽ń壎ㄔ趧e的平臺(tái)后,可以在異地到各個(gè)不同的消費(fèi)場(chǎng)所或平臺(tái)去購(gòu)物,再套現(xiàn)?!?/p>
為了洗出更多的錢(qián),犯罪分子還會(huì)鋌而走險(xiǎn),購(gòu)買(mǎi)實(shí)物商品?!斑@種情況,一般是寄到外省,找一個(gè)沒(méi)有監(jiān)控的收貨地址,讓專(zhuān)人去收貨,并想辦法套現(xiàn)?!弊T亮告訴新京報(bào)記者,之所以要選擇外省的地址,是因?yàn)槿绻慌e報(bào),警方跨省調(diào)查手續(xù)更復(fù)雜,可以拖延時(shí)間。
李天明就發(fā)現(xiàn),他的建行卡被綁定在掌上生活,并開(kāi)通一網(wǎng)通服務(wù)后,有人便開(kāi)始在福建泉州、河南濮陽(yáng)等地的商貿(mào)城進(jìn)行購(gòu)物。另一名住在龍崗的受害者也告訴新京報(bào)記者,她的銀行卡被綁定在交通銀行信用卡平臺(tái)——買(mǎi)單吧后,在廣東汕頭被進(jìn)行掃碼消費(fèi)。
新京報(bào)記者實(shí)測(cè)上述兩個(gè)信用卡平臺(tái)發(fā)現(xiàn),在獲取驗(yàn)證碼的情況下,均可以用他人手機(jī)號(hào)進(jìn)行注冊(cè),并綁定銀行卡。驗(yàn)證手段也是姓名、銀行卡號(hào)、身份證號(hào)碼、手機(jī)驗(yàn)證碼。
“他們手段太多,我怕合作后,越陷越深,最后失控?!弊T亮告訴新京報(bào)記者,他一直都是自己嗅探、查資料、“洗料”,什么都懂一點(diǎn),但懂得不多?!拔易约簺](méi)有洗料通道,出不了錢(qián),所以也就不可能盜刷很多錢(qián)。我只會(huì)充Q幣,包括最多的那筆5000元,也全充了Q幣?!?/p>
譚亮還告訴新京報(bào)記者,由于盜刷需要到各類(lèi)平臺(tái)查詢(xún)事主各類(lèi)信息資料,也衍生出了一些人專(zhuān)門(mén)幫忙查信息。
“還有人可能會(huì)通過(guò)黑產(chǎn)社工庫(kù)等違法手段獲取受害者的信息?!敝苷嬖V新京報(bào)記者。地下“社工庫(kù)”掌握著眾多網(wǎng)站和網(wǎng)民的數(shù)據(jù)和信息。
不過(guò),譚亮表示,據(jù)其了解,在目前的短信嗅探盜刷案件中,利用這類(lèi)數(shù)據(jù)庫(kù)進(jìn)行查找用戶(hù)信息的較少,主要還是利用各類(lèi)網(wǎng)站、App本身的漏洞和缺陷。
有待提高的驗(yàn)證手段
8月14日-16日,新京報(bào)記者調(diào)查發(fā)現(xiàn),許多平臺(tái)已經(jīng)提升網(wǎng)絡(luò)安全系數(shù)。開(kāi)通支付寶借唄需要人臉識(shí)別,開(kāi)通京東金條需要上傳身份證正反面。“京東金條的開(kāi)通,我是十幾天前(注:采訪日期為8月15日)才聽(tīng)說(shuō)開(kāi)始需要上傳審核資料的。”譚亮告訴新京報(bào)記者。
在李天明被盜刷的7月6日,犯罪嫌疑人輕易就開(kāi)通了他的京東金條進(jìn)行借款,“從短信驗(yàn)證碼看,是凌晨4點(diǎn)48分申請(qǐng),4點(diǎn)49分就審核通過(guò)了,5點(diǎn)08分借款到賬。這肯定沒(méi)有人證合一的審核?!?/p>
新京報(bào)記者發(fā)現(xiàn),相對(duì)來(lái)說(shuō),微信在非常用設(shè)備上登錄時(shí)的驗(yàn)證是最復(fù)雜的,需要“回答安全問(wèn)題”、原設(shè)備“掃二維碼驗(yàn)證”、“邀請(qǐng)好友輔助驗(yàn)證”。此外,多個(gè)銀行的App系統(tǒng)也在近期升級(jí),登錄驗(yàn)證難度較高。
不過(guò),新京報(bào)記者實(shí)測(cè)也發(fā)現(xiàn),不少App在非常用設(shè)備上登錄、修改密碼時(shí),驗(yàn)證手段依然不夠安全。比如,支付寶在賬戶(hù)非常用設(shè)備上登錄、修改登錄密碼、修改支付密碼,進(jìn)而進(jìn)行轉(zhuǎn)賬、付款、提現(xiàn),都可以通過(guò)“短信驗(yàn)證碼+身份證號(hào)+銀行卡號(hào)”實(shí)現(xiàn)。
在京東商城App則可以通過(guò)“短信驗(yàn)證碼+歷史收件人姓名”進(jìn)行登錄,并通過(guò)“短信驗(yàn)證碼+銀行卡號(hào)+身份證號(hào)”重置支付密碼。蘇寧易購(gòu)也可以通過(guò)手機(jī)驗(yàn)證碼直接登錄,并使用“身份證號(hào)碼+手機(jī)驗(yàn)證碼”重置支付密碼。
在銀行App方面,中國(guó)銀行、招商銀行,也是采用姓名、銀行卡號(hào)、身份證、驗(yàn)證碼的不同組合即可在非常用設(shè)備上登錄。
這就意味著,如果犯罪嫌疑人嗅探到用戶(hù)驗(yàn)證碼,并利用多個(gè)手段獲取身份證號(hào)、姓名、銀行卡號(hào),即可在支付寶、京東、蘇寧易購(gòu)等平臺(tái)上進(jìn)行消費(fèi)。
不過(guò),在網(wǎng)絡(luò)信息安全專(zhuān)家洪禾看來(lái),目前國(guó)內(nèi)各大銀行App,以及支付寶、京東、微信等平臺(tái),安全級(jí)別還是很高,應(yīng)用本身并不存在危及用戶(hù)資金安全的明顯漏洞?!暗?,加入一定的使用場(chǎng)景,情況就比較復(fù)雜了。比如,手機(jī)系統(tǒng)本身被破壞、短信被嗅探,或者別的渠道泄露信息,那這些App本身再安全也可能面臨風(fēng)險(xiǎn)?!?/p>
事實(shí)上,短信嗅探帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題,已經(jīng)引起了業(yè)內(nèi)的注意。今年2月11日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織專(zhuān)家論證,發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》,指出由于2G網(wǎng)絡(luò)存在單向鑒權(quán)和短信內(nèi)容無(wú)加密傳輸?shù)染窒扌?,且短信截獲攻擊呈現(xiàn)工具化和自動(dòng)化趨勢(shì),使利用此類(lèi)威脅實(shí)施攻擊的門(mén)檻大幅降低,基于短信驗(yàn)證碼實(shí)現(xiàn)身份驗(yàn)證的安全風(fēng)險(xiǎn)顯著增加。
對(duì)此,上述技術(shù)指引建議,“各移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商優(yōu)化用戶(hù)身份驗(yàn)證措施,選用一種或采用多種方式組合,比如通過(guò)短信上行驗(yàn)證、語(yǔ)音通話(huà)傳輸驗(yàn)證碼、常用設(shè)備綁定、生物特征識(shí)別、動(dòng)態(tài)選擇身份等驗(yàn)證方式,加強(qiáng)安全性?!?/p>
其中,短信上行驗(yàn)證是由用戶(hù)手機(jī)主動(dòng)發(fā)送指定短信內(nèi)容到各類(lèi)應(yīng)用平臺(tái)進(jìn)行身份驗(yàn)證;常用設(shè)備綁定是指原則上支付、轉(zhuǎn)賬等敏感操作只能通過(guò)綁定的設(shè)備執(zhí)行;生物特征識(shí)別是人臉識(shí)別、指紋識(shí)別等。
龍崗警方提醒,如果手機(jī)收到來(lái)路不明的驗(yàn)證碼,有可能嫌疑人正在攻擊手機(jī),這時(shí)候要立即關(guān)機(jī),或啟動(dòng)飛行模式;睡覺(jué)時(shí)盡量關(guān)機(jī)或采用飛行模式。盡量關(guān)掉網(wǎng)站App上的免密支付功能,或者降低每日、每筆最高限額。此外,如果看到銀行等金融機(jī)構(gòu)發(fā)來(lái)的驗(yàn)證碼,但不是本人操作,除了關(guān)閉手機(jī),還要盡快凍結(jié)銀行卡,減少損失。
新京報(bào)記者?陳景收?實(shí)習(xí)生?李想俁?張一川