GSM劫持,基站劫持手机短信
相信最近很多童鞋的朋友圈都在传消息:很多地方的很多警察都陆续接到了一种奇案。很多人早上醒来发现手机收到了很多验证码和银行扣款短信,甚至网银APP登录账号和密码都被篡改,损失惨重。
据相关警方介绍,上述案件是最新的诈骗类型。通过“GSM劫持短信嗅探技术”,黑客可以实时获取用户手机短信内容,然后利用各大知名银行、网站、移动支付app存在的技术漏洞和缺陷,实现信息窃取、资金窃取、网络诈骗等犯罪。
今天CFan就和大家聊聊GSM短信劫持。
为啥隐患这么大?
无论从用户的便利性,还是整个行业的刻意引导,现在各类app都需要使用手机号注册登录,无论是微信、支付宝、银行客户端、现金贷还是微博论坛。如果你的安全意识不高,这些app都用同一个密码.
此外,短信验证码可以帮助用户修改密码、修改绑定邮箱等敏感操作。有些app甚至支持动态短信验证码直接登录。
所以黑客只需要拿到你的手机号就可以劫持GSM短信,一个手机号就可以威胁到所有绑定了支付或贷款功能的支付宝、银行卡和app。
反正现在边肖很怀念那个可以随意用个人昵称或者邮箱注册的时代.我会告诉你我的昵称是“忘记密码”吗?
黑客怎么玩?
GSM短信劫持是比伪基站更高端的技术。简单来说,黑客会利用专业设备自动搜索附近的众多手机号码,拦截运营商和银行发送的短信,劫持目标主要为2G信号(GSM信号)。窃取短信后,会通过它们登录一些网站,与机主的身份信息发生碰撞,这种碰撞被称为“数据库碰撞”(即多个数据库之间的碰撞),试图匹配机主的身份信息,包括身份证、银行卡号、手机号、验证码等信息。然后,
幸运的是,黑客往往只是随机作案。如果你已经被黑客故意盯上,对方提前知道你的姓名、手机号、身份证号,通过SIM卡劫持(也叫SIM卡克隆)或GSM短信劫持的方式恢复密码认证,后果不堪设想。
最令人沮丧的是,黑客大多选择在凌晨作案,在你睡得最沉的时候,他们会完成既定目标。白天醒来,一切都晚了。
另外,短信验证码的安全缺陷是GSM设计造成的,GSM网络覆盖面广,修复难度大,成本高,普通用户基本无法防范。
一些大家关心的问题
边肖在网上找到了很多关于网民和GSM短信劫持的问答,截取了一部分与大家分享。其中涉及的技术方面不一定正确,仅供参考。
问:联通现在既是4G又是3G。有危险吗?
答:攻击不需要运营商有真正的2G网络,而是利用基站的机制,强制你的网络,不管是3G还是4G,降级到GSM。除非你的手机本身不允许切换到2G网络,否则会面临GSM短信劫持的隐患。
问:CDMA手机为什么会降到GSM?
答:CDMA在向后兼容上理论上是GSM,所以也有威胁,因为上面的原因。
问:手机自带伪基站识别功能有用吗?
答:本案原理是利用GSM通信协议的漏洞,识别屏蔽伪基站的功能不能指望。
问:手机上开启了VoLTE功能,所有通话都是4G。你还害怕吗?
答:目前GSM短信劫持的原理是强制你的手机重定向到GSM伪基站。所以,如果黑客选择高成本暴力干扰3G/4G信号的方法,强制信号回落到2G,VoLTE功能也救不了你。
那我们应该怎么办?
虽然GSM协议的安全隐患已经被相关部门注意到,但运营商也在进行相关的优化升级。但是,在验证码短信还是明文的今天,还是要多从我做起。
最近网上流传的方案大多是睡前关机或者把手机设置成飞行模式。这种操作确实可以防止GSM短信劫持,但是如果黑客选择SIM卡克隆,你就失去了提前发现手机突然没信号的前兆。所以,边肖的第一个建议是,大家接入微信、支付宝、银行客户端等app,找到(如果有的话)并打开所有与二次验证相关的功能,比如个性化提问、语音验证、人脸验证等,并把它们设置到连你都觉得登录一次这么麻烦的地步。
问题来了。很多app没有二次验证的安全措施。只要手机号验证码就可以登录并重置所有安全设置,完成支付和转账操作。
所以只能指望全行业来提高手机登录安全验证的技术创新。
比如增加自己的安全意识,在家里登录银行支付APP(熟悉的Wi-Fi环境)。关闭各种云服务的短信备份(云同步)功能,彻底阻断黑客从云端获取短信内容的通道。
比如新手机第一次安装SIM卡,就增加了绑定当前手机MAC地址的步骤(运营商需要想办法)。以后每次收发短信都要先验证MAC地址,也就是先发信号咨询MAC地址,手机自动回复验证后再明文发送短信。
比如基于APP的两步验证。两步验证应用程序基于TOTP机制,不需要任何网络连接(包括Wi-Fi)、短信和SIM卡。验证码完全在手机本地生成。所以APP两步验证可以最大限度的免疫SIM卡劫持和GSM短信劫持。
还有一个最简单的。以后会在获取验证码的登录界面增加随机回答。除了验证码,还需要输入正确的答案,这样黑客即使拿到短信也不知道问题的答案。
当然这些不是我们用户能决定的。只是希望通过GSM短信劫持案的爆发,更多的相关企业和部门能够携起手来,堵住相关漏洞,比如彻底淘汰2G,或者增加手机厂商强制关闭2G功能的选项,让我们以后在移动支付和理财方面更加放心。
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。