科协邮局   网上工作平台 回到旧版 | English | 设为首页
   
学会学术 科学普及 智库发展 组织人才 对外交流 创业创新 党的建设
首页  > 地方科协 >  新闻内容
 

短信验证码攻击案频发一夜收到百余短信账户被刷光

 
分享: 2018-10-13
     

  一夜收到百余短信,账户被刷光 恐怖!短信验证码攻击案多地频发

  一位网友克日发帖,称早上醒来,发现手机吸收到100多条验证码,支付宝余额、余额宝和关联银行卡的钱都被转走了,京东账户被开通金条、白条功效,乞贷并转走一万多。这个新闻引起极大关注。

  伪基站。

  扬子晚报紫牛新闻记者观察发现,近期遭受这类短信验证码攻击的人不在少数,此前的消息来源对于攻击方式的诠释并不周全,而提出的“睡觉时关机”等提防建议也纷歧定有用。专家指出,一连发生的短信验证码攻击事务,是攻击工具工业化的标志。使用手机短信验证身份已无法保证宁静,需要尽快革新,选择宁静性更高的方式。 紫牛新闻记者 宋世锋

  一连发生短信验证码攻击事务,多发生在深圳龙岗

  8月1日,深圳市龙岗区的网友“独钓寒江雪”发帖说,“7月30日破晓5点被尿憋醒,发现手机一直在震,一看,吸收了100多条验证码,支付宝、京东、银行什么都有。吓得一下子苏醒,去看支付宝,余额宝、余额和关联银行卡的钱都被转走了。京东账户被开通了金条、白条功效,借走一万多。”

  手机收到的验证码和提醒短信。

  另一位受害者住在深圳市龙岗中央城四周,他告诉紫牛新闻记者说,7月24日早上6点多钟睡觉时,突然听得手机响个一直,拿起手机一看,发现收到100多条短信验证码,“支付宝、京东的、银行的、购房的什么都有,突然间我看到了消耗款2999元,一下子苏醒起来。”他马上打电话给建设银行把卡挂失、京东账户冻结、随后到派出所报案,报案时代才发现支付宝被盗刷了466.12元,建设银行卡被盗刷5000元,京东白条乞贷19000元。

  深圳市龙岗区另有一位更早的受害者,他告诉紫牛新闻记者说,5月27日夜间遭到短信验证码攻击,犯罪分子通过这种方式侵入招商银行一网通客户端,把他的信用卡额度从3万元提到4万元,然后所有盗刷走。由于他的农行卡也捆绑在招行的一网通里,以是这张卡的余额也被刷走一部门。第二天早上他打开手机,才发现吸收到70多条短信验证码和扣款信息。7月5日夜间,他妻子遭到同样的攻击。

  深圳市龙岗区虽然可能是多发区,但这类攻击并不局限于那里。武汉的受害者倩倩(假名)告诉紫牛新闻记者说,她在7月18日破晓遭到这种攻击,建行网银被盗刷,京东账户遭到入侵,但由于银行卡余额只有300多元,以是现实损失不太多。

  维权一再遭遇推诿,受害者履历“可以写一本书”

  遭到攻击之后,受害者们维权的履历相当艰难。他们不得不去派出所报案立案录口供,到银行打流水账,查询账户的异常,联系支付宝客服、京东客服、各家银行客服,等候种种专员回复。

  汤先生的损失主要泛起在京东的平台上,他以为京东在识别用户账户的真实性方面存在严重不足,金条乞贷审核历程形同虚设,他提及初和京东职员多次相同,但每次都是推卸责任。其他受害者和支付宝等机构谈判时,也经常遇到类似情形。

  一些受害者无奈之下选择在网上曝光,而且网友“独钓寒江雪”的履历经媒体披露后,京东和支付宝品级三方支付平台的态度最先变得努力。

  京东4日表现可以免去“独钓寒江雪”11000元的金条借贷。支付宝事情职员5日告诉他,将赔偿通过支付宝消耗出去的Q币充值订单932.31元,行使代位求偿权力。汤先生6日已经接到京东的电话,表现愿意赔付损失,不外还需要提交一些资料。京东金融市场营销部的吴芳女士告诉记者,京东金融对此事高度关注,并设立了专门的盗刷案件处置惩罚通道。

  相比之下,受害者们普遍感受和银行谈判越发难题。倩倩早先找银行,遇到推诿。她到派出所做了笔录,可是金额不够立案尺度。警方让她向银监会投诉银行。她投诉之后,银行打电话回复说,案子发回开户行,找了人联系我提供资料进入理赔流程。可是提供资料后能不能理赔看省行的审核,最多可以赔付盗刷金额的70%。自己和妻子都曾遭到这种攻击的那位受害者告诉记者,“从5月份到8月份,关于银行卡被盗刷的维权履历,都可以写一本书了。”

  一两百元搞定攻击装备,手机短信宁静性堪忧

  这种短信验证码攻击事务曝光后,有人称这是“GSM挟制+短信嗅探”攻击,犯罪分子建设伪基站,获取周围的手机号码,再使用短信嗅探装备来嗅探短信。不外信息宁静界资深人士说,并不能确定详细的攻击类型,现在有多种要领可以到达获取短信验证码的目的。

  中国海天团体有限公司首创人兼CEO邹晓东(Seeker)在网络宁静界享有盛誉,被称为“黑客炼金术士”,他在2016年就曝光了使用伪基站攻击短信验证码的毛病。邹晓东告诉紫牛新闻记者,笼统说有4种攻击短信验证码的要领,其中两种不需要伪基站。更恐怖的是,在4种要领里,有3种可以把短信阻挡下来,不让受害者的手机吸收到。若是看不得手机上泛起莫名其妙的验证码和消耗提醒,受害者可能基础不知道账户遭到攻击。

  邹晓东说,看起来最近这些受害者遇到的是最低级的一种攻击要领,而且所有攻击装备最低只用100~200元就能搞定。由于比力低级,难度不大,容易被玄色工业者掌握,发生较大社会影响。

  早在2011年,手机通讯的GSM网络就已经遭到破解。GSM网络除了可以通话,还能传送短信。虽然现在手机通讯普遍升级到宁静性更高的4G网络,但GSM网络还在同时施展作用。

  犯罪分子使用滋扰器等装备把周围的手机驱赶到GSM网络,然后就可以侦听受害者的短信验证码。另外,现在小我私家信息泄露很是严重,小我私家用户的手机号、身份证号码、银行卡号、家庭和事情地址等等信息,险些都能以很是低的价钱买到,若是掌握了用户的手机号和短信验证码,对于攻击者来说,这样的用户基本上就即是透明的。

  银行和第三方支付平台在验证用户身份时,若是只通过短信,对此类攻击者来说,就毫无宁静性可言。有人建议用户晚上关掉手机,以此提防短信验证码攻击。对此邹晓东说,“关机或者航行模式有用,可是别忘了开机时仍然会被攻击,而且有多种措施让受害者手机收不到或者不提醒短信。”

  专家说法

  存在毛病不实时革新 商家应负担主要责任

  邹晓东说:“从黑客角度看,没有谁家系统是百分百宁静的,各家服务在设计的时间也不行能追求百分百宁静,都为了易用性做了一定的折衷。用户和商家已往都享受了易用性带来的利益,只要宁静风险控制在一定规模内,就不会去较真。当黑产的攻击威胁加大时,商家就应该实时响应,增添宁静措施。同时,易用性已往给商家带来的利益多于给个体用户的利益,以是从道义上,就深圳这个事务,商家应该负担多数损失。”

  着名执法博主“逻格斯logics”告诉紫牛新闻记者,“现在我国在银行卡盗刷案件中的裁判思绪是比力明确的,就是倾斜掩护储户的利益,严酷要求银行尽到宁静保障义务。”

  他说上海有个案件被最高院选入保障民生典型案例,法官是这么以为的:银行更有条件提防犯罪分子使用银行实行的犯罪,故银行应当制订完善的营业规范,并严酷遵守规范,尽可能制止风险,确保储户的存款宁静。

  “逻格斯logics”以为,对于短信验证毛病导致的用户损失,法院可能会认定银行提供的手机网银服务未能抗拒类似的手艺手段,属于未尽执法划定的“宁静保障义务”,要求银行负担赔偿责任。

  攻击工具或已工业化

  该向短信验证码说“再见”

  邹晓东告诉紫牛新闻记者,短信验证码确实比力懦弱,毛病一直存在,解决方案也有,只是由于使用起来利便,才委曲作为一种身份认证方式。邹晓东以为,宁静的系统都应该至少接纳“双因子认证”,就是指联合密码以及实物这两种条件对用户举行认证的要领,两者都通过,才算通过身份认证。

  事实上,对于“双因子认证”,央行早就提出了要求。2016年6月13日,中国人们银行就发出《关于进一步增强银行卡风险治理的通知》,要求各商业银行、支付机构、卡整理机构增强对支付敏感信息的内控治理和宁静防护事情。

  该通知明确要求增强营业开通身份认证宁静治理。自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建设关联营业时,应严酷接纳多因素身份认证方式,直接判别客户身份,并取得客户授权。身份判别应使用数字证书、生意业务密码、动态令牌装备等方式至少组合两种认证。

  通知还要求各商业银行、支付机构应使用大数据剖析、用户行为建模等手段,建设生意业务风险监控模子和系统,实时预警异常生意业务,并接纳观察核实、风险提醒、延迟结算等措施。针对批量或高频登录等异常行为,应使用IP地址、终端装备标识信息、浏览器缓存信息等举行综合识别,实时接纳附加验证、拒绝请求等手段。

  许多受害者都在短时间内吸收到上百条验证和生意业务短信,相关银行和支付机构有没有尽到央行要求的监控义务,是令人嫌疑的。

  邹晓东指出:“若是一连发生多起短信验证码攻击事务,就是攻击工具可能工业化的标志。这种情形下,就更不能只依赖于短信验证码。”手机短信曾经有过绚烂的时间,2012年天下手机短信发送量到达惊人的8973.1亿条。随着通讯方式的转变,手机短信近年来迅速衰落,而吸收验证码险些成为它的一个主要功效。不外面临黑产的攻击,也许应该向手机验证码说再见了。