武汉女子手机被黑客劫持 一夜之间损失5万元-手机-郑州经济发展网
郑州经济发展网
当前位置:>首页 -> 手机

武汉女子手机被黑客劫持 一夜之间损失5万元

2018-08-21 11:07:39 来源:腾讯网 作者:

犯罪团伙不碰你的手机

也能盗取你的银行密码

你什么都没做

没丢手机也没丢卡

没扫二维码也没点链接

只一觉醒来

网银里的钱竟然不翼而飞?

7月28日早晨,家住武昌徐东的张女士醒来,她拿起手机,发现竟然有99条未读短信。经查看,这些短信有的是验证码,由翼支付、环迅支付、畅捷支付等平台发来;有的是扣款短信,涉及张女士在4家银行的8张银行卡,共产生了27笔交易。

此外,她的名下还莫名产生了一笔1万元的网络贷款,而且也被转走。初步统计,张女士一夜之间损失了5万多元。

武汉女子手机被黑客劫持 一夜之间损失5万元

图为:张女士收到的被盗刷信息

张女士来不及多想,逐一拨打银行客服和网贷平台的电话,挂失账号、反映问题,并向警方报案。期间,她的手机信号很不稳定,明显不如平时,通话中断了七八次。当晚,她无法入睡,一直看着手机,想不通到底发生了什么,生怕再收到提醒短信。

经过申诉,翼支付退还了张女士被盗刷的1000元;另一支付平台认定她当时的交易属于盗刷,赔付了3.4万元;一家互联网金融支付公司向她赔付了1万元贷款。

武汉女子手机被黑客劫持 一夜之间损失5万元

图为:警方缴获的作案设备

深夜收到100多条验证码短信

一夜之间一无所有

武汉女子手机被黑客劫持 一夜之间损失5万元

受害者的手机在半夜连续接到了100多条验证码,醒来发现自己支付宝等账号被盗,损失很惨重。

武汉女子手机被黑客劫持 一夜之间损失5万元

据广州警方通报,近期多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改。

该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来积蓄已飞走,只有手机里莫名其妙出现的验证码……

我们的手机是怎么被劫持的?

这种手法利用了一种新型技术

“GSM劫持+短信嗅探技术”

武汉女子手机被黑客劫持 一夜之间损失5万元

伪基站主要利用GSM通信网络,就是传统的2G信号中的漏洞,实现不接触你的手机就能获得你手机所接收到的验证短信。

武汉女子手机被黑客劫持 一夜之间损失5万元

如今不少网站都是使用手机验证码登录。

第一步:不法分子首先通过伪基站获取一定范围内潜在的手机号码。

武汉女子手机被黑客劫持 一夜之间损失5万元

第二步:再利用GSM嗅探技术,窥探用户短信中的验证码信息,以便完成密码重置、身份验证等步骤。

武汉女子手机被黑客劫持 一夜之间损失5万元

第三步:通讯网络是信号,通过接入点就可以劫持到这些信号。目前来说,劫持对象主要针对那些2G的GSM信号,有时不法分子也会干扰附近的手机信号,使之变为2G信号来窃取短信信息。

武汉女子手机被黑客劫持 一夜之间损失5万元

第四步:再通过登陆其他一些网站,从中碰撞你的身份信息,称为“撞库”。

武汉女子手机被黑客劫持 一夜之间损失5万元

第五步:将你的身份信息匹配出来,包括身份证、银行卡号等,继而在一些便捷支付平台开通账号并绑定事主的银行卡,冒充事主消费或套现。

如何防范短信验证漏洞?

银行、支付宝等机构会选择使用短信验证码这个机制,而这个机制为什么不够安全,那么我们普通用户到底有什么能防范的呢?

短信验证的漏洞

但随着智能手机的普及,入侵手机窃取短信已经变得比较容易。比如,很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞,或者干脆本身就是恶意的,那你的短信也就危险了。

另外,对于用电脑访问的业务来说,短信验证码是相对独立的一个因子。但对在手机上访问的业务来说,短信验证码就没那么独立了。电脑沦陷后,短信可能还是安全的。但手机沦陷后,短信也很可能也会被攻击者拿到。

虽然目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过不安全的GSM网络在发送,而GSM是非常容易被监听的。

武汉女子手机被黑客劫持 一夜之间损失5万元

如何防范?

为了能在靠不住的信息系统里比较靠得住地进行一些重要操作,人们用了很多办法,其中一个叫“双因子验证”(Two-factor verification)。

比如你要用电脑进行网银转账。设计网银安全体系的人就要假设你的账号密码早晚会被坏人窃取。在这种情况下怎么防止坏人用你的账号密码登录你的网银呢?

大家比较熟悉的“U盾”就是一种解决办法。这个设备是独立于电脑而存在的。要在电脑上操作网银,把你账户里的钱转给别人,就需要把这个设备连在电脑上。坏人没有你的“U盾”,所以即使拿到了你的账户密码,也动不了你的钱。在这里,你的密码是一个验证因子,U盾是另一个验证因子。需要密码+U盾才能验证身份登录网银转账,这就是双因子验证。

网警提醒

此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子。好在此类技术在具体实践中受到硬件和原理的限制,暂时不能覆盖过多的手机号,所以受害人较少。

虽然这种手法难以防范,但是大家也不用太担心。

GSM协议的问题早已经被关注到,目前这方面的系统换代升级也在进行中。而验证码短信主要还是由于本身处于明文传递才导致泄露高风险。目前绝大多数支付类,银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制。

此外,如果单单泄露验证码,问题是不大的,绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息,所以总体犯罪成功率并不高。GSM劫持防不了,其他信息泄露还是可防的!

对于这种“黑科技”,

普通人必须注意这些!

1、禁止手机终端连接GSM网络,开通VoLTE,移动使用“仅4G”,联通使用“仅3/4G”模式。

2、科学设定密码。为避免一个平台被盗引起多个平台被盗的情况,不要使用自己的手机号、姓名全拼或首字母、生日缩写。重要密码不要与常用密码相同或者相关,需要定期更换。

3.平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。

4.睡觉前关机或者设置飞行模式,或者关闭手机的移动信号,这样能略微提高被嗅探的难度。

5.如果早上起来,看到半夜收到奇怪的验证码短信,要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,保留短信内容,报警。

6.如果突然发现手机信号变成2G,要立刻意识到自己可能正遭遇这种攻击,并采取以上方式防御!

此外,有些银行APP安全功能可以对此进行防备。

比如开启常用设备管理

设置夜间不可交易

▼▼▼

武汉女子手机被黑客劫持 一夜之间损失5万元

武汉女子手机被黑客劫持 一夜之间损失5万元

请扩散,望周知!

来源:荆楚网官方微信

责编:刘志斌

百度推荐

广告位

新闻排行