2018-08-17 15:48:27 公務(wù)員考試網(wǎng) 文章來源:華圖教育
*資料包涵蓋但不限于以上內(nèi)容
保存小程序碼至
手機(jī)進(jìn)行掃碼
8月14日,深圳龍崗警方宣布打掉一個(gè)新型盜刷銀行卡犯罪團(tuán)伙,抓獲10名嫌疑人,查繳偽基站等電子設(shè)備6套,帶破同類案件50余宗,涉案金額逾百萬元。據(jù)專家分析,嫌疑人通過“GSM劫持+短信嗅探”技術(shù)截獲受害人短信驗(yàn)證碼,從而完成盜刷等操作。截至目前,這是全國該類案件中打掉涉案人數(shù)最多、金額最大的一起。(摘自人民日報(bào))
【獨(dú)家解析】
網(wǎng)友遇怪事
夢中收短信網(wǎng)銀被盜刷
7月30日凌晨5點(diǎn),從夢中醒來的網(wǎng)友“獨(dú)釣寒江雪”發(fā)現(xiàn)了一件怪事:“手機(jī)一直在震,一看,接收了100多條驗(yàn)證碼,支付寶、京東、銀行什么都有。嚇得一下子清醒,去看支付寶,余額寶、余額和關(guān)聯(lián)銀行卡的錢都被轉(zhuǎn)走了。京東開了金條、白條功能,借走1萬多元。”
人在睡夢中,手機(jī)在身邊。是誰遠(yuǎn)程偷看了短信驗(yàn)證碼,還利用短信驗(yàn)證碼完成了轉(zhuǎn)賬購物借貸等操作?據(jù)了解,這是不法分子通過“GSM劫持+短信嗅探”技術(shù),實(shí)時(shí)獲取用戶手機(jī)短信內(nèi)容,竊取用戶信息,盜刷用戶賬戶。
“不法分子先使用偽基站獲取用戶手機(jī)號,再通過網(wǎng)上泄露的數(shù)據(jù)庫,根據(jù)手機(jī)號碼反查用戶的姓名、身份證號、銀行賬號等信息。然后在某些網(wǎng)站啟動注冊或交易,并利用和用戶位置相近的特點(diǎn)竊取用戶短信驗(yàn)證碼。”北京大學(xué)信息科學(xué)技術(shù)學(xué)院副教授陳江說。
有業(yè)內(nèi)人士形容,嗅探硬件“小的跟手機(jī)差不多,大得像行李箱,最低成本只用花一頓必勝客的錢”。騰訊守護(hù)者計(jì)劃安全專家周正介紹,目前絕大多數(shù)移動互聯(lián)網(wǎng)服務(wù)都采用以手機(jī)號和短信驗(yàn)證為基礎(chǔ)的識別策略,但國內(nèi)GSM的語音和短信業(yè)務(wù)鑒權(quán)和加密性偏弱。犯罪分子使用定制化、成本低、易攜帶的嗅探系統(tǒng),獲取受害人的手機(jī)號和短信驗(yàn)證碼,進(jìn)而實(shí)施犯罪。
此前已有多地出現(xiàn)“GSM劫持+短信嗅探”盜刷案件。2017年底至2018年8月,騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)協(xié)助北京、福建、廣東等地警方打擊此類犯罪團(tuán)伙5個(gè),抓獲犯罪嫌疑人25人。
短信漏洞多
身份可偽裝內(nèi)容易泄露
注冊新賬號,需要短信驗(yàn)證碼;忘記密碼又想登錄網(wǎng)站,需要短信驗(yàn)證碼;在網(wǎng)上轉(zhuǎn)賬提現(xiàn),需要短信驗(yàn)證碼……當(dāng)前,使用短信驗(yàn)證碼驗(yàn)證用戶身份的技術(shù),被廣泛應(yīng)用于各類移動應(yīng)用和網(wǎng)站服務(wù)。
陳江說:“短信驗(yàn)證碼雖然方便高效、容易普及使用,但存在‘是否用戶本人使用本人手機(jī)完成驗(yàn)證操作’這樣的漏洞,給不法分子偽裝受害者提供了機(jī)會。”
“短信驗(yàn)證碼是賬號安全的核心,承擔(dān)著實(shí)名認(rèn)證的任務(wù),是保證資金安全的一把密匙,但目前的關(guān)注程度還不高。”中國政法大學(xué)傳播法研究中心副主任朱巍說。
通過短信驗(yàn)證碼登錄賬號后,不法分子可以獲取用戶的快遞地址、消費(fèi)記錄、通訊錄等隱私信息,還可以通過“撞庫”“社工”等方式,“集齊”用戶的姓名、身份證、銀行卡號,實(shí)施資金盜刷、電信詐騙、敲詐勒索等活動。
除了被“偷窺”,泄露短信驗(yàn)證碼的途徑還有很多。有的用戶點(diǎn)擊了非法鏈接,手機(jī)被安裝監(jiān)聽木馬;有的不法分子偽裝銀行客服,直接索取驗(yàn)證碼內(nèi)容;還有運(yùn)營商內(nèi)鬼主動泄露,里外勾結(jié)。此外,短信云同步、自動填寫驗(yàn)證碼等功能的初衷雖是方便用戶,卻也可能被不法分子利用。
安全待升級
改發(fā)送方式加生物識別
“改變短信設(shè)置,使用VoLTE技術(shù)(基于4G的語音傳輸技術(shù)),改用4G網(wǎng)絡(luò)傳輸短信。”“關(guān)閉手機(jī)蜂窩功能,改用無線網(wǎng)絡(luò)”“晚上睡覺時(shí)關(guān)閉手機(jī)或調(diào)整到飛行模式”……為了避免短信驗(yàn)證碼被“偷窺”,不少媒體和熱心用戶給出了解決方案。
但是,這些方案并不能一勞永逸。比如,就算改用4G傳輸短信,不法分子也可能在4G網(wǎng)絡(luò)薄弱的地區(qū)“監(jiān)聽”,或用特殊手段把短信“逼”上不夠安全的2G通道。
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會建議,網(wǎng)絡(luò)平臺可以要求用戶主動發(fā)送短信用以驗(yàn)證身份,使用語音通話傳輸驗(yàn)證碼,將用戶常用設(shè)備和賬號綁定,采用指紋識別、人臉識別等生物特征識別技術(shù),同時(shí)隨機(jī)選擇多種方式進(jìn)行驗(yàn)證。
“用戶傳輸敏感隱私信息時(shí),應(yīng)選擇安全性相對高的通信軟件,發(fā)現(xiàn)手機(jī)信號模式異常時(shí)應(yīng)及時(shí)更換網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)平臺應(yīng)增加多維度動態(tài)驗(yàn)證機(jī)制,對賬號異常行為進(jìn)行強(qiáng)校驗(yàn),采用生物特征識別技術(shù)。運(yùn)營商應(yīng)提高4G網(wǎng)絡(luò)覆蓋率和穩(wěn)定性,推動VoLTE等高清數(shù)據(jù)傳輸方式的普及。”周正建議。
“第三方支付機(jī)構(gòu)要注意資金安全,發(fā)現(xiàn)異常及時(shí)停止服務(wù),避免用戶損失。同時(shí),第三方支付也要和銀行開展配合,形成立體化風(fēng)控體系。”朱巍說。
綜上所述:面對不法分子,作為互聯(lián)網(wǎng)金融平臺有責(zé)任做出有力的應(yīng)對,如果連用戶的資金安全都無法保證,何談安全?但是我們也應(yīng)該認(rèn)識到,騙子的詐騙手段層出不窮,永遠(yuǎn)都沒有一勞永逸的措施,兵來將擋水來土掩,相信隨著技術(shù)水平的提高,騙子們的生存空間將會越來越小。
↓↓↓↓2022年省公務(wù)員考試筆試產(chǎn)品推薦↓↓↓↓ | |||
2022省考 成績查詢 |
2022省考 面試禮包 |
2022省考 面試峰會 |
2022面試 分?jǐn)?shù)線 |
相關(guān)內(nèi)容推薦:
貼心微信客服
貼心微博客服
上一篇:2019年浙江公務(wù)員面試熱點(diǎn)話題:別讓興趣班毀了孩子的童年
下一篇:2019年四川公務(wù)員面試熱點(diǎn)話題:5G腳步再近 我國將于2020年實(shí)現(xiàn)5G商
公告啥時(shí)候出?
報(bào)考問題解惑?報(bào)考條件?
報(bào)考崗位解惑   怎么備考?
沖刺資料領(lǐng)。
10萬+
閱讀量150w+
粉絲1000+
點(diǎn)贊數(shù)