一位手机用户陆续收到短信验证码。
“我觉得我的隐私被泄露了,我很害怕。” 前不久的一天下午,石家庄科技工程职业学院的小程突然在学校附近收到了很多短信验证码。 小程不知道的是,在她这段特殊经历的背后,恐怕隐藏着一条盘踞已久的黑色产业链。
多位安全圈人士告诉新京报记者,小程的遭遇可能与一种名为“GSM劫持+短信嗅探”的技术有关。 其实,这也不例外。 曾经有过凌晨收到几百个验证码,发现被盗的情况。
新京报记者发现,这个黑色产业的进入门槛极低,所需代码全部开源。 只需在网上花不到30元就可以买到一部摩托罗拉C118手机,黑产从业者可以窥探用户手机中的短信。 在此背景下,盗刷银行卡成为可能。 更可怕的是,短信嗅探只是庞大的黑色工业帝国的冰山一角。 通过手机号,行业人员还可以借助社工数据库等手段获知用户的户口、住址等诸多敏感信息,从而轻松勾勒出用户画像。
经记者进一步调查,其实是2G网络协议的天然缺陷,为犯罪提供了温床。
黑装备卖家的QQ空间。
“准空姐”30秒收到29条验证码短信
每次想起不久前下午发生的事情,萧程总是皱眉。 “我觉得我的隐私被泄露了,我很害怕。”
那天,她打算去逛街,刚走出校门此电话号码无法用于进行验证,平时安静的手机突然响个不停,各种APP的短信验证码接连传来。
小程是个“准空姐”。 前不久,在与竞争对手六次较量后,她终于在南航的面试中脱颖而出,等待训练的到来。 “看到南航短信验证码的时候,我就像个木头人,很怕影响以后。” 除了网贷和一些支付平台的密码外,南航的两个验证码让小程特别担心。 对她来说,任何含有“南航”四个字的信息,都能轻易触动她的未来。
“我以前从未遇到过这样的事情。” 为了躲避这些突如其来的短信,小程愣了不到两秒,随即把手机调成了飞行模式。 “因为我点了一个,看了看,每个验证码后面都有有效时间,所以凭直觉做了。”
随后,据统计,在不到30秒的时间里,小程一共收到了29条验证码短信。
小程不知道的是,在她这段特殊经历的背后,极有可能隐藏着一条盘踞已久的黑色产业链。 她不是唯一有类似经历的人。 然而,并不是所有人都像郑一样幸运。
“通过短信嗅探器,可以直接嗅探到所有电信用户的手机短信。” 打算“上岸”的老卢(化名)介绍。 “上岸”是黑业从业者的行话。 为了规避风险,一些黑业从业者会在一段时间后“洗手”。 他说,“黑市从业者有专门的手机号采集设备,利用采集到的手机号,可以在点卡网络上进行找回密码等操作,实现刷刷刷。但是,这种设备只能进行攻击2G网络,手机在一定条件下,配合降频设备,也可以强制覆盖范围内的手机网络状态变为2G,从而实现降频攻击。
安全圈人士发给新京报记者的配置好的摩托罗拉C118手机。
一觉醒来,钱没了,多地发生短信嗅探和诈骗
与小程类似,去年7月30日,微博网友@-美年达辛奇发现,凌晨时分,她的手机收到了100多个验证码,包括支付宝、京东、银行APP等。据了解,有人利用她的京东账号、支付宝等方式为她的加油卡订房、充值,共计盗取1万余元。 当时很多业内人士怀疑并提到了一种叫做“GSM劫持+短信嗅探”的技术。
将指针拨回去年11月,武汉市汉阳区警方连续4天接到5起离奇案件。 受害人醒来后发现手机收到了大量验证码和扣款短信,银行卡里的钱也不见了。 其中,受害人损失最大的是一夜之间,卡内1.9万元17次被转走。 2019年3月7日上午,汉阳区公安局刑侦大队民警将犯罪嫌疑人赵某某、舒某某控制,湖北首例利用“短信嗅探”技术的新型诈骗案被查获。解决了。 据介绍,自去年9月以来,两名犯罪嫌疑人共作案30余起,共获利20万余元。
3月27日,南昌市西湖区人民法院开庭审理江西省首例利用短信嗅探设备实施网络盗窃消费案件,这条黑色产业链也随之浮出水面。
经查,被告人胡某、李某、何某通过QQ、微信结识,相互配合实施盗窃。 胡某作为“物主”,利用短信嗅探设备获取半径500米范围内可能作案的手机号码和物主姓名,然后将信息转发给在线的李某; 李某委托他人核对手机号机主身份信息及关联银行卡信息,然后将信息转发给其在线何某(业内称为“卸货”); 何某利用短信验证的方式,通过快捷支付在游戏网站进行诈骗交易或使用微信、支付宝在京东购物。 一个月内,被告人胡某与李某、何某作案1起,与他人作案2起,共盗窃他人财物8671元。
值得注意的是,这黑产科技的生命力相当顽强。 虽然在多地受到警方的重视和打击,但在严打之下,它依然存活了下来。
二手平台上有卖家出售短信嗅探和收集系统。
1000元的嗅探技术,居然只要30元?
新京报记者发现,短信嗅探设备获取容易,操作简单,这其实给黑市从业者设置了一个比较低的门槛。
“嗅探短信只需要一部摩托罗拉C118手机。” 一位业内人士告诉新京报记者,“在网上很容易买到。”
在某电商平台,记者搜索关键词“采集C118”后,出现了12款名为“C118采集器系统软件全套”的商品。 大部分产品的封面要么是成功嗅探系统的背景,要么是改装后的摩托罗拉C118。 新京报记者注意到,在某系统后台封面图下方,“您好!您于2018-11-29 18:25:16使用了外部电商平台充值服务,该充值服务为135× ×××××××号码充值50.00元”用红线标注。 “在线学习,包括教学设备和系统,可以监控直径500米左右的2G短信。” 一位卖家告诉新京报记者,“全套设备和系统代码一共1000元。”
新京报记者以买家身份联系了几家嗅探设备卖家。 为了证明产品的真伪,几乎每一个嗅探设备的卖家都会主动向记者展示他们设备正常运行的大量视频。 在嗡嗡作响的风扇声中,他们将改装后的摩托罗拉C118正常连接到笔记本电脑上。 登录系统后不久,视频中发黄的屏幕上会出现实验手机收到的短信。
然而,对于这项技术,它其实“不值1000元”。
“那些都是骗新人的,这套设备的价格完全等同于硬件的价格,不会超过100元。” 老鲁告诉记者。 据他介绍,在硬件方面,只需要买一部不到30元的摩托罗拉C118手机,改装几个常用的电子元器件即可; 添加嗅探功能。
据公开资料显示,它是一个从硬件层到应用层完全开源的GSM协议实现项目。 因为是开源的,所以黑市从业者可以轻松获取代码,无需学习大量通信相关的专业知识就可以实现和模拟GSM协议,并可以根据自己的需要随意更改和添加功能.
据安全圈人士于小葵(化名)告诉新京报记者,除了摩托罗拉C118,还有摩托罗拉和索爱的多款机型可以使用这项技术。 不过,摩托罗拉C118却成为了众多黑业从业者的不二之选。 “摩托罗拉C118兼容性最好,而且价格便宜,因此成为最适合的手机。” 于小葵说道。
值得一提的是,部分平台短信验证码内容不合理,实际上间接为犯罪提供了温床。 “其实这个设备只能嗅出2G短信的内容,不能嗅出手机号码。” 老卢坦言,“很多用户手机里的短信里都包含用户的手机号此电话号码无法用于进行验证,用这个手机号登录一些充值平台,然后点击修改密码或者直接充值,就可以了实现技术。”
在老鲁看来,一些平台给用户发送的验证码直接包含电话号码,这实际上为黑市从业者提供了一定便利。 “不过,也有专门的手机号收集器,可以收集用户的手机号。”
只限2G信号?4G降级2G需谨慎
去年9月17日,2018年全国网络安全宣传周——网络安全博览会开幕,部分展厅展出了多款网络黑灰犯罪工具,其中就包括可以悄悄窃取手机短信的“2G短信嗅探工具” . 检测设备”。
据介绍,2G短信嗅探设备的材料总价不到100元,却可以获取身边任何人的短信内容,危害极大。 基站以广播的形式转发给用户的加密短信,可以被该设备截获并解密还原,最终不法用户可以实施信息窃取、资金窃取、网络诈骗等犯罪活动。 此前,此类作案只针对中国移动和中国联通,不针对中国电信,且本次作案只针对2G信号。
“但实际上,手机在3G或4G时,在某些情况下也可能被监听,原因是信号被特殊设备抑制或信号质量不够好而降低频率。” 知乎创宇404实验室副主任隋刚告诉新京报记者。
“2G本来就是开源的,数据传输过程没有加密。” 隋刚告诉新京报记者,在短信嗅探中,C118手机只是起到伪基站的作用。
伪基站,又称“伪基站”,可以利用移动信令监测系统监测移动通信过程中的各种信令过程,获取手机用户当前的位置信息。 按照通信协议世界的“游戏规则”,谁先和你“握手”,设备就先响应。 伪基站启动后,会在一定范围内干扰和屏蔽运营商的信号,然后搜索附近的手机号码,主动握手,给这些号码发短信。 阻塞操作员的信号可以持续 10 到 20 秒。 短信推送完成后,对方手机可以重新搜索信号。
正是2G网络的天然缺陷给了不法分子以可乘之机。 ” 2G网络本身的架构是开源的,它使用的GSM协议也是明文传输的,因为没有加密,所以在传输过程中可以被嗅探。将C118连接到电脑上,然后使用类似网络抓包工具直接抓包,可以抓取通信过程中的所有指令。 隋刚说道。
其实,听起来骇人听闻的GSM短信嗅探技术并非没有弱点。 据隋钢介绍,GSM短信嗅探技术的不足主要有两个方面,“一方面,摩托罗拉C118的发射功率有限,黑产从业者只有在接近‘猎物’时才能实现嗅探,而距离严重受限;另一方面,这种方式获取的信息比较简单,只能获取短信验证码,只能做短信验证码相关的事情。”
隋刚说:“我们能做的事情还有很多,比如U盾这样的物理两步认证硬件就可以很好的防止这种攻击。”
全链条:获取身份证号、银行账号、支付账号
新京报记者进一步调查发现,GSM短信嗅探攻击基本实现了全链条。 在劫持电信用户短信验证码和手机号码的基础上,黑产从业者可以通过社工数据库等方式获取身份证号码、银行账号、支付平台账号等敏感信息。
在一个名为“C118研究机构嗅探学习群”的QQ群中,一则查询个人信息的相关广告显示“可以查卡”。 有媒体曾在报道中提到,记者花700元购买同事行踪,包括登机、开房、上网等11条记录。 在另一个名为“短信设备”的QQ群中,一位自称销售短信收号器的卖家称,“通过收号器可以收录一定范围内的手机号码”。
在这个QQ群里,一共聚集了377名黑业从业者。 每天,如何“赚大钱”成了群里学习和讨论的焦点。
那么,黑市从业者是如何通过手机号码查到各种个人信息的呢? 新京报记者发现,通过社工数据库查询个人信息并不难。 所谓社会工程学库,就是一个包含大量泄露数据的数据收集库。 通过这些数据,社会工程学图书馆的用户可以很容易地勾勒出一个用户的网络画像。
有接近黑灰色产业的人士指出,随着国内监管趋严,社工数据库一般只被黑产业团体使用。 此外,灰色产业从业者有出国倾向。 在暗网某交易市场,新京报记者发现大量含有“个人信息查询”的交易帖。 其中一个帖子显示,可以查看户籍信息、开房信息、婚姻、宽带。 本次交易帖中,根据查询信息,价格区间为0.-0.15BTC。 交易信息列表显示,该商品单价为1美元,用户可以根据不同需求调整购买数量。 在无法追踪的暗网交易市场,服务“还算不错”,截至4月28日,商品显示已被购买1368次。
■ 分析
短信验证码安全吗?
非法制作的愈演愈烈,引发了人们对手机短信验证码本身是否足够安全的讨论。 相关人士表示,手机验证码能做的事情(转账、实名等)已经远远超出了自身的安全范围。
据《2018年网络黑灰产业治理研究报告》显示,2017年我国网络安全产业规模超过450亿元,其中黑灰产业规模已近千亿元; 据估计,此类活动造成的经济损失达915亿元。 此外,电信诈骗案件每年以20%至30%的速度增加。
此外,据阿里安全零实验室统计,2017年4月至12月,共侦破电信诈骗案件数十万起,案件损失资金超亿元,受害人达数万人。 电信诈骗案件数量居高不下。 不断升级。 2018年活跃的专业技术黑灰生产平台达数百家。
那么,面对如此大规模的黑灰行业,短信验证码是否已经捉襟见肘了呢? 对此,隋刚认为,虽然短信验证码在嗅探的情况下并不安全,但就目前而言,短信验证码仍然是一个可行的方案。
“就目前的情况来看,如果将短信验证码换成其他验证方式,肯定会增加使用成本。” 隋刚告诉新京报记者,“安全是相对的,就看你愿意付出多少成本。权衡便利性,短信验证码相对合适。安全本身就是增加攻防双方的成本,没有绝对的安全。”
如何防止短信嗅探?
那么如何防止短信被黑客截获呢? 2018年2月,全国信息安全标准化技术委员会秘书处发布了《网络安全实践指南——应对截获短信验证码实施网络身份冒充攻击的技术指南》。
指引指出,攻击者截获短信验证码后,可冒充受害人,顺利通过移动应用和网站服务商的身份验证安全机制,实施信用卡盗窃等网络犯罪,造成经济损失。给用户造成损失。 指南还指出,缺陷修复难度大。 目前GSM网络采用单向认证技术,短信内容以明文形式传输。 这个缺陷是GSM的设计造成的,GSM网络覆盖范围广,维修难度大,成本高。 攻击过程中,受害者手机信号被劫持,攻击者冒充受害者访问通信网络,受害者一般难以察觉。
那么,面对GMS短信嗅探的威胁,我们真的束手无策吗? 有专家建议,用户可以要求运营商开通VoLTE功能(一种数据传输技术),以防止短信劫持的可能性。 “也就是说,不使用2G网络传输短信,而是让短信通过4G网络传输,防止无线监控窃取短信。” 也有专家认为,运营商应尽快更换2G网络。 通信运营商应考虑加快淘汰2G网络技术,更大限度保障信息安全。 据报道,在国际上,2G网络已被多家运营商弃用。
上述指南还建议移动应用和网站服务提供商优化用户身份验证措施,选择一种或多种方式组合使用以增强安全性:如短信上行验证(提供用户主动发送短信验证身份的功能) 、语音通话传输验证码、常用设备绑定、生物特征识别、身份验证方式动态选择等。
国外苹果ID/美日韩台、新加坡、香港等——韩国区已过年龄认证17+ 19+ 的苹果id游戏应用下载——独享美区ID小火箭账号-——正版苹果商店礼品卡、软件兑换码点击购买
谷歌锁区号/谷歌邮箱老号-购买商城-谷歌PLAY锁区账号/美区、日区,韩区,台区,新加坡谷歌账号等谷歌账号购买、代注册谷歌账号,代申诉解封———>点击购买
原文链接:女黑产女卖家30秒收29条验证码,转载请注明来源!