警惕手機(jī)嗅探犯罪 短信驗(yàn)證碼也會(huì)被劫取

如今網(wǎng)絡(luò)的安全實(shí)在是要謹(jǐn)慎，凌晨，突然發(fā)現(xiàn)手機(jī)信號(hào)從4G降為2G，接收來(lái)自銀行、支付寶和移動(dòng)公司的各類(lèi)短信驗(yàn)證碼。隨后，銀行賬戶被轉(zhuǎn)空、支付寶余額被轉(zhuǎn)走、手機(jī)自動(dòng)訂購(gòu)了一堆無(wú)用的增值業(yè)務(wù)……這并非科幻電影中的場(chǎng)景，而是現(xiàn)實(shí)世界中短信嗅探設(shè)備對(duì)手機(jī)用戶實(shí)施不法侵害。近期，全國(guó)多地發(fā)生利用短信嗅探技術(shù)竊取錢(qián)財(cái)?shù)陌讣械纳姘附痤~逾百萬(wàn)元。

利用嗅探技術(shù)“隔空取物”

短信驗(yàn)證碼也被劫取

今年8月，一位新浪微博網(wǎng)友向警方和相關(guān)金融機(jī)構(gòu)報(bào)案：凌晨2時(shí)至5時(shí)，手機(jī)先后收到100余條來(lái)自支付寶、京東金融和銀行等金融機(jī)構(gòu)的短信驗(yàn)證碼，相關(guān)賬戶內(nèi)的余額及綁定銀行卡內(nèi)的余額全部“憑空蒸發(fā)”。

事后經(jīng)安全技術(shù)專(zhuān)家鑒定，認(rèn)為這是一起較為典型的利用短信嗅探技術(shù)實(shí)施財(cái)產(chǎn)侵害的案例。據(jù)中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院技術(shù)專(zhuān)家何延哲介紹，短信嗅探技術(shù)是在不影響用戶正常接收短信的情況下，通過(guò)植入手機(jī)木馬或者設(shè)立偽基站的方式，獲取用戶的短信內(nèi)容，這其中就包括來(lái)自銀行、第三方支付平臺(tái)和移動(dòng)運(yùn)營(yíng)商的短信驗(yàn)證碼。

一位業(yè)內(nèi)人士介紹，除了盜取用戶金融賬戶內(nèi)的資金外，短信嗅探技術(shù)還可以截獲移動(dòng)運(yùn)營(yíng)商給手機(jī)用戶發(fā)送的驗(yàn)證碼，用來(lái)辦理各類(lèi)增值扣費(fèi)業(yè)務(wù)，從而盜取手機(jī)用戶的話費(fèi)。

公開(kāi)報(bào)道顯示，近期，全國(guó)已有多地破獲相關(guān)案件：7月，河南新鄉(xiāng)公安機(jī)關(guān)破獲一起利用短信嗅探技術(shù)使用他人金融賬戶購(gòu)買(mǎi)虛擬物品實(shí)施銷(xiāo)贓的案件，抓獲犯罪嫌疑人10名；8月，廈門(mén)警方破獲一起利用短信嗅探技術(shù)盜刷他人金融賬戶的案件，抓獲犯罪嫌疑人1名，涉案金額10余萬(wàn)元；同樣在8月，深圳警方打掉一個(gè)全鏈條盜刷銀行卡團(tuán)伙，抓獲10名犯罪嫌疑人，查繳偽基站等電子設(shè)備6套，帶破同類(lèi)案件50余宗，涉案金額逾百萬(wàn)元。

社交網(wǎng)絡(luò)售賣(mài)嗅探設(shè)備軟件

聲稱(chēng)“包教包會(huì)”

這些非法設(shè)備從何而來(lái)？記者在互聯(lián)網(wǎng)和社交軟件搜索，發(fā)現(xiàn)大量嗅探設(shè)備交易帖和交流群。

在一個(gè)名為“嗅探吧”的百度貼吧中，不少賣(mài)家除了介紹嗅探功能，留下QQ、微信等聯(lián)系方式外，還時(shí)常分享一些攔截短信成功的截圖，誘導(dǎo)他人購(gòu)買(mǎi)相關(guān)設(shè)備。

根據(jù)一篇交易帖的指引，記者添加了尾號(hào)為0960的QQ用戶。對(duì)方稱(chēng)，只需要8500元即可將盜取話費(fèi)的全套設(shè)備軟件賣(mài)給記者，盜取支付寶賬戶余額的相關(guān)設(shè)備則需2萬(wàn)元。為打消記者的顧慮，對(duì)方甚至還表示可以通過(guò)快遞公司“貨到付款”，在快遞網(wǎng)點(diǎn)開(kāi)機(jī)現(xiàn)場(chǎng)驗(yàn)證設(shè)備性能后再付款，并承諾將通過(guò)傻瓜式教程“包教包會(huì)”。

一位售賣(mài)設(shè)備的賣(mài)家告訴記者，他們有一個(gè)專(zhuān)門(mén)的工作室，有人負(fù)責(zé)制作硬件，有人負(fù)責(zé)軟件編程。

有賣(mài)家提醒記者，要遵守“行規(guī)”。例如，在盜取他人話費(fèi)時(shí)，一天盜取的話費(fèi)上限不能超過(guò)3000元。

還有賣(mài)家給記者發(fā)來(lái)了大量的照片和視頻錄像，證明所售賣(mài)的設(shè)備真實(shí)可靠。在一段視頻影像中，嗅探設(shè)備正在運(yùn)行，對(duì)方還演示了如何操作軟件，并成功截獲了一條發(fā)自銀聯(lián)的短信驗(yàn)證碼。

運(yùn)營(yíng)商應(yīng)加快淘汰2G網(wǎng)絡(luò)

金融機(jī)構(gòu)完善更可靠校驗(yàn)手段

何延哲表示，在2G通道下進(jìn)行的短信和通話信息使用明文傳輸。為成功劫持信號(hào)完成短信嗅探，不法分子有時(shí)還會(huì)干擾3G和4G信號(hào)，強(qiáng)制讓用戶“降維”到2G網(wǎng)絡(luò)狀態(tài)。

騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸建議，用戶可以要求運(yùn)營(yíng)商開(kāi)通VoLTE功能（一種數(shù)據(jù)傳輸技術(shù)），讓短信通過(guò)4G網(wǎng)絡(luò)傳輸，防范無(wú)線監(jiān)聽(tīng)竊取短信。

于旸表示，在網(wǎng)絡(luò)安全領(lǐng)域存在一個(gè)“不可能三角”，即無(wú)法同時(shí)實(shí)現(xiàn)安全、便捷和廉價(jià)三個(gè)要素。從短信嗅探技術(shù)盜刷他人金融賬戶的案例來(lái)看，目前，被多數(shù)金融機(jī)構(gòu)采用的基于賬戶登錄密碼和短信驗(yàn)證碼的“雙因子安全認(rèn)證”雖然方便，但在該環(huán)境下有失效風(fēng)險(xiǎn)。

何延哲等業(yè)內(nèi)專(zhuān)家建議，通信運(yùn)營(yíng)商應(yīng)考慮加快淘汰2G網(wǎng)絡(luò)技術(shù)，確保用戶的短信和通話內(nèi)容不被他人截獲竊取。此外，有關(guān)專(zhuān)家建議，在“雙因子安全認(rèn)證”出現(xiàn)漏洞的情況下，包括銀行和第三方支付平臺(tái)在內(nèi)的金融機(jī)構(gòu)應(yīng)加強(qiáng)安全因子的多重驗(yàn)證，推出更為完善可靠的校驗(yàn)手段。