没被打劫、没被盗窃、没被诈骗
一觉醒来
身无分文是什么体验?
不是拍电影
不是开玩笑
这是一种新型的电信诈骗手段!
准确地说
骗子没打电话忽悠
受害人没主动转账
连诈骗都不算……
↓↓↓
网友@独钓寒江雪发贴称“凌晨醒来手机一直在震,竟然收到100多条验证码随后发现自己的钱都被转走,突然间就一无所有了……”
网友@我有你的本子啊也遇到了相同情况 :我昨天也是,收到一堆验证码,然后学费全被转走,现在哭都哭不出来,一万五千多块钱不翼而飞。”
此贴一出
立即引起网友热议
支付宝、360等公司以及各大公安号
纷纷做出回应
☟☟☟
对于这起案件
支付宝复原了这段时间该支付宝账户的动态:
这意味着
账号的操作者需要掌握如下信息:
1.用户的身份证账号
2.用户的手机号
3.用户的银行卡卡号
4.手机的短信校验码
在身份证号、手机号、银行卡号
都被用户不小心暴露的前提下
(一定要保管好自己的私人信息!)
手机验证码通常是我们最后一道保险关卡
一旦被不怀好意之人窃取
后果不堪设想
那么
验证码是怎么被窃取的呢?
360官方团队表示
窃取验证码有以下几种方法:
(*号表示攻击难度)
0.伪基站垃圾短信 *
1.嗅探GSM短信 **
2.GSM中间人获取手机号码 ***
3.将从3G/4G降级到2G ****
4.3G/4G中间人攻击 *******
0级攻击 – 伪基站垃圾短信
伪基站发垃圾短信这种攻击手法大家已经熟知。不法分子直接拉着大功率的伪基站出去,大把大把地撒垃圾短信,总有那么一两个中招的。
垃圾短信并不可怕,可怕的是钓鱼诈骗短信中的恶意链接,若用户不慎点击,很可能会中木马病毒。
1级攻击 – GSM短信嗅探
GSM短信嗅探攻击的原理是因为GSM短信没有加密,所以不法分子可以用一些窃听手法听到短信内容。这种方法是被动的,就是只“听”,不发射任何非法的无线信号。
2级攻击 – GSM中间人获取手机号码
攻击者只听到短信,其实没什么用,短信验证码需要配合网站或者app的验证过程才能起作用。所以,攻击者必须要知道目标的手机号码,可能还需要其他信息,例如身份证号,银行账号等等,其他这些信息可以通过“撞库”,或者通过侵入某些应用的账户来获得。
那么攻击者是如何获得手机号码的呢?
攻击者需要一个2G伪基站+一个2G伪终端,让目标手机接入2G伪基站,然后用2G伪终端冒充目标手机,接入运营商网络。
2G伪终端连上网络之后,会打给一部事先准备好的指定手机,通过指定手机的来电显示就看到了手机号码。
3级攻击 – 强迫从3G/4G降级到2G
通常我们的手机都处在3G/4G网络中,但是攻击者有办法把手机降级到2G。最简单的一种方法是发射强干扰信号。
这种做法是通过暴力干扰掉所有的3G/4G通道,需要很大能量的,设备就会非常大,所以黑产(诈骗犯衍生出的黑色产业链)用起来会不太方便。
另外一种更高级一点的办法,是再用一个4G伪基站,欺骗手机,“4G网络不能用了啊,到我这个2G网络来吧”,于是手机就乖乖的过去了。
4级攻击 – 3G/4G中间人攻击
要达到4级攻击,难度非常大。360官方团队认为目前掌握4级攻击能力的团队,全球应该在个位数!
据广州日报报道
目前的黑产实力至少进化到了2级
连账户和密码都可以更改盗取
让人不寒而栗
那我们应该怎样预防验证码被窃取呢?
被不法分子盯上就没办法了吗?
九支“预防针”请收好!
“预防针”
1.平时做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;
2.三星和ios用户可以选择移动网络模式为“只用4G ”;
3.检测手机有没有开通VOLTE业务,若没有,请及时开通。开通后,电话和短信将选择走4G网络;
4.电信运营商采用CDMA制式,自带鉴权功能。联通、移动运营商2G状态下采用GSM制式,所以不管是2G/3G/4G,电信的手机相对是安全的(针对GMS劫持);
5. 关闭小额免密支付。不要把短信当成唯一的验证方式,加上指纹支付、邮箱、安全问题等验证方式;
6.不要点开短信里的陌生链接,很多链接会静默安装病毒木马;
7.睡前关机或开启飞行模式后使用wifi,也可以关移动网络;
8.如果收到奇怪的验证码短信,立即解除所有APP关联银行卡,重装软件并修改密码为大写+小写+数字+符号形式(如Aa123$00);
9.万一发现钱被盗刷了,火速冻结银行卡,保留短信内容。