“太可怕了,简直防不胜防,一觉醒来支付宝和网银就被‘清空’了。”一大早,小编被校友群的各种“惊恐”笼罩。
近日,多地警方接报,有市民早上醒来发现手机多出一堆验证码短信,同时,支付宝和网银里的钱已不翼而飞。
比如,豆瓣ID“独钓寒江雪”的网友8月1日凌晨发布:“30号凌晨5点被尿憋醒,发现手机一直在震,一看,接收了100多条验证码,支付宝、京东、银行什么都有。吓得一下子清醒,去看支付宝,余额宝和关联银行卡的钱都被转走了。在京东也开了金条、白条功能,借了1万多。”
新式伪基站诈骗
记者了解到,这是一种新型的伪基站诈骗手段——“GSM劫持+短信嗅探技术”,通过GSM2G网络缺陷,在不接触手机的情况下,通过伪基站和短信嗅探设备获取到目标手机的短信验证码,利用银行、网站、移动支付APP的技术漏洞,进行短信验证码登陆来盗刷信用卡、转账等。
这种新型诈骗术通常分三步:
第一步,通过伪基站获取到一定范围内(一般是周边几百米内)的手机号码;
第二步,在支付APP或网站,选择通过“短信验证码登陆”,然后通过短信嗅探设备来嗅探到验证码短信;
第三步,通过第三方支付、网上银行等,碰撞查询到目标手机号码对应的身份证号码、银行卡号等;
第四步,通过验证码登陆、修改账户信息,进行账户的支付、借贷等资金流转操作,如绑定、申请贷款、白条等,实施盗刷、信用卡诈骗等犯罪行为。
而且呀,由于一般嗅探设备只能嗅探但不能拦截短信,犯罪分子通常会选择在夜深人静、伸手不见五指的深夜作案。这个时候呢,受害者多数在酣然大睡,不会注意到短信异常。
支付宝调查小组根据相关操作记录,复原了遭遇攻击的网友的支付宝账户状态:
重点来了,这一事件之所以比较罕见,是因为操作者验证通过了多个校验因子(包括短信验证码、用户的多项个人信息,都是一次校验成功),且除一笔消费外,其他多笔款项均被提现至用户自己名下的银行卡。
这和以前出现的被盗案件不太一样,太像是用户本人或身边人的操作了,因此保险公司初次判定拒赔。
多家支付平台发声:全额补偿
这下怎么办?多家支付平台发声,将“全额补偿损失”。
支付宝表示,会全额补偿用户损失(参见下图)。支付宝数据显示,目前的交易资损率不到百万分之一。
京东金融也表示,已设立专门的盗刷案件处理通道,并会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。
移动支付还安全吗?
用户最关心的是,今后,移动支付还安全吗?如果密码和短信验证码都泄露了怎么办?
对此,支付宝表示,除短信验证码外,目前平台已增加多因子验证,如人脸验证。上述案例中,操作者先是利用短信验证码进行了一笔900多元的消费,但在尝试第二笔时,风控系统要求人脸校验,操作者校验失败。
同样的,京东金融在开通激活白条或金条时,也需要完成实名认证、补充完善用户信息并签约授权服务协议,最后通过风险综合策略的审批,才可开通成功。在实名认证环节,会根据用户账户信用和风险等级动态选择通过银行卡信息、身份证信息、人脸识别、短信验证码等多维度交叉校验。
类似的交叉认证也在很多银行类APP中得到应用:
江宁警方指出,更危险的犯罪手段则是重新定向手机信号,同时使用GSM“中间人”劫持验证短信,此类劫持和嗅探并不仅限于GSM手机,包括LTE,CDMA类的4G手机也会受到相应威胁。
移动支付在带来便利的同时,必须基于安全这一根本原则。综合蚂蚁金服、腾讯“守护者计划”等专业黑产战斗军团的防范措施,以及警方意见,小编建议大家:
(图片来源:腾讯“守护者计划”)
但这也不是万能,江宁警方就表示,有的手机可能被劫持后本身已无法接收到短信,较为明显的被攻击特征除了接收短信外还有手机信号可能在4G和2G间切换。而一旦你晚上关机或者开启飞行模式,也可能导致其他诈骗风险的上升或者重要事件时亲友无法联系你。
江宁警方建议,比较稳妥的办法是关闭手机的移动信号,只使用家中或办公室的WIFI,这样既能保持和大家的网络联系,也能略微提高被嗅探的难度。
还有就是坚持智能手机使用的基本原则,以下四点怎样强调都不为过:
1. 不给手机“越狱”、不乱装软件,谨防病毒软件
2. 不使用网吧或免费WIFI等公用网络上网(如果连接了黑客或不法分子架设的WIFI,那么你通过这个WIFI传输的所有互联网数据都可能被监听或窃取,如果数据没有被很好地加密,就可能被读取。)
3. 不点击不明链接、二维码、图片,不安装不明文件,谨防手机木马(如果你点击不明链接后手机失去信号,收不到任何短信了,有可能是手机中了木马。此时请立即恢复手机出厂设置,避免手机木马盗取你的资料、账户等个人资产。)
4. 手机丢失或遭遇此类诈骗后,应立即报警,并保留好短信内容等证据。同时及时联系运营商和支付服务商进行挂失或账户冻结。
在培养用户安全使用习惯的同时,平台方与警方也共同呼吁:想要阻止短信嗅探犯罪,还需要各大运营商、通信管理部门以及企业的共同努力。移动应用和网站服务提供商需优化身份验证措施。如短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别等。