“短信嗅探”调查:监控你的短信,只要不到30元?,表彰大会新闻稿

宣汉新闻 2019-05-07 字体:
表彰大会新闻稿:然而☆⊿,对于这项技术而言☆,其实“并不值1000元”〇。“短信嗅探”调查:监控你的短信⌒,只要不到30元﹡? 然而﹡▽,对于这项技术而言┊,其实“并不值1000元”◇。 “那些都是骗刚入行的小白的♀,这套设备的价格完全等价于硬件的价格□☆,不会超过100元♂。”老吕告诉记者﹡〇。据其介绍△,硬件上⊙↑,只需要购买一个不到30元钱的摩托罗拉C118手机◇♂,用几个常用电子元件改装便可;而软件上﹡,将修改过的OsmocomBB编译进摩托罗拉C118手机里面⌒,就可以为手机添加嗅探功能△。 公开资料显示₯◇,OsmocomBB是从硬件层到应用层彻彻底底开源的GSM协议实现项目⊿⌒。因为是开源₯₯,黑产从业者可以轻而易举获得该代码♂,甚至不必大量去学习通信相关专业知识↑,就能实现并模拟GSM协议▽,按照自己的需求随意更改↑,添加功能∟☆。 据安全圈人士于小葵(化名)向新京报记者介绍∟,除了摩托罗拉C118∟〇,还有摩托罗拉、索尼爱立信的多个机型♂,均可被用于该技术∵。但是☆,摩托罗拉C118却成为众多黑产从业者的不二选择□∟。“摩托罗拉C118兼容性最好π∴,价格便宜∴,所以也就成为了最合适的手机↑。”于小葵说△。 值得一提的是⌒□,部分平台短信验证码内容的不合理↑,实际上也间接提供了犯罪的温床♀。“其实♀,这个设备只能嗅探到2G短信内容π♂,但并不能嗅探到手机号₯π。”老吕坦言↑,“用户手机中很多短信内容都包含用户的手机号⌒,用这个手机号登录一些充值平台♂,然后点击更改密码或者直接充值♂〇,就可以技术变现♂。” 在老吕看来♂,一些平台发送给用户的验证码中直接包括电话号码⌒∵,实际上也为黑产从业者提供了一定的便利⊿。“不过〇∟,也有专门的手机号码采集器可以采集到用户的手机号▽△。” 只针对2G信号﹡?从4G降为2G也要小心去年9月17日♀◇,2018国家网络安全宣传周——网络安全博览会开幕▽﹡,有展馆展出了多种网络黑灰产作案工具♀,其中便包括能够悄无声息偷走手机短信的“2G短信嗅探设备”△。 去年9月17日〇,2018国家网络安全宣传周——网络安全博览会开幕∵◇,有展馆展出了多种网络黑灰产作案工具♂,其中便包括能够悄无声息偷走手机短信的“2G短信嗅探设备”↑↑。 据介绍♂,2G短信嗅探设备总材料价格不足100元π〇,但可以做到获取周边任何人的短信内容∵⊙,危害特别大∴。基站以广播方式转发到用户手里的加密短信♂⊙,可被这套设备所截取并破解还原出来﹡,最终被黑产用户实现信息窃取、资金盗刷和网络诈骗等犯罪◇。此前此类犯罪只针对移动与联通◇∟,不针对电信₯,同时这种犯罪只针对2G信号₯□。 “但其实〇∴,手机在3G或4G时的特定情景下也有可能被监控到〇↑,原因是通过特殊设备压制或者信号质量不佳导致信号降频□。”知道创宇404实验室副总监隋刚告诉新京报记者﹡。 “2G本来就是开源的♂,在数据传输过程中也没有加密﹡♂。”隋刚向新京报记者介绍说⌒〇,在短信嗅探中⊿,C118手机只是扮演着一个伪基站的角色⌒π。 伪基站又称“假基站”↑,可以利用移动信令监测系统监测移动通讯过程中的各种信令过程∟□,获得手机用户当前的位置信息⊙。按照通信协议世界的“游戏规则”﹡⊿,谁来先跟你“握手”↑,设备便会优先作出回应₯。伪基站启动后就会干扰和屏蔽一定范围内的运营商信号〇∴,之后则会搜索出附近的手机号◇,主动握手┊,并将短信发送到这些号码上┊。屏蔽运营商的信号可以持续10秒到20秒∵,短信推送完成后△┊,对方手机才能重新搜索到信号₯⊙。 给不法分子可乘之机的∟,却是2G网络的天然缺陷♀♂。“2G网络其架构本身就是开源的⊿,其使用的GSM协议也都是明文传输⌒。因为并没有加密♂♀,所以在传输的过程中就可以嗅探到﹡∴。将C118连接至电脑⌒,然后用类似Wireshark的网络抓包工具直接抓包⊿,就可以抓出来通信过程中的所有指令◇。”隋刚说∵。 其实〇〇,听起来骇人听闻的GSM短信嗅探技术并非没有自己的软肋↑。据隋刚介绍△,GSM短信嗅探技术的短板⊙,主要有两方面﹡∟,“一方面是摩托罗拉C118发射功率有限⊙,黑产从业者只有在‘猎物’附近时才能实现嗅探〇♂,距离被严重限制;另一方面是这种方法获取的信息比较单一⌒,只能获取短信验证码⌒♀,所以只能做与短信验证码相关的事情⊙┊。” 隋刚说:“我们能做的事情还有很多▽,比如说U盾等实体二步认证硬件就可以很好地防范这种攻击∟。” 全链条:获取身份证号、银行账号、支付账号 新京报记者进一步调查发现☆♂,GSM短信嗅探攻击已基本实现全链条化♀。在电信用户的短信验证码、手机号码被劫持的的基础上⌒,黑产从业者可以通过社工库等方式获取身份证号码、银行账号、支付平台账号等敏感信息π▽。 在一个名为“C118研究社嗅探学习群”的QQ群中┊,一则与查询个人信息相关的广告显示△,“可查卡查证”π。有媒体曾在报道中提及⌒,记者花费700元就买到同事行踪∟,包括乘机、开房、上网吧等11项记录∴。在另一个名为“短信设备”的QQ群中♂♂,一名自称出售短信号码采集器的卖家表示∴↑,“通过号码采集器可以采集到一定范围的手机号码﹡。” 在这个QQ群里♀,共聚集着377名黑产从业者□∴。每天⊙,如何“赚大钱”成为群内学习和讨论的焦点⌒。 那么□∴,黑产从业者是如何通过手机号来查到多种个人信息的呢♂?新京报记者发现﹡⌒,通过社工库并不难实现个人信息的查询☆π。所谓社工库π,即一个数据资料集合库┊♂,包含有大量被泄露的数据〇﹡。通过这些数据⊿,社工库的使用者可以轻易勾勒出一幅用户的网络画像△π。 有接近黑灰产的人士指出₯⊿,随着国内监管愈发严格∵⊿,社工库一般只供黑产团伙内部使用⊙。并且♂☆,目前灰产从业者有向国外转移的趋势〇。在暗网上的某个交易市场中π,新京报记者发现大量包含“个人信息查询”的交易帖☆☆。其中一则帖子中显示┊♀,可以查户籍信息、开房信息、婚姻、宽带⊙〇。在该交易帖中↑◇,根据查询信息不同▽┊,价位也从0.014BTC-0.15BTC不等♂□。交易信息一览中显示⊿⊙,该商品单价为1美元π,用户可以通过调整购买数量来满足不同需求⌒。在不可追踪的暗网交易市场中⌒﹡,该服务“颇有卖相”﹡,截至4月28日﹡⊙,该商品显示已被购买1368次□。 短信验证码安全吗↑₯? 愈演愈烈的黑产☆,引发人们对手机短信验证码本身是否足够安全的讨论π。有关人士表示⌒π,现在手机验证码能做到的东西(转账、实名等)已经远远超出了它本身安全性的范围₯∵。 据《2018网络黑灰产治理研究报告》估算⊿⊙,2017年我国网络安全产业规模为450多亿元△,而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元△。而且电信诈骗案每年以20%至30%的速度在增长┊。 另据阿里安全归零实验室统计〇♀,2017年4月至12月共监测到电信诈骗数十万起▽♀,案发资金损失过亿元♂,涉及受害人员数万人▽∵,电信诈骗案件居高不下♂⌒,规模化不断升级π⌒。2018年↑,活跃的专业技术黑灰产平台多达数百个∟。 那么☆,面对规模如此庞大的黑灰产┊,短信验证码是否已经显得捉襟见肘了呢∟?对此♀π,隋刚认为♂,虽然在嗅探的情景下π,短信验证码并不安全♂♂,但是就目前来说♂,短信验证码仍是一个切实可行的方案♂。 “就目前情况来看♂π,如果将短信验证码换成其他的验证方式∵,无形之中肯定会加大使用成本₯。”隋刚告诉新京报记者↑▽,“安全是相对的♀,就看愿意付出多大的代价↑。与便捷性相平衡◇⌒,短信验证码相对合适∵。安全本身就是提升攻防双方的成本♂,并没有绝对的安全┊。” 如何防范短信嗅探☆┊? 那么如何防止被黑产截获短信呢⊙⊿?2018年2月∵π,全国信息安全标准化技术委员会秘书处发布《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》π。 该指引指出﹡△,攻击者在截获短信验证码后▽,能够假冒受害者身份▽,成功通过移动应用、网站服务提供商的身份验证安全机制↑,实施信用卡盗刷等网络犯罪⊿,给用户带来经济损失₯。指引同时指出∵♂,缺陷修复难度大□。目前₯,GSM网络使用单向鉴权技术₯,且短信内容以明文形式传输∵,该缺陷由GSM设计造成△,且GSM网络覆盖范围广﹡♀,因此修复难度大、成本高△。攻击过程中⌒,受害者的手机信号被劫持♂〇,攻击者假冒受害者身份接入通信网络♂☆,受害者一般难以觉察↑◇。 那么♀,面对GMS短信嗅探的威胁∴,我们是否真的束手无策呢↑〇?有专家建议∴◇,用户可以要求运营商开通VoLTE功能(一种数据传输技术)↑,从而防范短信被劫持的可能♀⊿。“也就是说⊿,不再使用2G网络传输短信∵,而是让短信通过4G网络传输〇∟,从而防范无线监控窃取短信♂△。”也有专家认为⌒,运营商应尽快替换掉2G网络⊙〇。通信运营商应考虑加快淘汰2G网络技术☆∟,以更大程度确保信息安全〇。据介绍♀♂,在国际上⊿♀,2G网络已被诸多运营商所抛弃□┊。 上述指引也建议各移动应用、网站服务提供商优化用户身份验证措施⊙,选用一种或采用多种方式组合⌒,加强安全性:如短信上行验证(提供由用户主动发送短信用以验证身份的功能)、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份验证方式等↑∴。 新京报记者 李大伟 编辑 李薇佳 校对 刘越 lidawei@xjbnews.com【表彰大会新闻稿】