昨日凌晨5时,越秀警方经过研判,对一使用特种设备高科技电信诈骗团伙实施收网行动,抓获疑犯3人。据悉,该诈骗手法是目前发生在广州的最新诈骗手法。该团伙通过劫持GSM短信信息,用短信嗅探技术对受害人银行卡实施盗刷。据悉,自6月份以来,已作案16宗。
据了解,近期,多地警方陆续接报一类蹊跷案件,很多人早上起床后发现手机收到很多验证码和银行扣款短信,甚至网上银行APP登录账号和密码也已被篡改,损失惨重。“这是一种最新型的诈骗手法。”民警介绍,骗子通过“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
民警介绍,骗子通过特种设备自动搜索附近的手机号码,然后可以拦截你的短信,就是说别人发一条短信给你,比如运营商、银行发给你的短信他也能收到。据悉,劫持对象主要针对那些2G的GSM信号,有时也会干扰附近的手机信号使之变为2G信号后,窃取你的短信信息,然后通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),试图将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息,继而在一些小众的便捷支付平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金,“其根源还是在于信息泄露”。据悉,该团伙大多选择凌晨作案,无需直接与事主接触,因此大部分事主无法及时察觉资金被盗。
截至今年6月,广州警方已陆续破获多起此类案件。其中,在增城警方破获的一起案件中,犯罪团伙部分人员以无线电爱好者或电子通信设备“发烧友”为主,负责制造、销售该类特种设备;还有部分嫌疑人负责利用公民个人信息实现盗刷套现。
盗用事主亲友微信账号借钱
今年4月1日傍晚,位于从化区的某大学的学生李某和谢某在校内收到同学“邹某”的微信信息,“邹某”在微信里向李某和谢某借钱并提供了一个转账二维码。李某通过扫描二维码先后两次转款给“邹某”,共计1700元。两名事主后来发现同学邹某的微信在两人转账时处于被盗用状态。
经过进一步侦查,专案组锁定盗用邹某微信账号实施诈骗的嫌疑人郑某。经排查,该团伙是一个活跃在广州、汕头地区的地缘性诈骗团伙,主要由嫌疑人郑某、周某等人在游戏平台发布“免费代练”信息,骗取他人的微信号及登录密码,随后登录他人微信后群发借钱信息,并提供自制或购买的二维码骗钱转入自己的微信账户,然后通过颜某“洗白”资金。7月上旬,嫌疑人颜某、郑某、周某、庄某等4人陆续被抓获归案。
警方提醒:学生暑假提高警惕
时值暑假,诈骗分子将作案对象瞄准学生,警方特别提醒:
一是招工诈骗。诈骗分子往往通过网络招聘平台发布虚构招工信息,假借各个招聘单位的名义,通过电话与学生联系骗取信任,再以各种名目收取“介绍费、报名费、保证金、押金、服装费、体检费”等费用。
二是“赚快钱”诈骗。如刷单诈骗,事主往往是在校学生,轻信网上散布的“刷单兼职”“在家动动手指就能赚钱”的宣传,落入诈骗分子设下的圈套中。诈骗分子往往一开始会先返还一笔小额资金以获取信任,骗取大额资金后,便将事主拉黑。
三是网络购物诈骗。学生如遇“客服”主动来电、要求帮您办理“退款、理赔”手续,请提高警惕,可另行通过网购平台直接联系商家询问情况,进行核实。
—
“几条奇怪的短信,半辈子的积蓄没了。”日前,一种名为“GSM劫持+短信嗅探技术”的新型犯罪手段引起关注。郑州、南京、广州等多地警方发布通报称,有人早上起床后发现手机收到很多验证码和银行扣款短信,有的网上银行APP登录账号和密码被篡改,在毫无察觉的情况下,银行账户被盗刷。
据南京江宁警方官博8月2日通报,不同于传统的伪基站只发诈骗短信的方法,此类新型伪基站诈骗使用的方法是利用GSM(2G网络)设计缺陷,能实现不接触目标手机而获得目标手机所接收到的验证短信的目的,对于普通用户来说基本上是无法防范,“比较稳妥的办法是关闭手机的移动信号,只使用家中或者办公室的WIFI。”
此前,全国信息安全标准化技术委员会秘书处发布《网络安全事件指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,指出此类犯罪方式危害互联网生态安全,建议各移动应用、网站服务提供商优化用户身份验证措施,选用一种或采用多种方式组合,比如通过短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式,加强安全性。
新技术可“隔空”截获验证短信,被诈骗黑产利用
8月2日下午,南京江宁公安分局官方微博发布消息称,一种名为“GSM劫持+短信嗅探技术”的犯罪手法是近两年来出现的新型伪基站犯罪手段,多地警方已经有所发现。“不同于传统的伪基站只给你发诈骗短信的方法,这种新型手法实现不接触目标手机而获得目标手机所接收到的验证短信的目的。”
该消息还称,更危险的新技术则是重新定向手机信号,同时使用GSM中间人方法劫持验证短信,此类劫持和嗅探并不仅限于GSM手机,包括LTE,CDMA类的4G手机也会受到相应威胁。此技术在2016年后逐步被诈骗等黑色产业注意到并迅速将其用于实际操作。”
手机长期处于2G状态时,要格外小心
那么,什么是“GSM劫持+短信嗅探技术”?
据新快报7月27日消息,广州警方介绍,GMS是俗称的2G信号,利用上述技术可实时获取使用2G信号的用户手机短信内容,进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。“有条件的嫌疑人也会用干扰器将信号降至2G,这时他们就有了可乘之机。因此,如果市民手机信号长时间处于2G状态时,要格外小心。”
另据广州日报消息,骗子通过特种设备自动搜索附近的手机号码,拦截如运营商、银行发送的短信,劫持对象主要针对2G信号(GSM信号),窃取短信信息后通过登录一些网站,从中碰撞机主身份信息,称之为“撞库”(即多个数据库之间碰撞),试图将机主的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息,继而在一些小众的便捷支付平台开通账号并绑定事主银行卡,冒充事主消费或套现,盗取事主银行卡资金。据悉,该团伙大多选择凌晨作案,无需直接与事主接触,因此大部分事主无法及时察觉资金被盗。
采集方圆500米移动手机号码,有验证短信就实施盗刷
截至今年8月,广州、南京、郑州警方已陆续破获多起此类案件。
根据公开报道,广州市增城警方破获的一起案件中,犯罪团伙部分人员以无线电爱好者或电子通信设备“发烧友”为主,负责制造、销售该类特种设备;还有部分嫌疑人负责利用公民个人信息实现盗刷套现。
而在2018年6月郑州市公安局丰产路分局破获的一起案件中,犯罪嫌疑人万某交代“2G短信采集设备”是由电源(银色金属方盒)、手机号码采集器、一根黑色天线组成,某品牌手机来接受采集到的号码。“2G嗅探设备”是由黄色木盒(内置7个来拦截附近短信的某c118主板)、一台笔记本电脑,笔记本上面插有一个U盘装置的嗅探系统组成。
万某还交代,他检测到附近有针对的移动用户后,用手机测试采集到附近方圆500米的移动手机号码,看看哪个手机号码来短信,从而盗刷这个手机机主的银行卡和信用卡的钱。
缺陷由GSM设计造成,修复难度大、成本高.
实际上,早在2018年2月11日,全国信息安全标准化技术委员会秘书处曾发布《网络安全事件指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》(下简称《技术指引》),指出由于GSM网络(2G网络)存在单向鉴权和短信内容无加密传输等局限性,且短信截获攻击呈现工具化和自动化趋势,“基于短信验证码实现身份验证的安全风险显著增加。”
该指南指出,此类攻击主要利用了短信验证码在用户身份验证方面存在的安全缺陷,“该缺陷由GSM设计造成,且GSM网络覆盖范围广,因此修复难度大、成本高。”而由于短信验证码技术被广泛用于各类移动应用、网站服务的身份验证,短信截获攻击手段一旦被大规模利用,可能导致基于短信验证码实现身份认证的技术失效,造成公民财产损失,危害互联网生态安全。
《技术指南》建议各移动应用、网站服务提供商优化用户身份验证措施,选用一种或采用多种方式组合,比如通过短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份等验证方式,加强安全性。
普通用户基本无法防范,警方呼吁运营商尽快解决
那么,如何防范此类犯罪?
江宁公安官博于8月2日发布的通报显示,此类新型伪基站诈骗“对于普通用户来说基本上是无法防范的,也给警方的侦破工作带来了很大的挑战,因为涉及到的网站APP银行极其众多”。
同时,江宁公安消息称,大家不必过于担忧,GSM协议的问题系统换代升级也在进行中。目前绝大多数支付类、银行类app除了短信验证码往往还有图片验证,语音验证,人脸验证,指纹验证等等诸多二次验证机制,如果单单泄露验证码,问题是不大的。绝大多数中招的用户是因为同时泄露了身份证号等其他重要身份信。“GSM劫持防不了,其他信息泄露还是可防的。”
江宁公安建议,由于手机会接收到一些信息,有的防范策略是晚上关机或者开启飞行模式,而实际上这样做的意义并不大,因为有的手机可能被劫持后本身已经无法接收到短信。较为明显的被攻击特征除了接收短信外,还有手机信号可能在4G和2G之间切换。而一旦你晚上关机或者开启飞行模式,也可能导致其他诈骗风险的上升或者重要事件时亲友无法联系你。“所以比较稳妥的办法是关闭手机的移动信号,只使用家中或者办公室的WIFI,这样既能保持和大家的网络联系,也能略微提高被嗅探的难度。如遭遇此类诈骗务必立刻报警,保留好短信内容。”
同时,江宁公安呼吁各大运营商和通信管理部门尽快采取有效技术手段,尽快解决此问题。一些安全机制不完善的银行和金融类app可以考虑采用其他双向验证辅助手段提高安全效率.
-------------
京东金融8月3日上午给虎嗅发来了一份声明:
经过调查,这是不法分子通过GSM+短信嗅探的技术实时获取用户手机的短信内容,进而窃取用户信息、盗刷用户账户进行的网络诈骗。短信嗅探的原理是不法分子可以在伪基站范围内获取到用户收到的所有短信,而与此同时用户却毫无知觉。基于短信嗅探技术的新型黑产网络诈骗已经危及到了部分用户的财产安全,导致用户在各大银行、互联网平台都受到了不同程度的资金损失。
京东金融对此事高度关注,并设立了专门的盗刷案件处理通道,针对用户反馈的情况我们会第一时间对案件进行核实。秉承用户利益为先的原则,我们会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。
也就是说,京东金融免除了叶女士被“借”走的这1万元,同时京东金融认为这是“不法分子通过GSM+短信嗅探的技术实时获取用户手机短信内容,进而窃取用户信息、盗刷用户账户进行的网络诈骗”的行为,跟叶女士贴的受案回执上的表述类似。
京东金融的工作人员上午对虎嗅说:“目前已经联系了对方,问题已经解决了。”
TK在接受了虎嗅采访后,8月3日下午又在微博上说起了这事儿,给出了更详细的解析,比较让他困惑的是,干了这么多年安全,受害人能把必要的信息都清楚准确地描述出来,他之前一个都没遇到过。
TK补充说:“受害人用的是iPhone,所以我本来想直接说也可能和iCloud有关,但怕被果粉喷,所以换了‘短信自动云端备份’这么一个说法。”
目前这起案件还存在诸多疑点,在警方没有给出结果之前,我们不好妄加揣测。但该案中,这位网友和支付宝、京东金融都是受害者。
该案如果真如叶女士所言,说明黑客的技术手段又进化了。就以本文频繁出现的“GSM劫持+短信嗅探”技术为例,黑客惯常在你睡觉之后对你的手机进行短信嗅探,让你毫无察觉。
怎么来杜绝或防范呢?腾讯守护者计划给出了阻止短信嗅探的方法,建议采纳:
1. 平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;
2. 如果没有关机,早上起来看到奇怪的验证码短信,一定要想到可能是遇到短信嗅探攻击了,赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,报警。
说到这儿,就得多说点儿了,打击黑产应该成为一种全民共识。随着中国移动支付越来越普及,无论是支付宝还是微信支付、各种银行手机App已经成为我们日常的支付工具,从目前来看,网络诈骗和黑客的手段越来越高明,已经脱离了短信诈骗的低级趣味。而打击网络黑产在过去两年已经成为各大互联网公司的共识,但这不是靠一己之力可以做到的,需要全社会形成联动,包括政府、公安、运营商、企业和个人都应该成为打击黑产的一部分。同时,各大互联网公司在打击黑产方面应该搁置竞争、共同协作。
就在8月3日晚上19:25,我看她在半个小时前发了条微博(账号:-美年达芬奇),她似乎对京东免除她的还款责任还有疑虑,而京东方面上午已经告知她免除她的还款责任了。
---------
豆瓣网友“独钓寒江雪”的支付宝京东银行卡盗刷案件破了,还原短信嗅探全过程
我们的资金真的不安全了吗?到底要不要如此恐慌?如何才能有效防范?我们这次让犯罪嫌疑人对该手法进行全程还原,以便寻求最科学的防范手法,同时也督促相关企业立即封堵漏洞。
8月8日一大早,终结诈骗团队在得到龙岗警方允许后,联合腾讯守护者计划安全团队赶赴此次专案的主办单位之一——深圳市公安局龙岗分局龙新派出所。
刚到了派出所,我们就惊奇地看到,龙岗分局的一个派出所竟然也成立了反诈骗中心,而且有数名专职工作人员负责反诈骗宣传与打击工作。所里的一台车也专门改造成为反诈骗宣传车,上面还印有我们终结诈骗公众号的LOGO和二维码。
此时,专案组民警刚刚完成一夜的审讯工作,也正准备开展犯罪证据固定和侦查试验,我们便一起行动,把其中一名嫌疑人所用的设备从作案车辆上搬了下来。很明显,这是一台车载嗅探攻击设备。
设备凌乱无章,竟然还有一个“美团外卖”的箱子!不过从图中可以看出,设备里有移动电源、插座、电脑、手机以及另外两个不知道是什么玩意的东西。由于要还原整个犯罪过程,我们小心翼翼地把设备搬到一间会议室。并把使用该设备的小A“请”了出来。小A三下五除二就安装好了全部设备。
办案民警做了一番思想工作后,小A决定配合我们还原盗刷步骤,并决定把他所知晓的所有网站、APP的漏洞告知我们,让我们转达给广大网友,一定更要加强防范。
由于现在很多网站采取“手机号+验证码”的认证方式,在支付场景下,最多也就会认证姓名、身份证号、银行卡号。因此,要想实现盗刷,只需知道一个人的手机号、姓名、身份证号、银行卡号、验证码就足够了。小A是怎么做的呢?
第一步:用伪基站捕获手机号
之前有媒体报道过,要想捕获受害人手机号,只需要在一台伪基站状态下,进行中间人攻击即可。当然,前提是受害者的手机必须处于2G状态下(这句话是重点,请先牢记)。
小A拿出了那个美团外卖的箱子,原来这就是他购置的中间人攻击设备,为了能够放到车里,他精心做了改装。这个设备有一个伪基站、三个运营商拨号设备以及一个手机组成。
为了演示整个过程,小A让一个民警把手机从4G切换到2G,充当受害者手机。他启动了这套设备后,不到30秒,小A手中的手机就接到了一个电话,大家一看,这个电话号码就是民警的手机号码。但神奇的是,民警的电话表面看并没有任何操作。
怎么回事呢?原来这台设备启动后,附近2G网络下的手机就会被轮流“吸附”到这台设备上。此时,与设备相连的那台手机(中间人手机)就可以临时顶替被“吸附”的手机。也就是说,在运营商基站看来,此时攻击手机就是受害者的手机。
根据事先的设定,中间人手机就可以自动向小A控制的另一部手机拨打电话,这样小A就知道受害者的电话号码了。
第二步:短信嗅探
光知道手机号码其实没太大用,因为很多网站至少需要知道验证码才可以登录。这个时候,短信嗅探设备就要发挥很大作用了。一部电脑+一部最老款的诺基亚手机+一台嗅探信道机就可以组装好了。
小A启动电脑及相关软件后,先用手中的那台老款诺基亚手机寻找频点,小A告诉我们,寻找频点最关键的一点是对方的手机不能移动(这个也是重点,请也先牢记)。
前期准备工作做完后,神奇的一幕发生了,小A的电脑上很快就出现了几十条短信并且在不断增加,而且都是实时的。也就是说,这台短信嗅探设备启动后,能嗅探到附近(大约一个基站范围内)所有2G信号下手机收到的短信。
从短信中可以看出,有办理税务业务时收到的二维码,有银行发来的余额变动通知,有的短信内容中还完整展示了银行卡的账号。当然,我们对这些信息都做了处理,不会造成任何风险。
也就是说,通过这台短信嗅探设备,小A们是可以实时掌握我们手机接受到的短信内容的,当然,有个很重要的前提是,这台手机必须开机能正常接收到短信,而且必须要在2G信号下,而且要保持静止状态。
第三步:社工其他信息
所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。
其实通过前两步,小A登录一些防范能力较低的网站(一般只需要手机号+验证码)绰绰有余。但是他们的目的并不仅限于成功登陆,而是要盗刷你名下的钱。所以还需要通过其他手段获取姓名、身份证号、银行卡号等信息,他需要社工手段来确定这些信息。
小A现场演示了他掌握的一些社工 手段,让所有在场的民警、安全专家目瞪口呆。因为他所利用的都是一些著名公司企业的常用网站、工具,但是这些网站、工具在设计过程中都存在一些能被利用的漏洞。
具体的办法二弟肯定不会在这里写的。但是,要提醒以下单位负责安全管理的人要迅速与终结诈骗团队取得联系,我们验证完身份后,会告诉你漏洞在哪里。
目前仅小A掌握到的办法就涉及到以下公司,他们是:支付宝、京东、苏宁、中国移动、招商银行、工商银行。而据小A交待,他们这个圈内每个人都掌握一些办法,有漏洞的肯定不止这么多。
第四步:实现盗刷
小A经过前面几步的工作,已经掌握了一个人的姓名、身份证号、银行卡号、手机号,并能实时监测到验证码。这个时候,他就可以去盗刷了。因为很多网站在设计的时候,只需要输入这些就可以完成支付。甚至可以通过这些内容来更改登录、支付密码。
但还是请大家不要恐慌,很多知名网站、APP的风控做得还是比较好的,一般在识别异常后可以及时发现并拦截,为用户减少损失。我们可以从网友“独钓寒江雪”的支付宝操作过程,来清晰看到嫌疑人的动作和风控措施的启动情况。
1.嫌疑人1时42分通过“姓名+短信验证码”的方式就登录了支付宝账号。这个过程只需要用伪基站和嗅探设备就可以实现。
2.嫌疑人1时45分和1时48分通过社工到的信息对登录密码和支付密码进行了修改,并且绑定了银行卡(是的,哪怕你以前没有绑定该银行卡,他们也是可以给你绑定上的)
3.1时50分-2时12分别通过输入支付密码的方式进行网上购物932元,并提现7578元。
4.3时21分,嫌疑人想通过提现到银行卡上的钱进行购物,支付宝风控措施启动,要求人脸校验,没有通过后校验嫌疑人便放弃。此时,在支付宝上的消费也就是932元。
当然,支付宝的安全等级算是高的,从小A的交待中,我们还发现了许多网站的风控措施不严格,很容易被利用,比如每天最高限额定得过高(某知名银行每天限额达到5000元),比如更换设备登录、频繁登录没有人脸或密码校验等手段,再比如可以在网站上进行小额贷款等操作。
从上面的介绍可以看出,嫌疑人要实现盗刷需要很多条件:
第一,受害者手机要开机并且处于2G制式下;
第二,手机号必须是中国移动和中国联通,因为者两家的2G是GSM制式,传送短信是明文方式,可以被嗅探;
第三,手机要保持静止状态,这也是嫌疑人选择后半夜作案的原因。
第四,受害者的各类信息刚好能被社工手段确定;
第五,各大网站、APP的漏洞依然存在。
要满足以上所有条件,需要极大的运气。据小A讲,他一个晚上虽然能嗅探到很多短信、捕获到很多号码,但最后能盗刷成功的少之又少,而且因为很多公司的风控很严,盗刷的金额也都比较小。因此,我们要辩证、完整地看待这类犯罪,即要了解原理,也不要过于恐慌,二弟提供给大家几项最实用的办法:
中国移动和中国联通的手机是高风险用户,如无必要,睡觉前直接关机或者开启飞行模式。你无法接收到短信,嗅探设备也无法接收到。
如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或者启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。
关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或者其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。
同时,我们也敬告广大企事业单位,对于自己单位网站、APP上的一些漏洞,要及时进行处理,避免被更多黑产人士利用,要注意在安全与便利之间找到平衡点。也再次提醒支付宝、京东、苏宁、中国移动、招商银行、工商银行安全管理团队与我们取得联系,及时封堵此次小A发现的漏洞。当然,需要说明的是,这些漏洞并非是十分危险的技术漏洞,而是存在被黑产利用的风险.
微信公众号:“终结诈骗”
No comments:
Post a Comment