安全提醒: 伪基站升级短信嗅探疯狂盗刷就在你我身边
日前豆瓣网友独钓寒江雪遭遇让人恐惧的银行卡盗刷案,该网友在清晨五点的睡梦中被数百条的验证码惊醒。
数百条短信验证里包括蚂蚁金服的支付宝和京东旗下京东金融以及各个银行的等然后各个账户余额遭到洗劫。
令人失望的是该网友开通的支付宝账户保险遭到拒赔,京东金融未经验证的情况下被开通京东金条借贷服务。
先说支付宝的情况:(更新:支付宝将为用户进行垫付)
该网友支付宝的问题主要是通过短信验证码重置登录密码和支付密码,然后攻击者即可随意进行支付和转账。
通过支付宝绑定的各种储蓄卡直接将所有账户余额转出,通过绑定的信用卡购买虚拟产品进行套现操作等等。
遗憾的是尽管在已开通支付宝安全险的情况下出现盗刷,但支付宝称保险公司不认可盗刷情况所以直接拒赔。
京东未经验证开通高额借贷:(更新:京东称将为用户免除白条还款义务、金条未知)
攻击者通过重置京东账号密码顺利登陆京东金融账号,然后再开通京东白条和京东金条等借贷服务进行洗劫。
按相关监管要求开通此类服务需要用户上传身份证等信息,关于这点京东金融的官方客服同样是这么回答的。
然而实际情况是攻击者只是通过短信验证码即开通借贷,未能确定是用户本人的情况下审核通过并放出贷款。
最后对于该网友的申诉同样是踢皮球状态不认可盗刷情况,简单来说不论支付宝还是京东都在互相推诿状态。
攻击者如何劫持用户的短信验证码:
本次攻击事件中攻击者并不是通过补卡攻击来获得验证码,而是通过升级版的伪基站嗅探该网友的所有短信。
此方面内容我们在查看微信公众号守护者计划后才算看明白,简单来说就是现行的 GSM 通信协议存在漏洞。
攻击者使用自造的伪基站嗅探周边连接的手机,然后再通过改造过的设备用来监视受害者手机收到的验证码。
这种攻击属于单向攻击能够嗅探并查看受害者接收的验证码,但是这并不能阻止受害者设备也接收到验证码。
这也是文章开头该网友收到数百条短信的原因,在这名网友收到短信的同时攻击者那边也已成功获得验证码。
社会工程学+定点攻击:
这次攻击显然也属于定点攻击的范畴,因为拿到的关键信息如完整身份证号码依然是通过其他途径收集到的。
从网友叙述来看储蓄卡和信用卡盗刷主要通过支付宝完成的,所以网友的银行卡信息应该是没有出现泄漏的。
第二攻击者就在这名网友的周边:因为只要在周边才能使用伪基站嗅探该网友的短信、超出范围无法完成的。
知道这名网友的身份证号码、手机号码、以及住所在哪里,才能在清晨跑到受害者周边使用伪基站进行嗅探。
如何防御此类型的攻击:
这种类型的攻击防御起来并不算容易,但也不算太难:那就是每天晚上睡觉关机,当然直接开飞行模式也可。
微信公众号守护者计划提到的主要手机关机就可以断开与基站连接,无法接收验证码伪基站也无法进行嗅探。
绑定的各种银行卡按情况解绑:解绑后可以避免所有卡片余额被盗刷,前提是你的银行卡号码并没有泄露掉。
因为如果银行卡号码也已经被攻击者收集到了,那么攻击者也可以轻易地将其绑定到各个支付渠道进行盗刷。
倘若你在白天也遇到这种攻击最佳方案是发现异常验证码后立即关机,然后赶紧坐车跑的远远地再开机处理。
只要跑的远远地就能避免被攻击者的伪基站嗅探到验证码,否则即便你立即进行处理也无法阻止攻击者盗刷。
最后恳请大家帮忙转发该网友的微博:
对于互相扯皮推诿的结果就是受害最终可能必须通过起诉才能挽回损失,这个流程可能会持续两年甚至三年。
请大家关注这名网友并转发微博,希望能够引起足够的重视:https://weibo.com/2468321522/GsDzJ2fob