“任何向您索要验证码的都是骗子,千万别给!”
“守住验证码,打死都不要告诉别人哦!”
生活中我们登陆网银等各类账号,或者修改密码时都需要用到验证码,单凭直觉也能告诉我们,短信验证码极其隐私和关键。但你以为自己不转发给犯罪分子就没事了吗?
据央视曝光,最近全国多地发生银行卡被盗刷事件,犯罪分子利用伪基站和嗅探设备获取受害人手机号和短信验证码作案。
受害者大多都是一觉醒来发现手机接到大量的来自银行、第三方支付和移动公司的各类短信验证码,银行账户被转空、金融账户开通借贷功能,手机自动订购了一堆无用的增值业务……
一天早上,陈先生起床后发现,大约在凌晨2-4点这段时间里,手机收到了几十条支付验证码和消费通知,金额2000-3000元不等,于是赶紧查看账户,发现存款都!没!了!
原来,犯罪分子利用手机2G网络(GSM)不加密传输的漏洞,通过伪基站和短信嗅探器,获取一定范围内的用户手机号码和短信,包括来自银行、第三方支付平台和移动运营商的短信验证码。然后,再利用各大银行、网站、移动支付APP存在的漏洞和缺陷,登陆APP,任意操作,实现信息窃取、资金盗刷。
(图片来源于网络)
虽然目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过不安全的2G网络在发送,使用明文传输,安全性不够。利用手机2G网络不加密传输的漏洞,只要你手机处于开机状态,又是2G信号,犯罪分子就可以通过伪基站和短信嗅探器,劫持到你手机的短信内容。甚至,犯罪分子还会人为干扰3G和4G信号,强制让你的手机“降维”到2G网络状态。
以往的盗刷,不法分子需要想法设防让受害人配合,但这种获取验证码的盗刷方式直接忽略了受害人的主观意志,危害性很大。
这些非法设备从何而来?在互联网和社交软件上搜索,就能够发现大量嗅探设备交易帖和交流群。不少卖家不仅详细介绍嗅探设备的功能,承诺“售后包教包会”,还时常分享一些拦截短信成功的截图,诱导在违法边缘观望的人购买设备。
怎样应对短信嗅探?
腾讯安全玄武实验室负责人于旸建议,短信通过4G网络传输,可以防范无线监听窃取短信。因此通信运营商应考虑加快淘汰2G网络技术,确保用户的短信和通话内容不被他人截获窃取。
除了获取验证码外,犯罪分子还需要知道受害人的身份证号、银行卡号等关键信息,所以用户平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。收到银行、支付平台和移动运营商等发来的验证码时,如果不是本人操作,尽快冻结银行卡、账号,减少损失。