当前位置:首页 > 天道酬勤 > 正文内容

()

张世龙2021年12月20日 17:50天道酬勤950

一个手机用户陆续收到了邮件的验证码。

黑产设备卖方的QQ空间。

一个安全圈的人发给新京报记者的配置好的摩托罗拉C118手机。

二手平台上有卖方出售信息嗅探器收集系统。

黑产用“邮件嗅探器”劫持你的信息,进一步获取手机号码,支付账号,实现偷拍; 监管加强了打击管理

“觉得隐私被泄露了,很害怕。 ’前一天下午,石家庄科学技术工程职业技术学院的寂寞海苔在学校附近突然收到了很多邮件验证码。 寂寞的海苔不知道,她这次特殊经历的背后,很可能隐藏着长期盘踞的黑色产业链。

许多安全圈人士对新京报记者表示,寂寞海苔的遭遇可能与被称为“GSM劫持SMS嗅探器”的技术有关。 其实,这不是例子。 迄今为止,上午收到了数百个验证码,被盗过。

根据北京新闻记者的调查,这个黑产的入门门槛极低,所需的代码都是开源的。 只需在网上花不到30元购买摩托罗拉C118手机,黑色产业者就可以窥探用户手机内的邮件内容。 在这个背景下,偷银行卡成为可能。 更可怕的是,消息嗅探器只是巨大黑色产业帝国的冰山一角。 通过手机号码,业内人士可以利用社会工作者等手段了解用户的房间、地址等多种敏感信息,从而轻松地描绘出用户的图像。

记者进一步调查后发现,实际上2G网络协议的天然缺陷提供了犯罪的温床。

“准空姐”30秒收到29条验证码信息

每当想起前一天下午的遭遇,寂寞的海苔总是皱着眉头。 “觉得隐私被泄露了,很害怕。 ”

那天,正要去买东西的她刚出校门,总是很安静的手机突然不停发出声音,各APP纷纷发来验证码短信。

寂寞的海苔是“准空姐”。 前几天,经过6次与竞争对手的角逐,她终于在南方航空的面试中脱颖而出,等待着训练的到来。 “看到南航邮件的验证码时,我像木头人一样,害怕影响将来。 ’除了网络贷款和几个支付平台的密码外,来自南方航空的两个验证码让寂寞的海苔尤为担忧。 对她来说,包括“南方航空”四个字在内的所有信息都可以轻易触及她的未来。

“我从没遇到过这样的事。 ”为了避免突然的手机留言声,寂寞的海苔不到2秒钟,就把手机设为飞行模式。 “下单一看,因为各个验证码的后面写着有效时间,所以我本能地这么做了。 ”

之后,据统计,寂寞的海苔在不到30秒的时间内,总共收到了29封验证码邮件。

寂寞的海苔不知道,她这次特殊经历的背后,很可能隐藏着长期盘踞的黑色产业链。 遭遇相似遭遇的,不仅仅是她。 但是,其他人都不像寂寞的紫菜那样幸运。

“是一种消息嗅探器装置,可以直接嗅探通信用户所有手机的消息。 ”以“登陆”为目的的优雅斑马(假名)的介绍。 “登陆”是黑产业者中的隐语,为了规避风险,一些黑产业者在从事一定时期后会“金盆洗手”。 他说:“黑色产业者拥有专用的手机号码收集装置,可以利用收集到的手机号码,通过点卡网等进行找回密码等操作,实现盗刷。 但是,该设备只能攻击2G网络条件下的手机。 配合下变频设备,也可以将覆盖范围内的手机网络状态强制变为2G,实现下变频攻击。 ”

醒来没钱了,发生了很多邮件嗅探

与寂寞海苔相似,去年7月30日,微博网友@-美国年lhzdlr发现,凌晨她的手机收到了支付宝(Alipay )、京东、银行APP等100多条验证码。 据介绍,有人用她的京东账户、支付宝(Alipay )等预订房间,充值到加油卡上,共盗走1万多人。 当时,许多业内人士对“GSM劫持信息嗅探器”技术表示怀疑和提及。

指针回到去年11月,武汉市汉阳区警方连续4天接到5起可疑案件。 受害者起床后,手机收到了大量的验证码和取现邮件,发现银行卡里的钱不见了。 其中,损失最大的受害者一夜之间,卡内1.9万元被分17次跳槽。 2019年3月7日上午,汉阳区公安分局刑侦大队民警控制嫌疑人蓝色花卷、包容羽毛,在湖北省首次查处利用“邮件嗅探”技术的新型诈骗案。 据报道,自去年9月以来,2名嫌疑人实施犯罪以来共30余件,共计获利20余万元。

3月27日,南昌市西湖区人民法院开庭审理江西省首例利用短信嗅探设备网络盗窃消费案件,这条黑色产业链也浮出水面。

被告人wndlf、dddhlg、fdqd三人通过QQ、wechat认识后,明确分工合作共同实施盗窃。 wndlf是“主机”,通过消息嗅探器获取周围500米以内可以犯罪的手机号码和主机名,并将该信息传输到在线dddhlg; dddhlg请其他人查询手机号码所有者的身份信息和相关的银行卡信息,将该信息称为在线fdqd (业内称为“出口产品”); fdqd利用短信认证方式在快速支付中

博彩网站盗刷或者用微信、支付宝在京东商城进行消费。在一个月的时间里,被告人wndlf伙同dddhlg、fdqd作案1起、伙同他人作案2起,盗取他人财物共计8671元。

值得注意的是,这项黑产技术生命力颇为顽强,虽被多地警方所关注并打击,但仍在重拳整治下生存至今。

售价1000元的嗅探技术其实只要30元?

新京报记者调查发现,短信嗅探设备易得、操作简便,实际上为黑产从业者设立了相当低的门槛。

“只需要一部摩托罗拉C118手机就可以实现短信嗅探。”一位业内人士告诉新京报记者,“在网上,可以很容易地买到。”

在某电商平台,记者通过搜索关键词“采集C118”后,出现12个名为“C118采集器系统软件全套”的商品。其中绝大多数商品封面或为嗅探成功的系统后台,或为已经改装好的摩托罗拉C118。新京报记者在一个系统后台的封面图片底部中注意到,“您好!您于2018-11-29 18:25:16.使用外部电商平台充值服务为135××××××××号码充值50.00元”这句话被用红线标注。“在线学习,包教会设备和系统,可以监测直径约500米范围的2G短信。”其中一名卖家告诉新京报记者,“全套设备和系统代码共1000元。”

新京报记者以买家身份和多名嗅探设备卖家取得联系。为了展示产品的真实性,几乎每个嗅探设备的卖家,都会主动给记者展示大量其设备正常运行的视频。在嗡鸣的风扇声中,他们将改装过的摩托罗拉C118与笔记本电脑连接妥当。登录系统后不久,实验手机接收到的短信内容便会出现在视频中泛黄的屏幕中。

然而,对于这项技术而言,其实“并不值1000元”。

“那些都是骗刚入行的小白的,这套设备的价格完全等价于硬件的价格,不会超过100元。”优雅的斑马告诉记者。据其介绍,硬件上,只需要购买一个不到30元钱的摩托罗拉C118手机,用几个常用电子元件改装便可;而软件上,将修改过的OsmocomBB编译进摩托罗拉C118手机里面,就可以为手机添加嗅探功能。

公开资料显示,OsmocomBB是从硬件层到应用层彻彻底底开源的GSM协议实现项目。因为是开源,黑产从业者可以轻而易举获得该代码,甚至不必大量去学习通信相关专业知识,就能实现并模拟GSM协议,按照自己的需求随意更改,添加功能。

据安全圈人士传统的冬日(化名)向新京报记者介绍,除了摩托罗拉C118,还有摩托罗拉、索尼爱立信的多个机型,均可被用于该技术。但是,摩托罗拉C118却成为众多黑产从业者的不二选择。“摩托罗拉C118兼容性最好,价格便宜,所以也就成为了最合适的手机。”传统的冬日说。

值得一提的是,部分平台短信验证码内容的不合理,实际上也间接提供了犯罪的温床。“其实,这个设备只能嗅探到2G短信内容,但并不能嗅探到手机号。”优雅的斑马坦言,“用户手机中很多短信内容都包含用户的手机号,用这个手机号登录一些充值平台,然后点击更改密码或者直接充值,就可以技术变现。”

在优雅的斑马看来,一些平台发送给用户的验证码中直接包括电话号码,实际上也为黑产从业者提供了一定的便利。“不过,也有专门的手机号码采集器可以采集到用户的手机号。”

只针对2G信号?从4G降为2G也要小心

去年9月17日,2018国家网络安全宣传周——网络安全博览会开幕,有展馆展出了多种网络黑灰产作案工具,其中便包括能够悄无声息偷走手机短信的“2G短信嗅探设备”。

据介绍,2G短信嗅探设备总材料价格不足100元,但可以做到获取周边任何人的短信内容,危害特别大。基站以广播方式转发到用户手里的加密短信,可被这套设备所截取并破解还原出来,最终被黑产用户实现信息窃取、资金盗刷和网络诈骗等犯罪。此前此类犯罪只针对移动与联通,不针对电信,同时这种犯罪只针对2G信号。

“但其实,手机在3G或4G时的特定情景下也有可能被监控到,原因是通过特殊设备压制或者信号质量不佳导致信号降频。”知道创宇404实验室副总监忐忑的含羞草告诉新京报记者。

“2G本来就是开源的,在数据传输过程中也没有加密。”忐忑的含羞草向新京报记者介绍说,在短信嗅探中,C118手机只是扮演着一个伪基站的角色。

伪基站又称“假基站”,可以利用移动信令监测系统监测移动通讯过程中的各种信令过程,获得手机用户当前的位置信息。按照通信协议世界的“游戏规则”,谁来先跟你“握手”,设备便会优先作出回应。伪基站启动后就会干扰和屏蔽一定范围内的运营商信号,之后则会搜索出附近的手机号,主动握手,并将短信发送到这些号码上。屏蔽运营商的信号可以持续10秒到20秒,短信推送完成后,对方手机才能重新搜索到信号。

给不法分子可乘之机的,却是2G网络的天然缺陷。“2G网络其架构本身就是开源的,其使用的GSM协议也都是明文传输。因为并没有加密,所以在传输的过程中就可以嗅探到。将C118连接至电脑,然后用类似Wireshark的网络抓包工具直接抓包,就可以抓出来通信过程中的所有指令。”忐忑的含羞草说。

其实,听起来骇人听闻的GSM短信嗅探技术并非没有自己的软肋。据忐忑的含羞草介绍,GSM短信嗅探技术的短板,主要有两方面,“一方面是摩托罗拉C118发射功率有限,黑产从业者只有在‘bhdxxm’附近时才能实现嗅探,距离被严重限制;另一方面是这种方法获取的信息比较单一,只能获取短信验证码,所以只能做与短信验证码相关的事情。”

忐忑的含羞草说:“我们能做的事情还有很多,比如说U盾等实体二步认证硬件就可以很好地防范这种攻击。”

全链条:获取身份证号、银行账号、支付账号

新京报记者进一步调查发现,GSM短信嗅探攻击已基本实现全链条化。在电信用户的短信验证码、手机号码被劫持的的基础上,黑产从业者可以通过社工库等方式获取身份证号码、银行账号、支付平台账号等敏感信息。

在一个名为“C118研究社嗅探学习群”的QQ群中,一则与查询个人信息相关的广告显示,“可查卡查证”。有媒体曾在报道中提及,记者花费700元就买到同事行踪,包括乘机、开房、上网吧等11项记录。在另一个名为“短信设备”的QQ群中,一名自称出售短信号码采集器的卖家表示,“通过号码采集器可以采集到一定范围的手机号码。”

在这个QQ群里,共聚集着377名黑产从业者。每天,如何“赚大钱”成为群内学习和讨论的焦点。

那么,黑产从业者是如何通过手机号来查到多种个人信息的呢?新京报记者发现,通过社工库并不难实现个人信息的查询。所谓社工库,即一个数据资料集合库,包含有大量被泄露的数据。通过这些数据,社工库的使用者可以轻易勾勒出一幅用户的网络画像。

有接近黑灰产的人士指出,随着国内监管愈发严格,社工库一般只供黑产团伙内部使用。并且,目前灰产从业者有向国外转移的趋势。在暗网上的某个交易市场中,新京报记者发现大量包含“个人信息查询”的交易帖。其中一则帖子中显示,可以查户籍信息、开房信息、婚姻、宽带。在该交易帖中,根据查询信息不同,价位也从0.014BTC-0.15BTC不等。交易信息一览中显示,该商品单价为1美元,用户可以通过调整购买数量来满足不同需求。在不可追踪的暗网交易市场中,该服务“颇有卖相”,截至4月28日,该商品显示已被购买1368次。

■ 分析

短信验证码安全吗?

愈演愈烈的黑产,引发人们对手机短信验证码本身是否足够安全的讨论。有关人士表示,现在手机验证码能做到的东西(转账、实名等)已经远远超出了它本身安全性的范围。

据《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。而且电信诈骗案每年以20%至30%的速度在增长。

另据阿里安全归零实验室统计,2017年4月至12月共监测到电信诈骗数十万起,案发资金损失过亿元,涉及受害人员数万人,电信诈骗案件居高不下,规模化不断升级。2018年,活跃的专业技术黑灰产平台多达数百个。

那么,面对规模如此庞大的黑灰产,短信验证码是否已经显得捉襟见肘了呢?对此,忐忑的含羞草认为,虽然在嗅探的情景下,短信验证码并不安全,但是就目前来说,短信验证码仍是一个切实可行的方案。

“就目前情况来看,如果将短信验证码换成其他的验证方式,无形之中肯定会加大使用成本。”忐忑的含羞草告诉新京报记者,“安全是相对的,就看愿意付出多大的代价。与便捷性相平衡,短信验证码相对合适。安全本身就是提升攻防双方的成本,并没有绝对的安全。”

如何防范短信嗅探?

那么如何防止被黑产截获短信呢?2018年2月,全国信息安全标准化技术委员会秘书处发布《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》。

该指引指出,攻击者在截获短信验证码后,能够假冒受害者身份,成功通过移动应用、网站服务提供商的身份验证安全机制,实施信用卡盗刷等网络犯罪,给用户带来经济损失。指引同时指出,缺陷修复难度大。目前,GSM网络使用单向鉴权技术,且短信内容以明文形式传输,该缺陷由GSM设计造成,且GSM网络覆盖范围广,因此修复难度大、成本高。攻击过程中,受害者的手机信号被劫持,攻击者假冒受害者身份接入通信网络,受害者一般难以觉察。

那么,面对GMS短信嗅探的威胁,我们是否真的束手无策呢?有专家建议,用户可以要求运营商开通VoLTE功能(一种数据传输技术),从而防范短信被劫持的可能。“也就是说,不再使用2G网络传输短信,而是让短信通过4G网络传输,从而防范无线监控窃取短信。”也有专家认为,运营商应尽快替换掉2G网络。通信运营商应考虑加快淘汰2G网络技术,以更大程度确保信息安全。据介绍,在国际上,2G网络已被诸多运营商所抛弃。

上述指引也建议各移动应用、网站服务提供商优化用户身份验证措施,选用一种或采用多种方式组合,加强安全性:如短信上行验证(提供由用户主动发送短信用以验证身份的功能)、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份验证方式等。

新京报记者 曾经的手机 lidawei@xjbnews.com

扫描二维码推送至手机访问。

版权声明:本文由花开半夏のブログ发布,如需转载请注明出处。

本文链接:https://www.zhangshilong.cn/work/25782.html

分享给朋友:

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。