龙空技术网

防范GSM劫持盗刷秘籍,请务必告知身边人

恩施网警 360

前言:

当前我们对“gsm鉴权过程”都比较讲究,我们都想要知道一些“gsm鉴权过程”的相关内容。那么小编也在网络上汇集了一些关于“gsm鉴权过程””的相关内容,希望我们能喜欢,兄弟们一起来学习一下吧!

最近几天,GSM劫持短信验证码盗刷的新闻吓坏了好多人。

“一夜之间,支付宝,京东,银行里面的钱全部没了,真是一无所有,此刻心里特别没有安全感!”

这是豆瓣网友独钓寒江雪 1号凌晨在豆瓣发帖时所说的一段话。

这可真的是

一觉醒来、一脸蒙蔽

一摸手机、一贫如洗

话说谁遇到这事也得难受半天。明明睡觉时手机就放在身边,没有接到任何预警,银行卡密码、手机验证码都没有泄露,结果早上一睁眼,好家伙,银行卡钱没了。这种无缘无故丢钱且报警后还给不出说法的事,换谁遇上心里都担惊受怕。

随着这一事件在微博上发酵曝光,根据警方披露的消息称,这是一种新型伪基站诈骗手段——“GSM劫持+短信嗅探”技术,正是这种技术才使得网友独钓寒江雪的钱财神秘失踪。那现在问题来了:

“GSM劫持+短信嗅探”是什么

据民警透露,GSM劫持+短信嗅探技术是近两年来出现的新型伪基站犯罪手段,使用的方法,是利用GSM 2G网络的设计缺陷,实现不接触目标手机,而获得目标手机所接收到的验证短信。进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。

具体来说是这样的:

1

骗子通过特种设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码。

2

骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为 “撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。

3

骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。

等你一觉醒来,发现手机里一大堆验证码的时候,你的积蓄已经飞走了……

值得注意的是,此类新型伪基站诈骗使用的方法主要是钻了手机信号协议的空子,据小任查询到的资料显示,国内使用的GSM通信协议,存在鉴权弱、短信明文传输的弊端,所以很容易会被劫持嗅探到。

理论来说,GSM劫持+短信嗅探的攻击技术基本上没有办法防范,一旦中招,短信信息就会泄露无余。

事实上,关于GSM协议的安全问题警方和信息安全管理部门早已关注了。早在2月11日,全国信息安全标准化技术委员会针对利用截获短信验证码实施网络身份假冒攻击的行为曾发布技术指引,并为移动应用和网站服务提供商提出采用短信上行验证、语音通话传输验证码、常用设备绑定、生物特征识别、动态选择身份验证方式等五种加强身份安全性的建议。

虽说在GSM协议下验证码短信由于本身处于明文传递所以才容易被嗅探劫持,但大家也不必过于担心自己的财产安全,毕竟我们常用的支付类、银行类APP除了短信验证码,还有指纹验证、图片验证、常用设备绑定等诸多二次验证机制,如果单单泄露验证码,问题是不大的。

但如果你的个人信息,如身份证、银行卡号密码、交易密码被盗,那可能就比较危险了。绝大多数中招的用户多半与自己的个人身份信息泄露有很大的关系。所以,大家不必过于担心自己的财产安全,GSM劫持防不了,其他信息泄露还是可防的。

如何避免GSM劫持,保障财产安全

从上文可以了解到,由于GSM通信协议存在鉴权弱、短信明文传输的弊端,所以骗子才能钻空子劫持短信验证码盗取用户钱财。此外,骗子劫持短信验证码后,个人信息泄露才是导致钱财被盗的引子。

因此,为避免自己的钱财受损,针对GSM劫持这种无法规避的恶意攻击行为,我们应从以下几方面来做好预防措施:

不使用GSM网络,骗子就嗅探不了短信信息。使用4G网络,睡觉前把手机关机,这样就能防止骗子钻空子来监听窃取短信;平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护;毕竟骗子仅有验证码无法盗取你的钱财;手机不要安装来路不明的APP,避免个人信息被窃取;同时,关闭手机的短信云备份功能,避免黑客撞库破解你的账户信息;看到奇怪的验证码短信,要赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了,火速冻结银行卡,报警。大额银行卡不要绑定手机卡,理论上最安全。

最后需要说明的是,这本是一场因通信协议存在缺陷所引发的安全事件,我们广大用户除了自身需要做好个人信息安全措施外,身为技术服务的提供商,各大运营商和通信管理部门也需要尽快采取有效技术手段来确保通信及用户财产安全。只有多方共同联手合作,用户的个人信息与财产安全才能得到安全保障。(来源:任子行)

标签: #gsm鉴权过程 #gsm鉴权管理的含义是什么 #gsm的鉴权过程