萬商超信
防短信驗證碼攻擊策略(短信驗證碼攻擊防御)
2021-12-14 03:44
詭異退訂,回復(fù)驗證碼后手機癱瘓
4月8日傍晚,北京晚高峰的地鐵里,小許收到了幾條來自中國移動官方號碼“10086”的短信。[防短信驗證碼攻擊策略(短信驗證碼攻擊防御)]。短信稱,他已成功訂閱一項“手機報半年包”服務(wù),并實時扣費造成手機余額不足。
小許很奇怪,因為他根本沒有訂閱這個服務(wù)。又一條短信來了,上面說只要回復(fù)“取消+驗證碼”即可退訂,且3分鐘內(nèi)退訂免費。
小許正琢磨驗證碼到底是什么時,又收到了一條來自“10086”的短信:“您的USIM卡驗證碼為******(六位數(shù)字)”。
小許這下沒多想,編輯了“取消+六位驗證碼”的短信回了過去。原以為成功避免了一次常見吸費的他,卻突然發(fā)現(xiàn),自己的手機顯示“無服務(wù)”,無論重啟多少次,都沒有響應(yīng)!
一條短信,讓他一夜之間身無分文
當(dāng)晚8點,手機在wifi下收到了支付寶的轉(zhuǎn)賬提示,這意味著有人在另一個終端上操作他的支付寶。
由于手機無法呼出掛失,小許只好通過操作客戶端解綁支付寶與三張銀行卡的綁定,并讓親友撥打支付寶客服凍結(jié)賬號。但當(dāng)他掛失完成后,發(fā)現(xiàn)支付寶已經(jīng)沒錢了,網(wǎng)銀也被跨行轉(zhuǎn)賬,每張銀行卡余額都是0。
更讓他恐懼的是,第二天他發(fā)現(xiàn)名下的招行、工行兩張儲蓄卡被人綁定在“百度錢包”上,加上小許原本在“百度錢包”綁定的中行卡,三張卡在事發(fā)當(dāng)晚均進(jìn)行了資金轉(zhuǎn)移操作,并通過招行和工行的手機銀行,以“短信驗證碼轉(zhuǎn)賬”全部轉(zhuǎn)入了兩個陌生賬號。這意味著,就連他的銀行賬號也失守了。
騙子竟是這樣設(shè)局,幾乎天衣無縫!
小許的遭遇讓眾多網(wǎng)友震驚,也在通信、互聯(lián)網(wǎng)和銀行業(yè)內(nèi)引發(fā)熱議。從收到短信,直到眼見所有賬戶被徹底洗劫,整個過程只有3個多小時。對此,央視調(diào)查復(fù)盤了整個騙術(shù),令人瞠目結(jié)舌。
1.破解移動官網(wǎng)密碼發(fā)動攻擊
中國移動北京分公司官網(wǎng)上,記者找到了“中廣財經(jīng)半年包”業(yè)務(wù)。自助訂閱后立即扣費,記者收到的短信和小許收到的內(nèi)容完全一樣,都來自 “10086”。那么,明明小許沒有訂閱,為何會收到訂閱短信?據(jù)中國移動內(nèi)部查證:4月8日17:54,有人通過海南海口的一個IP地址,以小許的手機號成功登錄了北京移動官網(wǎng),不僅發(fā)起手機報訂閱,還在18:13成功辦理了一項名為“自助換卡”的業(yè)務(wù)。
2.發(fā)“退訂”短信 制造驗證碼假象
騙子在攻破移動網(wǎng)站的登陸密碼后,給小許訂閱了手機報,并發(fā)了“取消+驗證碼”的退訂信息。這么做一是通過手機欠費讓小許產(chǎn)生擔(dān)心;二是制造“退訂”時需要“驗證碼”的假象。
3.啟動換卡流程 “退訂”變“換卡”
套取驗證碼是騙術(shù)的關(guān)鍵,而騙局的核心是“自助換卡”。
上文提到,騙子在登陸移動官網(wǎng)后還發(fā)起了“自助換卡”業(yè)務(wù)。這是中國移動推出的一項在線服務(wù),用戶不必跑營業(yè)廳,直接在官網(wǎng)操作就可以更換4G手機卡。新卡立即生效,舊卡同時作廢。
但是,自助換卡時系統(tǒng)會向用戶發(fā)一個二次確認(rèn)的驗證碼,也就是那條短信:USIM卡六位驗證碼。只有把這個驗證碼填回后,才會繼續(xù)發(fā)起換卡。也就是說,這個驗證碼能直接把原手機的SIM卡廢掉,原來的號碼將會轉(zhuǎn)移到另一張SIM卡上!
這是設(shè)局的關(guān)鍵,騙子制造“退訂”假象,就是要拿到這張新SIM卡。
而小許收到的來自真正10086自動發(fā)出的驗證碼,沒有說明用途,也沒有對驗證碼的泄露風(fēng)險進(jìn)行提示,結(jié)果他將驗證碼誤以為是退訂用的,回復(fù)給了騙子。
小許認(rèn)為,騙子正是在這個絕大多數(shù)人不清楚的信息盲點上做文章,借助兩項中移動的官方業(yè)務(wù),編造了整個騙局。
對此,移動公司表示,目前不能準(zhǔn)確解釋小許賬號是如何被他人成功登錄的,但如果密碼設(shè)置過于簡單,或與其他安全級別較低的網(wǎng)站密碼相同,就可能被攻破。
運營商的冷門業(yè)務(wù),成了攻擊的后門
小許的經(jīng)歷并非個例,不少網(wǎng)友主動與小許聯(lián)系,講述自己被攻擊的經(jīng)過。安全專家把它稱作“補卡攻擊”。
與到營業(yè)廳當(dāng)面辦理不同,自助換卡全程都沒有核驗操作者的身份信息,僅需要準(zhǔn)備一張未被寫入號碼信息的新卡,并將卡面上的編號輸入網(wǎng)頁,這張卡被業(yè)內(nèi)稱為“白卡”。
據(jù)了解,這種“白卡”和領(lǐng)取人的手機號沒有綁定關(guān)系,因而領(lǐng)取后可以寫入任何手機號,不僅可免費從官方途徑獲得,甚至在淘寶等網(wǎng)站上都有公開售賣。也就是說,攻擊者只需要以小許的手機號成功登錄中移動官網(wǎng),再騙到那個沒有任何說明的6位驗證碼,剩下的條件都能輕易獲取,不需任何身份驗證。
騙子在這一過程中,自始至終利用的都是中國移動的業(yè)務(wù)、工具和平臺。
記者發(fā)現(xiàn),騙局的幾條短信中10086是中國移動統(tǒng)一客服號碼、10658000是中國移動手機報號碼,令小許深信不疑。就連事件中唯一一條由騙子編造的短信,也是利用“139郵箱”的發(fā)短信功能發(fā)出的。
實操發(fā)現(xiàn),如果手機沒有將發(fā)短信的郵箱對應(yīng)的手機號存儲為聯(lián)系人,接收到的信息均顯示以10658開頭。而中移動旗下的“服務(wù)提供商業(yè)務(wù)號碼”發(fā)送的行業(yè)短信大都以10658開頭……
因此,139郵箱的發(fā)短信功能被利用,成為騙局的重要一環(huán)。而這項中移動已推出8年的免費功能,很少有人了解它的操作細(xì)節(jié)。
更恐怖的推斷:你的個人信息,早就被賣了
工商銀行客服介紹,只有取錢密碼、銀行卡號和手機完全掌握才能在網(wǎng)銀上操作。這意味著,盡管有了關(guān)鍵的短信驗證碼,但同時還分別需要身份證號和銀行卡號。因而可以斷定,在這之前,小許更多的個人信息已被攻擊者掌握了。
安全專家表示,個人信息已形成地下數(shù)據(jù)庫。這個庫里面會有大量完整的個人信息的鏈條。比如姓名、家庭住址、手機號、銀行卡號、銀行密碼,其實在網(wǎng)絡(luò)黑市里都有,且是別人整理好的,不是零散的。
記者對事件所涉的第三方支付平臺和手機銀行的關(guān)鍵業(yè)務(wù)操作匯總后發(fā)現(xiàn):所有的在線支付都可用手機號和靜態(tài)密碼登錄,百度錢包直接可用短信驗證碼登錄;更改登錄密碼和轉(zhuǎn)賬支付也需要依靠短信驗證碼;而第三方支付最重要的“支付密碼”,支付寶也簡化到僅憑短信驗證碼就可更改。好比所有的雞蛋都放在一個籃子里,導(dǎo)致了種種問題。
專家:如何防范“驗證碼攻擊”
信息安全專家提示,如果只靠一個簡單的靜態(tài)密碼,無法保證安全,下面這四招一定要記住:
1.靜態(tài)密碼設(shè)置一定要復(fù)雜
靜態(tài)密碼首先要足夠復(fù)雜,并妥善保管防止泄露。其次,攻擊者經(jīng)常利用各種手段對短信進(jìn)行偽裝,并千方百計地對攻擊對象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對"運營商"、"銀行"等身份的手機短信和來電進(jìn)行認(rèn)真甄別,冷靜應(yīng)對。
2.遇“干擾信息”仔細(xì)甄別
攻擊者經(jīng)常利用各種手段對短信進(jìn)行偽裝,并千方百計地對攻擊對象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對“運營商”、“銀行”等身份的手機短信和來電進(jìn)行認(rèn)真甄別,冷靜應(yīng)對。
3.手機離奇“癱瘓” 先緊急“掛失”!
如果手機通訊出現(xiàn)癱瘓,一定要馬上查清故障原因。如非手機本身或信號故障,要立刻掛失手機卡,并及時凍結(jié)第三方支付和銀行賬戶,避免攻擊者趁用戶處于"信息孤島"時,冒名頂替機主身份竊取賬戶。
最重要的是:短信驗證碼不要告訴任何人!
電信運營商和提供相關(guān)服務(wù)的企業(yè)只會將短信驗證碼下發(fā)給用戶,絕對不會要求用戶通過短信或電話進(jìn)行所謂“回復(fù)驗證碼”的操作。