萬商超信
防短信驗證碼攻擊策略(短信驗證碼攻擊防御)
2021-12-14 03:44
詭異退訂,回復驗證碼后手機癱瘓
4月8日傍晚,北京晚高峰的地鐵里,小許收到了幾條來自中國移動官方號碼“10086”的短信。[防短信驗證碼攻擊策略(短信驗證碼攻擊防御)]。短信稱,他已成功訂閱一項“手機報半年包”服務,并實時扣費造成手機余額不足。
小許很奇怪,因為他根本沒有訂閱這個服務。又一條短信來了,上面說只要回復“取消+驗證碼”即可退訂,且3分鐘內退訂免費。
小許正琢磨驗證碼到底是什么時,又收到了一條來自“10086”的短信:“您的USIM卡驗證碼為******(六位數字)”。
小許這下沒多想,編輯了“取消+六位驗證碼”的短信回了過去。原以為成功避免了一次常見吸費的他,卻突然發現,自己的手機顯示“無服務”,無論重啟多少次,都沒有響應!
一條短信,讓他一夜之間身無分文
當晚8點,手機在wifi下收到了支付寶的轉賬提示,這意味著有人在另一個終端上操作他的支付寶。
由于手機無法呼出掛失,小許只好通過操作客戶端解綁支付寶與三張銀行卡的綁定,并讓親友撥打支付寶客服凍結賬號。但當他掛失完成后,發現支付寶已經沒錢了,網銀也被跨行轉賬,每張銀行卡余額都是0。
更讓他恐懼的是,第二天他發現名下的招行、工行兩張儲蓄卡被人綁定在“百度錢包”上,加上小許原本在“百度錢包”綁定的中行卡,三張卡在事發當晚均進行了資金轉移操作,并通過招行和工行的手機銀行,以“短信驗證碼轉賬”全部轉入了兩個陌生賬號。這意味著,就連他的銀行賬號也失守了。
騙子竟是這樣設局,幾乎天衣無縫!
小許的遭遇讓眾多網友震驚,也在通信、互聯網和銀行業內引發熱議。從收到短信,直到眼見所有賬戶被徹底洗劫,整個過程只有3個多小時。對此,央視調查復盤了整個騙術,令人瞠目結舌。
1.破解移動官網密碼發動攻擊
中國移動北京分公司官網上,記者找到了“中廣財經半年包”業務。自助訂閱后立即扣費,記者收到的短信和小許收到的內容完全一樣,都來自 “10086”。那么,明明小許沒有訂閱,為何會收到訂閱短信?據中國移動內部查證:4月8日17:54,有人通過海南海口的一個IP地址,以小許的手機號成功登錄了北京移動官網,不僅發起手機報訂閱,還在18:13成功辦理了一項名為“自助換卡”的業務。
2.發“退訂”短信 制造驗證碼假象
騙子在攻破移動網站的登陸密碼后,給小許訂閱了手機報,并發了“取消+驗證碼”的退訂信息。這么做一是通過手機欠費讓小許產生擔心;二是制造“退訂”時需要“驗證碼”的假象。
3.啟動換卡流程 “退訂”變“換卡”
套取驗證碼是騙術的關鍵,而騙局的核心是“自助換卡”。
上文提到,騙子在登陸移動官網后還發起了“自助換卡”業務。這是中國移動推出的一項在線服務,用戶不必跑營業廳,直接在官網操作就可以更換4G手機卡。新卡立即生效,舊卡同時作廢。
但是,自助換卡時系統會向用戶發一個二次確認的驗證碼,也就是那條短信:USIM卡六位驗證碼。只有把這個驗證碼填回后,才會繼續發起換卡。也就是說,這個驗證碼能直接把原手機的SIM卡廢掉,原來的號碼將會轉移到另一張SIM卡上!
這是設局的關鍵,騙子制造“退訂”假象,就是要拿到這張新SIM卡。
而小許收到的來自真正10086自動發出的驗證碼,沒有說明用途,也沒有對驗證碼的泄露風險進行提示,結果他將驗證碼誤以為是退訂用的,回復給了騙子。
小許認為,騙子正是在這個絕大多數人不清楚的信息盲點上做文章,借助兩項中移動的官方業務,編造了整個騙局。
對此,移動公司表示,目前不能準確解釋小許賬號是如何被他人成功登錄的,但如果密碼設置過于簡單,或與其他安全級別較低的網站密碼相同,就可能被攻破。
運營商的冷門業務,成了攻擊的后門
小許的經歷并非個例,不少網友主動與小許聯系,講述自己被攻擊的經過。安全專家把它稱作“補卡攻擊”。
與到營業廳當面辦理不同,自助換卡全程都沒有核驗操作者的身份信息,僅需要準備一張未被寫入號碼信息的新卡,并將卡面上的編號輸入網頁,這張卡被業內稱為“白卡”。
據了解,這種“白卡”和領取人的手機號沒有綁定關系,因而領取后可以寫入任何手機號,不僅可免費從官方途徑獲得,甚至在淘寶等網站上都有公開售賣。也就是說,攻擊者只需要以小許的手機號成功登錄中移動官網,再騙到那個沒有任何說明的6位驗證碼,剩下的條件都能輕易獲取,不需任何身份驗證。
騙子在這一過程中,自始至終利用的都是中國移動的業務、工具和平臺。
記者發現,騙局的幾條短信中10086是中國移動統一客服號碼、10658000是中國移動手機報號碼,令小許深信不疑。就連事件中唯一一條由騙子編造的短信,也是利用“139郵箱”的發短信功能發出的。
實操發現,如果手機沒有將發短信的郵箱對應的手機號存儲為聯系人,接收到的信息均顯示以10658開頭。而中移動旗下的“服務提供商業務號碼”發送的行業短信大都以10658開頭……
因此,139郵箱的發短信功能被利用,成為騙局的重要一環。而這項中移動已推出8年的免費功能,很少有人了解它的操作細節。
更恐怖的推斷:你的個人信息,早就被賣了
工商銀行客服介紹,只有取錢密碼、銀行卡號和手機完全掌握才能在網銀上操作。這意味著,盡管有了關鍵的短信驗證碼,但同時還分別需要身份證號和銀行卡號。因而可以斷定,在這之前,小許更多的個人信息已被攻擊者掌握了。
安全專家表示,個人信息已形成地下數據庫。這個庫里面會有大量完整的個人信息的鏈條。比如姓名、家庭住址、手機號、銀行卡號、銀行密碼,其實在網絡黑市里都有,且是別人整理好的,不是零散的。
記者對事件所涉的第三方支付平臺和手機銀行的關鍵業務操作匯總后發現:所有的在線支付都可用手機號和靜態密碼登錄,百度錢包直接可用短信驗證碼登錄;更改登錄密碼和轉賬支付也需要依靠短信驗證碼;而第三方支付最重要的“支付密碼”,支付寶也簡化到僅憑短信驗證碼就可更改。好比所有的雞蛋都放在一個籃子里,導致了種種問題。
專家:如何防范“驗證碼攻擊”
信息安全專家提示,如果只靠一個簡單的靜態密碼,無法保證安全,下面這四招一定要記住:
1.靜態密碼設置一定要復雜
靜態密碼首先要足夠復雜,并妥善保管防止泄露。其次,攻擊者經常利用各種手段對短信進行偽裝,并千方百計地對攻擊對象進行誤導、甚至恐嚇。所以一定要對"運營商"、"銀行"等身份的手機短信和來電進行認真甄別,冷靜應對。
2.遇“干擾信息”仔細甄別
攻擊者經常利用各種手段對短信進行偽裝,并千方百計地對攻擊對象進行誤導、甚至恐嚇。所以一定要對“運營商”、“銀行”等身份的手機短信和來電進行認真甄別,冷靜應對。
3.手機離奇“癱瘓” 先緊急“掛失”!
如果手機通訊出現癱瘓,一定要馬上查清故障原因。如非手機本身或信號故障,要立刻掛失手機卡,并及時凍結第三方支付和銀行賬戶,避免攻擊者趁用戶處于"信息孤島"時,冒名頂替機主身份竊取賬戶。
最重要的是:短信驗證碼不要告訴任何人!
電信運營商和提供相關服務的企業只會將短信驗證碼下發給用戶,絕對不會要求用戶通過短信或電話進行所謂“回復驗證碼”的操作。
