萬(wàn)商超信
防短信驗(yàn)證碼攻擊策略(短信驗(yàn)證碼攻擊防御)
2021-12-14 03:44
詭異退訂,回復(fù)驗(yàn)證碼后手機(jī)癱瘓
4月8日傍晚,北京晚高峰的地鐵里,小許收到了幾條來自中國(guó)移動(dòng)官方號(hào)碼“10086”的短信。[防短信驗(yàn)證碼攻擊策略(短信驗(yàn)證碼攻擊防御)]。短信稱,他已成功訂閱一項(xiàng)“手機(jī)報(bào)半年包”服務(wù),并實(shí)時(shí)扣費(fèi)造成手機(jī)余額不足。
小許很奇怪,因?yàn)樗緵]有訂閱這個(gè)服務(wù)。又一條短信來了,上面說只要回復(fù)“取消+驗(yàn)證碼”即可退訂,且3分鐘內(nèi)退訂免費(fèi)。
小許正琢磨驗(yàn)證碼到底是什么時(shí),又收到了一條來自“10086”的短信:“您的USIM卡驗(yàn)證碼為******(六位數(shù)字)”。
小許這下沒多想,編輯了“取消+六位驗(yàn)證碼”的短信回了過去。原以為成功避免了一次常見吸費(fèi)的他,卻突然發(fā)現(xiàn),自己的手機(jī)顯示“無服務(wù)”,無論重啟多少次,都沒有響應(yīng)!
一條短信,讓他一夜之間身無分文
當(dāng)晚8點(diǎn),手機(jī)在wifi下收到了支付寶的轉(zhuǎn)賬提示,這意味著有人在另一個(gè)終端上操作他的支付寶。
由于手機(jī)無法呼出掛失,小許只好通過操作客戶端解綁支付寶與三張銀行卡的綁定,并讓親友撥打支付寶客服凍結(jié)賬號(hào)。但當(dāng)他掛失完成后,發(fā)現(xiàn)支付寶已經(jīng)沒錢了,網(wǎng)銀也被跨行轉(zhuǎn)賬,每張銀行卡余額都是0。
更讓他恐懼的是,第二天他發(fā)現(xiàn)名下的招行、工行兩張儲(chǔ)蓄卡被人綁定在“百度錢包”上,加上小許原本在“百度錢包”綁定的中行卡,三張卡在事發(fā)當(dāng)晚均進(jìn)行了資金轉(zhuǎn)移操作,并通過招行和工行的手機(jī)銀行,以“短信驗(yàn)證碼轉(zhuǎn)賬”全部轉(zhuǎn)入了兩個(gè)陌生賬號(hào)。這意味著,就連他的銀行賬號(hào)也失守了。
騙子竟是這樣設(shè)局,幾乎天衣無縫!
小許的遭遇讓眾多網(wǎng)友震驚,也在通信、互聯(lián)網(wǎng)和銀行業(yè)內(nèi)引發(fā)熱議。從收到短信,直到眼見所有賬戶被徹底洗劫,整個(gè)過程只有3個(gè)多小時(shí)。對(duì)此,央視調(diào)查復(fù)盤了整個(gè)騙術(shù),令人瞠目結(jié)舌。
1.破解移動(dòng)官網(wǎng)密碼發(fā)動(dòng)攻擊
中國(guó)移動(dòng)北京分公司官網(wǎng)上,記者找到了“中廣財(cái)經(jīng)半年包”業(yè)務(wù)。自助訂閱后立即扣費(fèi),記者收到的短信和小許收到的內(nèi)容完全一樣,都來自 “10086”。那么,明明小許沒有訂閱,為何會(huì)收到訂閱短信?據(jù)中國(guó)移動(dòng)內(nèi)部查證:4月8日17:54,有人通過海南海口的一個(gè)IP地址,以小許的手機(jī)號(hào)成功登錄了北京移動(dòng)官網(wǎng),不僅發(fā)起手機(jī)報(bào)訂閱,還在18:13成功辦理了一項(xiàng)名為“自助換卡”的業(yè)務(wù)。
2.發(fā)“退訂”短信 制造驗(yàn)證碼假象
騙子在攻破移動(dòng)網(wǎng)站的登陸密碼后,給小許訂閱了手機(jī)報(bào),并發(fā)了“取消+驗(yàn)證碼”的退訂信息。這么做一是通過手機(jī)欠費(fèi)讓小許產(chǎn)生擔(dān)心;二是制造“退訂”時(shí)需要“驗(yàn)證碼”的假象。
3.啟動(dòng)換卡流程 “退訂”變“換卡”
套取驗(yàn)證碼是騙術(shù)的關(guān)鍵,而騙局的核心是“自助換卡”。
上文提到,騙子在登陸移動(dòng)官網(wǎng)后還發(fā)起了“自助換卡”業(yè)務(wù)。這是中國(guó)移動(dòng)推出的一項(xiàng)在線服務(wù),用戶不必跑營(yíng)業(yè)廳,直接在官網(wǎng)操作就可以更換4G手機(jī)卡。新卡立即生效,舊卡同時(shí)作廢。
但是,自助換卡時(shí)系統(tǒng)會(huì)向用戶發(fā)一個(gè)二次確認(rèn)的驗(yàn)證碼,也就是那條短信:USIM卡六位驗(yàn)證碼。只有把這個(gè)驗(yàn)證碼填回后,才會(huì)繼續(xù)發(fā)起換卡。也就是說,這個(gè)驗(yàn)證碼能直接把原手機(jī)的SIM卡廢掉,原來的號(hào)碼將會(huì)轉(zhuǎn)移到另一張SIM卡上!
這是設(shè)局的關(guān)鍵,騙子制造“退訂”假象,就是要拿到這張新SIM卡。
而小許收到的來自真正10086自動(dòng)發(fā)出的驗(yàn)證碼,沒有說明用途,也沒有對(duì)驗(yàn)證碼的泄露風(fēng)險(xiǎn)進(jìn)行提示,結(jié)果他將驗(yàn)證碼誤以為是退訂用的,回復(fù)給了騙子。
小許認(rèn)為,騙子正是在這個(gè)絕大多數(shù)人不清楚的信息盲點(diǎn)上做文章,借助兩項(xiàng)中移動(dòng)的官方業(yè)務(wù),編造了整個(gè)騙局。
對(duì)此,移動(dòng)公司表示,目前不能準(zhǔn)確解釋小許賬號(hào)是如何被他人成功登錄的,但如果密碼設(shè)置過于簡(jiǎn)單,或與其他安全級(jí)別較低的網(wǎng)站密碼相同,就可能被攻破。
運(yùn)營(yíng)商的冷門業(yè)務(wù),成了攻擊的后門
小許的經(jīng)歷并非個(gè)例,不少網(wǎng)友主動(dòng)與小許聯(lián)系,講述自己被攻擊的經(jīng)過。安全專家把它稱作“補(bǔ)卡攻擊”。
與到營(yíng)業(yè)廳當(dāng)面辦理不同,自助換卡全程都沒有核驗(yàn)操作者的身份信息,僅需要準(zhǔn)備一張未被寫入號(hào)碼信息的新卡,并將卡面上的編號(hào)輸入網(wǎng)頁(yè),這張卡被業(yè)內(nèi)稱為“白卡”。
據(jù)了解,這種“白卡”和領(lǐng)取人的手機(jī)號(hào)沒有綁定關(guān)系,因而領(lǐng)取后可以寫入任何手機(jī)號(hào),不僅可免費(fèi)從官方途徑獲得,甚至在淘寶等網(wǎng)站上都有公開售賣。也就是說,攻擊者只需要以小許的手機(jī)號(hào)成功登錄中移動(dòng)官網(wǎng),再騙到那個(gè)沒有任何說明的6位驗(yàn)證碼,剩下的條件都能輕易獲取,不需任何身份驗(yàn)證。
騙子在這一過程中,自始至終利用的都是中國(guó)移動(dòng)的業(yè)務(wù)、工具和平臺(tái)。
記者發(fā)現(xiàn),騙局的幾條短信中10086是中國(guó)移動(dòng)統(tǒng)一客服號(hào)碼、10658000是中國(guó)移動(dòng)手機(jī)報(bào)號(hào)碼,令小許深信不疑。就連事件中唯一一條由騙子編造的短信,也是利用“139郵箱”的發(fā)短信功能發(fā)出的。
實(shí)操發(fā)現(xiàn),如果手機(jī)沒有將發(fā)短信的郵箱對(duì)應(yīng)的手機(jī)號(hào)存儲(chǔ)為聯(lián)系人,接收到的信息均顯示以10658開頭。而中移動(dòng)旗下的“服務(wù)提供商業(yè)務(wù)號(hào)碼”發(fā)送的行業(yè)短信大都以10658開頭……
因此,139郵箱的發(fā)短信功能被利用,成為騙局的重要一環(huán)。而這項(xiàng)中移動(dòng)已推出8年的免費(fèi)功能,很少有人了解它的操作細(xì)節(jié)。
更恐怖的推斷:你的個(gè)人信息,早就被賣了
工商銀行客服介紹,只有取錢密碼、銀行卡號(hào)和手機(jī)完全掌握才能在網(wǎng)銀上操作。這意味著,盡管有了關(guān)鍵的短信驗(yàn)證碼,但同時(shí)還分別需要身份證號(hào)和銀行卡號(hào)。因而可以斷定,在這之前,小許更多的個(gè)人信息已被攻擊者掌握了。
安全專家表示,個(gè)人信息已形成地下數(shù)據(jù)庫(kù)。這個(gè)庫(kù)里面會(huì)有大量完整的個(gè)人信息的鏈條。比如姓名、家庭住址、手機(jī)號(hào)、銀行卡號(hào)、銀行密碼,其實(shí)在網(wǎng)絡(luò)黑市里都有,且是別人整理好的,不是零散的。
記者對(duì)事件所涉的第三方支付平臺(tái)和手機(jī)銀行的關(guān)鍵業(yè)務(wù)操作匯總后發(fā)現(xiàn):所有的在線支付都可用手機(jī)號(hào)和靜態(tài)密碼登錄,百度錢包直接可用短信驗(yàn)證碼登錄;更改登錄密碼和轉(zhuǎn)賬支付也需要依靠短信驗(yàn)證碼;而第三方支付最重要的“支付密碼”,支付寶也簡(jiǎn)化到僅憑短信驗(yàn)證碼就可更改。好比所有的雞蛋都放在一個(gè)籃子里,導(dǎo)致了種種問題。
專家:如何防范“驗(yàn)證碼攻擊”
信息安全專家提示,如果只靠一個(gè)簡(jiǎn)單的靜態(tài)密碼,無法保證安全,下面這四招一定要記住:
1.靜態(tài)密碼設(shè)置一定要復(fù)雜
靜態(tài)密碼首先要足夠復(fù)雜,并妥善保管防止泄露。其次,攻擊者經(jīng)常利用各種手段對(duì)短信進(jìn)行偽裝,并千方百計(jì)地對(duì)攻擊對(duì)象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對(duì)"運(yùn)營(yíng)商"、"銀行"等身份的手機(jī)短信和來電進(jìn)行認(rèn)真甄別,冷靜應(yīng)對(duì)。
2.遇“干擾信息”仔細(xì)甄別
攻擊者經(jīng)常利用各種手段對(duì)短信進(jìn)行偽裝,并千方百計(jì)地對(duì)攻擊對(duì)象進(jìn)行誤導(dǎo)、甚至恐嚇。所以一定要對(duì)“運(yùn)營(yíng)商”、“銀行”等身份的手機(jī)短信和來電進(jìn)行認(rèn)真甄別,冷靜應(yīng)對(duì)。
3.手機(jī)離奇“癱瘓” 先緊急“掛失”!
如果手機(jī)通訊出現(xiàn)癱瘓,一定要馬上查清故障原因。如非手機(jī)本身或信號(hào)故障,要立刻掛失手機(jī)卡,并及時(shí)凍結(jié)第三方支付和銀行賬戶,避免攻擊者趁用戶處于"信息孤島"時(shí),冒名頂替機(jī)主身份竊取賬戶。
最重要的是:短信驗(yàn)證碼不要告訴任何人!
電信運(yùn)營(yíng)商和提供相關(guān)服務(wù)的企業(yè)只會(huì)將短信驗(yàn)證碼下發(fā)給用戶,絕對(duì)不會(huì)要求用戶通過短信或電話進(jìn)行所謂“回復(fù)驗(yàn)證碼”的操作。
