(ID:ifanr)
人在家里睡,债从天上来。
豆瓣网友“独钓寒江雪”最近很崩溃。
7 月 30 日下午 5 点,偶尔睡醒的她,发现手机莫名其妙收到 100 多条验证码邮件。经过认真复查,她发觉支付宝、余额宝和关联农行卡的钱都被转走了,而易迅帐号也被开通金条和白条功能,借款 1 万多。
什么都没做,一觉醒来一无所有,还背上一身欠款。这究竟是哪些盗窃套路?
在打电话报案、找联通停机、找支付宝报定损的同时,“独钓寒江雪”从热心网友提供的信息中获知:这可能是短信验证码惹的祸。
▲ 豆瓣网友“独钓寒江雪”一夜间收到的验证码邮件
短信验证码惹的祸?
在联通互联网高度发达的当下,短信基本上只剩下一种功能:接收邮件验证码。
登陆微博陌陌、收取快件包裹、银行汇款转账……几乎所有和安全有关的操作,短信验证码都承当了最关键的职责——证明是你本人的操作。
为什么偏偏是靠邮件验证码来证明自己?
这得从“多因子认证”说起。
在互联网时代,一次安全的决策须要保证以下五个环节:
其中,由于互联网的匿名性,身份认证是最难被证明的部份。在密码学中,最精典的方式是“多因子认证”。
举个事例,我们出境过海关时,护照、指纹、面部辨识三个认证因子是必不可少的。
就算是关系国家安全的“核按钮”,也是采用类似的加密方法。
比如,俄罗斯的“核按钮”手提箱共有 3 只,分别由首相、国防部长和参谋总长执掌。
发动核攻击时,至少要保证 2 个核按钮同时按下。发射程序采取“双重核按钮制度”,即每一级都有两组密码,只有当两组密码准确无误地拼在一起,逐级传达命令,核导弹能够最终发射出去。
▲ 这么任性是不可能的
不过,在现实生活中,“核按钮”级别的验证方法似乎难以适用于每一个人,一来成本太高,二来流程也过分冗长。
于是,就出现了以邮件验证码为代表的“双因子认证”——智能手机几乎人手一部,手机号码又采取实名制,短信验证码的成本也比较低。
同时满足了安全、便捷以及低成本三个方面,这就是邮件验证码大行其道的诱因。
可是,短信验证码一旦泄漏,那么随之而来的安全隐患也让人忧心。
▲ 编辑 1 分钟内收到的一连串验证码邮件,非本人操作,幸好及时处理
更要命的是,“短信嗅探”就是这样一种“偷取”短信验证码的技术。
“短信嗅探”是如何回事?
短信验证码是怎样发送到我们手机上的呢?主要是经过以下三个步骤:
核心网侧的控制鉴权、语音呼叫或数据业务信息通过传输网路发送到基站
信号在基站侧经过基带和射频处理,然后通过射频馈线送到天线上进行发射
终端通过无线信道接收天线所发射的无线电波,然后解调出属于自己的讯号
而“短信嗅探”技术主要是在第二、三个步骤上做四肢。
▲ 图自百度百科
目前,大部分邮件都是通过 2G 网络的 GSM 通信合同进行传输的,而这些通讯合同并不安全,如今只要一部嗅探设备(通常是一部加装手机)就可以窃听。
▲ 图自 h4ck0ne
之后,骗子再借助伪基站(通常是加装的手机或笔记本电脑)来搜集周围的手机卡信息。
这样一来,就同时领到了手机号和短信验证码。此时骗局早已可以通过查询网站反推出号码的主人身分信息,甚至可以领到身份证号和建行卡号。
▲ 图自 h4ck0ne
有了这种资料,骗子就可以进行资产转移、小额贷款等操作。通常作案时间是在凌晨,你可能还在酣睡中浑然不知。
睡觉死机能够避免“短信嗅探”吗?
一些媒体对“短信嗅探”给出的建议是午睡死机,这种做法有一定作用,但实际上只是治标不治本。
你午睡死机了?没关系,攻击者还可以到邮件发送者附近去盗取邮件。比如他想要窃取你的支付宝帐号,只须要摸清楚支付宝公司给你发短信的设备位置,蹲在附近窃听,你的验证码还是可以轻易到手。
而睡着死机还有自带的副作用。一方面,夜里家人或同学可能遇上急事却未能联系到你;另一方面,之前因“呼死你”和邮件轰炸不堪其扰死机、最终造成盗窃和更大损失的案件也时有发生。这并不是一种万事大吉的解决方案。
作为消费者,面对这类盗窃,目前我们并没有太多防范的办法,只能尽己所能强化防范。以下这种方式都能起到一定的作用:
1. 开通高清语音通话服务(VoLTE 功能)
正是由于走的是有合同缺陷的 2G 通道,短信才变得这么脆弱。所以避免“短信嗅探”的一种思路是:开通 VoLTE 功能,将邮件“升级”。
在高清语音通话服务开通后,短信都会跟电话一样通过 3G/4G 网络进行传输。这种做法其实难以 100% 抵挡伪基站的降维攻击,但能降低“短信嗅探”的整体难度;不过暂时只有部份地区支持开通 VoLTE 功能。
2. 严格控制 App 读取邮件的权限
除了 GSM“短信嗅探”,那些乖乖躺在你手机里、拿到读取邮件权限的 App,实际上也是一项信息安全隐患。想想,只要任意一个获得权限的 App 存在漏洞,你的验证码邮件就相当于在互联网上“裸奔”。
不要嫌麻烦,现在就动手去把这项权限收回去。
3. 设置专门的号码接收验证邮件
更“与世隔绝”的做法,大概就是打算专门的号码和手机来接收各类验证码邮件了。
建议你这部手机禁用 WiFi,禁用联通网路,只拿来打电话和发短信,这样能把大部分的 App 漏洞、手机木马或邮件自助云端备份等带来的危险挡在门外。
但是呢,千万不要选择只支持 2G 网络的功能机。复习一下:2G 信号最容易被劫持了。
要避免个人财产失窃,我们还须要做什么打算?
对此次“独钓寒江雪”的风波,网络安全专家 tk 认为,GSM“短信嗅探”只是其中一种可能性,手机木马、运营商内鬼、短信手动云端备份等都可能是验证码邮件曝露的缘由。
而另外有一种说法觉得,这位豆瓣网友也有可能是遗失了 Apple ID 的帐号和密码,iCloud 信息同步造成验证码“裸奔”。
不论缘由是哪些,为了避免个人财产失窃,都须要我们在平常做好手机号、身份证号、银行卡号、支付平台帐号等敏感的私人信息保护。多留几个心眼,多设几道防锁线。
以 Apple ID 为例,在设置双重认证后,你的帐户只能通过你信任的设备(如 iPhone、iPad 或 Mac)访问。而在首次登陆一部新设备的时侯,双重认证也会相当慎重,要求你提供 Apple ID 密码以及手动显示在您的受信任设备上的 6 位验证码。
而陌陌、支付宝和易迅等帐号,都可以通过定期更改登入密码,或是降低登陆和支付“关卡”(比如手势解锁、声音锁、刷脸登陆、指纹辨识等)来增加失窃风险;而支付平台上也会有相应的安全险保障。
同时还可以定期留心“登录设备列表”,遇上哪些不妥的地方及时提防。
而万一真的不幸遭到失窃,切记第一时间搜集好证据、冻结销户交行卡并报案。依靠民警追回损失的同时,还可以像“独钓寒江雪”一样,准备好材料向相关支付平台发起定损申请。
最后的最后,借用一句古语,小心驶得万年船啊。