万商超信
防短信验证码攻击策略(短信验证码攻击防御)
2021-12-14 03:44
诡异退订,回复验证码后手机瘫痪
4月8日傍晚,北京晚高峰的地铁里,小许收到了几条来自中国移动官方号码“10086”的短信。[防短信验证码攻击策略(短信验证码攻击防御)]。短信称,他已成功订阅一项“手机报半年包”服务,并实时扣费造成手机余额不足。
小许很奇怪,因为他根本没有订阅这个服务。又一条短信来了,上面说只要回复“取消+验证码”即可退订,且3分钟内退订免费。
小许正琢磨验证码到底是什么时,又收到了一条来自“10086”的短信:“您的USIM卡验证码为******(六位数字)”。
小许这下没多想,编辑了“取消+六位验证码”的短信回了过去。原以为成功避免了一次常见吸费的他,却突然发现,自己的手机显示“无服务”,无论重启多少次,都没有响应!
一条短信,让他一夜之间身无分文
当晚8点,手机在wifi下收到了支付宝的转账提示,这意味着有人在另一个终端上操作他的支付宝。
由于手机无法呼出挂失,小许只好通过操作客户端解绑支付宝与三张银行卡的绑定,并让亲友拨打支付宝客服冻结账号。但当他挂失完成后,发现支付宝已经没钱了,网银也被跨行转账,每张银行卡余额都是0。
更让他恐惧的是,第二天他发现名下的招行、工行两张储蓄卡被人绑定在“百度钱包”上,加上小许原本在“百度钱包”绑定的中行卡,三张卡在事发当晚均进行了资金转移操作,并通过招行和工行的手机银行,以“短信验证码转账”全部转入了两个陌生账号。这意味着,就连他的银行账号也失守了。
骗子竟是这样设局,几乎天衣无缝!
小许的遭遇让众多网友震惊,也在通信、互联网和银行业内引发热议。从收到短信,直到眼见所有账户被彻底洗劫,整个过程只有3个多小时。对此,央视调查复盘了整个骗术,令人瞠目结舌。
1.破解移动官网密码发动攻击
中国移动北京分公司官网上,记者找到了“中广财经半年包”业务。自助订阅后立即扣费,记者收到的短信和小许收到的内容完全一样,都来自 “10086”。那么,明明小许没有订阅,为何会收到订阅短信?据中国移动内部查证:4月8日17:54,有人通过海南海口的一个IP地址,以小许的手机号成功登录了北京移动官网,不仅发起手机报订阅,还在18:13成功办理了一项名为“自助换卡”的业务。
2.发“退订”短信 制造验证码假象
骗子在攻破移动网站的登陆密码后,给小许订阅了手机报,并发了“取消+验证码”的退订信息。这么做一是通过手机欠费让小许产生担心;二是制造“退订”时需要“验证码”的假象。
3.启动换卡流程 “退订”变“换卡”
套取验证码是骗术的关键,而骗局的核心是“自助换卡”。
上文提到,骗子在登陆移动官网后还发起了“自助换卡”业务。这是中国移动推出的一项在线服务,用户不必跑营业厅,直接在官网操作就可以更换4G手机卡。新卡立即生效,旧卡同时作废。
但是,自助换卡时系统会向用户发一个二次确认的验证码,也就是那条短信:USIM卡六位验证码。只有把这个验证码填回后,才会继续发起换卡。也就是说,这个验证码能直接把原手机的SIM卡废掉,原来的号码将会转移到另一张SIM卡上!
这是设局的关键,骗子制造“退订”假象,就是要拿到这张新SIM卡。
而小许收到的来自真正10086自动发出的验证码,没有说明用途,也没有对验证码的泄露风险进行提示,结果他将验证码误以为是退订用的,回复给了骗子。
小许认为,骗子正是在这个绝大多数人不清楚的信息盲点上做文章,借助两项中移动的官方业务,编造了整个骗局。
对此,移动公司表示,目前不能准确解释小许账号是如何被他人成功登录的,但如果密码设置过于简单,或与其他安全级别较低的网站密码相同,就可能被攻破。
运营商的冷门业务,成了攻击的后门
小许的经历并非个例,不少网友主动与小许联系,讲述自己被攻击的经过。安全专家把它称作“补卡攻击”。
与到营业厅当面办理不同,自助换卡全程都没有核验操作者的身份信息,仅需要准备一张未被写入号码信息的新卡,并将卡面上的编号输入网页,这张卡被业内称为“白卡”。
据了解,这种“白卡”和领取人的手机号没有绑定关系,因而领取后可以写入任何手机号,不仅可免费从官方途径获得,甚至在淘宝等网站上都有公开售卖。也就是说,攻击者只需要以小许的手机号成功登录中移动官网,再骗到那个没有任何说明的6位验证码,剩下的条件都能轻易获取,不需任何身份验证。
骗子在这一过程中,自始至终利用的都是中国移动的业务、工具和平台。
记者发现,骗局的几条短信中10086是中国移动统一客服号码、10658000是中国移动手机报号码,令小许深信不疑。就连事件中唯一一条由骗子编造的短信,也是利用“139邮箱”的发短信功能发出的。
实操发现,如果手机没有将发短信的邮箱对应的手机号存储为联系人,接收到的信息均显示以10658开头。而中移动旗下的“服务提供商业务号码”发送的行业短信大都以10658开头……
因此,139邮箱的发短信功能被利用,成为骗局的重要一环。而这项中移动已推出8年的免费功能,很少有人了解它的操作细节。
更恐怖的推断:你的个人信息,早就被卖了
工商银行客服介绍,只有取钱密码、银行卡号和手机完全掌握才能在网银上操作。这意味着,尽管有了关键的短信验证码,但同时还分别需要身份证号和银行卡号。因而可以断定,在这之前,小许更多的个人信息已被攻击者掌握了。
安全专家表示,个人信息已形成地下数据库。这个库里面会有大量完整的个人信息的链条。比如姓名、家庭住址、手机号、银行卡号、银行密码,其实在网络黑市里都有,且是别人整理好的,不是零散的。
记者对事件所涉的第三方支付平台和手机银行的关键业务操作汇总后发现:所有的在线支付都可用手机号和静态密码登录,百度钱包直接可用短信验证码登录;更改登录密码和转账支付也需要依靠短信验证码;而第三方支付最重要的“支付密码”,支付宝也简化到仅凭短信验证码就可更改。好比所有的鸡蛋都放在一个篮子里,导致了种种问题。
专家:如何防范“验证码攻击”
信息安全专家提示,如果只靠一个简单的静态密码,无法保证安全,下面这四招一定要记住:
1.静态密码设置一定要复杂
静态密码首先要足够复杂,并妥善保管防止泄露。其次,攻击者经常利用各种手段对短信进行伪装,并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别,冷静应对。
2.遇“干扰信息”仔细甄别
攻击者经常利用各种手段对短信进行伪装,并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对“运营商”、“银行”等身份的手机短信和来电进行认真甄别,冷静应对。
3.手机离奇“瘫痪” 先紧急“挂失”!
如果手机通讯出现瘫痪,一定要马上查清故障原因。如非手机本身或信号故障,要立刻挂失手机卡,并及时冻结第三方支付和银行账户,避免攻击者趁用户处于"信息孤岛"时,冒名顶替机主身份窃取账户。
最重要的是:短信验证码不要告诉任何人!
电信运营商和提供相关服务的企业只会将短信验证码下发给用户,绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作。