【原】幾條奇怪的短信就卷走用戶所有存款？互聯(lián)網(wǎng)企業(yè)不能把鍋都甩給運(yùn)營商

悲了傷的白犀牛 2020-08-25

展開全文

經(jīng)技術(shù)分析,，該用戶被犯罪份子用“GSM劫持+短信嗅探”的方式,，把上述金融機(jī)構(gòu)平臺(tái)中用戶的錢盜刷或轉(zhuǎn)移了。具體的實(shí)現(xiàn)方法是：首先,，犯罪份子基于GSM通信協(xié)議進(jìn)行惡意的人為的修改,，組裝起便攜式的短信嗅探設(shè)備；然后,，通過傳統(tǒng)的偽基站收集一定地理位置范圍內(nèi)的用戶的手機(jī)號(hào)碼,，然后利用這些號(hào)碼嘗試登陸支付寶等支付平臺(tái)，選擇“短信驗(yàn)證碼登錄”等方式觸發(fā)平臺(tái)發(fā)送驗(yàn)證短信,，這時(shí)犯罪分子手中的短信嗅探設(shè)備就能嗅探到這些短信,，獲取到驗(yàn)證碼；登錄到這些支付平臺(tái)后,，犯罪分子就能查詢到目標(biāo)手機(jī)號(hào)碼所對(duì)應(yīng)的用戶名和實(shí)名信息,，利用這些實(shí)名信息，進(jìn)而通過政務(wù),、醫(yī)療,、交通等系統(tǒng)等漏洞獲取到用戶的身份證號(hào)碼，并通過網(wǎng)上銀行或者網(wǎng)上的黑色產(chǎn)業(yè)鏈獲取用戶的銀行卡號(hào),。至此,，犯罪分子一步一步獲取到了用戶互聯(lián)網(wǎng)生活的“四大件”：手機(jī)號(hào)碼、身份證號(hào)碼,、銀行卡號(hào),、短信驗(yàn)證碼,。

掌握了這“四大件”，犯罪分子將無所不能,，包括實(shí)施各類與支付或借貸等資金流轉(zhuǎn)相關(guān)等注冊(cè)／綁定／解綁,、消費(fèi)、轉(zhuǎn)賬,、透支,、貸款、信用抵扣等金融行為,，卷走用戶各類支付平臺(tái)和銀行卡中的積蓄就是分分鐘的事情,。

值得注意的是，短信嗅探技術(shù)只能獲取短信,，并不能攔截發(fā)至用戶手機(jī)的短信,，因此，犯罪分子一般都會(huì)在深夜里作案,，因?yàn)檫@時(shí)候大部分都在酣睡中,，不會(huì)發(fā)覺到異常短信而中斷其不法行為。

這整個(gè)過程中的一個(gè)最關(guān)鍵的節(jié)點(diǎn)在于“驗(yàn)證短信的獲取”,，所以公眾一旦發(fā)生類似的詐騙事件,，第一時(shí)間會(huì)責(zé)難電信運(yùn)營商，當(dāng)然,，這個(gè)“鍋”,，運(yùn)營商肯定是甩不掉的，畢竟運(yùn)營商本身肩負(fù)著給用戶提供安全可靠的網(wǎng)絡(luò)服務(wù)的責(zé)任,，這個(gè)網(wǎng)絡(luò)被輕易攻破了,，才給了犯罪分子犯罪的條件。

但是,，其實(shí)這些年來運(yùn)營商在打擊偽基站上可以說已經(jīng)盡心盡力,，聯(lián)合公安機(jī)關(guān)開展了多輪針對(duì)偽基站的打擊行動(dòng)，也取得了一定的效果,。至于針對(duì)此案件中利用“GSM劫持+短信嗅探”方式的新型犯罪手法,，這算是GSM協(xié)議中的“天然漏洞”——GSM制式?jīng)]有過多考慮安全性，導(dǎo)致了很容易被破解,。OsmocomBB開源項(xiàng)目已完成對(duì)GSM通信網(wǎng)絡(luò)的破解,。程序員可以利用OsmocomBB開源項(xiàng)目的成果，實(shí)現(xiàn)對(duì)2G手機(jī)的非接觸式監(jiān)聽,。事實(shí)上,，在技術(shù)層面，運(yùn)營商能做的工作其實(shí)并不多。

有用戶提出是落后的GSM網(wǎng)絡(luò)導(dǎo)致了這一切,，要求運(yùn)營商全面升級(jí)網(wǎng)絡(luò),，以及停用2G網(wǎng)絡(luò)。此話確實(shí)不假,，因?yàn)樵?G,、4G網(wǎng)絡(luò)中這樣的漏洞是不存在的，犯罪分子根本無機(jī)可趁,。但“2G,、3G,、4G并存”是中國網(wǎng)絡(luò)發(fā)展現(xiàn)狀,，運(yùn)營商不可能在一朝一夕中棄用2G（GSM）網(wǎng)絡(luò)，畢竟2G網(wǎng)絡(luò)在很多地方,、很多場(chǎng)景下還是語音業(yè)務(wù)的主要承載網(wǎng)絡(luò),，網(wǎng)絡(luò)升級(jí)演進(jìn)是一件系統(tǒng)工程，預(yù)計(jì)volte全面取代2G的話音業(yè)務(wù)估計(jì)還要3-5年,。

以上是關(guān)于運(yùn)營商能做的事情的一些討論,，但是問題的另外一側(cè)是，這些互聯(lián)網(wǎng)金融平臺(tái),、這些“技術(shù)高超”的互聯(lián)網(wǎng)企業(yè),，為什么一直以來都如此固執(zhí)又堅(jiān)定地依靠短信驗(yàn)證碼來確認(rèn)用戶行為信息呢？

答案其實(shí)很簡(jiǎn)單,，因?yàn)閹缀跛械挠脩舳加兄辽僖粋€(gè)手機(jī)號(hào)碼,，這是與用戶達(dá)成聯(lián)系的最直接的渠道，而隨著近年來運(yùn)營商用戶實(shí)名制的推行,，手機(jī)號(hào)碼幾乎就等同于用戶的身份標(biāo)識(shí),，所以互聯(lián)網(wǎng)企業(yè)非常樂于通過短信驗(yàn)證碼來進(jìn)行鑒權(quán)。

但是,，互聯(lián)網(wǎng)企業(yè)不能把鍋完全就拋給了運(yùn)營商,，互聯(lián)網(wǎng)企業(yè)，尤其是涉及用戶金融安全的互聯(lián)網(wǎng)企業(yè),，其在考慮用戶金融安全體系建設(shè)時(shí)就必須考慮到網(wǎng)絡(luò)側(cè)可能出現(xiàn)的漏洞,，并提供切實(shí)可行的補(bǔ)鍋方案，畢竟,，用戶的錢是放在你的平臺(tái)里,，也是通過你的渠道被轉(zhuǎn)移或盜刷，無論如何,，這些金融類的互聯(lián)網(wǎng)企業(yè)都是第一責(zé)任人,。