半夜錢款莫名被轉走!睡覺手機到底該不該關機?安全專家解讀新型網路盜竊!
(點擊
上方公號
,快速關注我們)
來源:360 - 黃琳
近期各地陸續發生一些利用簡訊驗證碼冒用身份的案件,攻擊者竊取銀行賬戶、金融類app中的財產,被害者甚至莫名「被網貸」,蒙受了極為嚴重的經濟損失。
微博網友@ -美年達芬奇 (豆瓣ID「獨釣寒江雪」)7月30日發現,凌晨她的手機收到了100多條驗證碼,支付寶、京東、銀行什麼都有。
有人使用她的京東賬戶、支付寶等等,預定房間、給加油卡充值,總計盜刷了1萬多元。對於這起案件,很多人懷疑是「GSM劫持+簡訊嗅探」,我們尚未看到公安機關或者運營商的官方聲明,所以還不能確定這是一起簡訊驗證碼劫持嗅探攻擊。
但是!但是!簡訊驗證碼確實不是一個安全的通道,需要各應用的開發者和廣大用戶提高警惕。
攻擊手段
首先列舉一下竊取簡訊驗證碼有哪些攻擊手段:
攻擊等級
:
*號表示難度
偽基站垃圾簡訊 *
嗅探GSM簡訊 **
GSM中間人獲取手機號碼 ***
將從3G/4G降級到2G ****
3G/4G中間人攻擊 *******
我們簡單講解一下這幾種攻擊方法的原理。
0級攻擊 – 偽基站垃圾簡訊
偽基站發垃圾簡訊這種攻擊手法大家已經熟知。不法分子直接拉著大功率的偽基站出去,大把大把的撒垃圾簡訊。就像發小廣告一樣,發一大堆,總有那麼一兩個中招的。
垃圾簡訊不那麼可怕,釣魚詐騙簡訊是比較可怕的,其中含有惡意鏈接,不小心點擊之後會中木馬,或者讓你填寫機密信息等等。360手機衛士和其他一些手機防禦軟體,可以結合簡訊內容智能識別,通信環境智能檢測,以及對鏈接做雲攔截等技術,保護手機用戶免受偽基站簡訊的侵害。
1級攻擊 – GSM簡訊嗅探
這種攻擊的原理是因為GSM簡訊沒有加密,所以不法分子可以用一些竊聽手法聽到簡訊內容。這種方法是被動的,就是只「聽」,不發射任何非法的無線信號。
2級攻擊 – GSM中間人獲取手機號碼
攻擊者只聽到簡訊,其實沒什麼用,簡訊驗證碼需要配合網站或者app的驗證過程才能起作用。所以,攻擊者必須要知道目標的手機號碼,可能還需要其他信息,例如身份證號,銀行賬號等等,其他這些信息可以通過「撞庫」,或者通過侵入某些應用的賬戶來獲得。
那麼攻擊者如何獲得手機號碼呢?是通過中間人攻擊實現的。
攻擊者需要一個2G偽基站+一個2G偽終端,讓目標手機接入2G偽基站,然後用2G偽終端冒充目標手機,接入運營商網路。連接過程中,需要鑒權信息的時候,就從目標手機那裡取。連上網路之後,向外呼出一個電話,到攻擊者能看到的一個手機上,攻擊者通過來電顯示就看到了手機號碼。
我們注意到,「獨釣寒江雪」的案例中,她提到通話記錄中當天凌晨有一個外呼南京的電話,這個電話就有可能是用於獲取手機號碼的。
以前黑產的實力主要處於0級,今年以來,從各地報道的案例來看,黑產的實力至少進化到了2級。例如,《廣州日報》7月27日的報道(
http://gzdaily.dayoo.com/pc/html/2018-07/27/content_97308_529016.htm)
3級攻擊 – 強迫從3G/4G降級到2G
手機待在3G/4G網路中是比較安全的,但是攻擊者有辦法把手機降級到2G。最簡單的一種方法是發射強幹擾信號。
這種做法直接把3G、4G的路炸了,手機發現走不通,就只好走到2G的路上去。不過要暴力干擾掉所有的3G/4G通道,是需要很大能量的,設備就會非常大,所以黑產用起來會不太方便。
另外一種更高級一點的辦法,是再用一個4G偽基站,欺騙手機,「4G網路不能用了啊,到我這個2G網路來吧」,於是手機就乖乖的過去了。
這種手法我們在2016年初HITB阿姆斯特丹會議上講過,後來Seeker在KCon上也講過
(https://www.leiphone.com/news/201612/IP3S4Z9Z8VwLbfPr.html) 。
最後我們團隊還推動了這個問題在標準中的修復,有個很長的故事,可以看這裡(
http://unicorn.360.com/blog/2017/12/11/3gpp-lte/)。
黑產實力到達3級還是有可能的,只是攻擊門檻略高一點。
4級攻擊 – 3G/4G中間人攻擊
要達到4級攻擊,難度就很大了,我們給了7顆星的難度級別,尤其是4G中間人攻擊。我們認為目前掌握4級攻擊能力的團隊,全球應該在個位數!感興趣的可以看我們團隊這篇文章(http://unicorn.360.com/blog/2018/07/03/aLTEr/)。
防禦手段
1普通用戶
然後我們來看看普通人手機的防禦能力:
長期處於2G,一些老式手機,或者雙卡手機其中一張卡是2G,所有電話簡訊和流量走2G。這種情況連0級攻擊都抵擋不了。
長期處於4G,但沒有開通VoLTE,電話和簡訊是走2G通道的。擋不住1級以上的攻擊。
長期處於4G,已開通VoLTE,電話和簡訊是走4G的。擋不住3級以上的攻擊,因為有可能被降級。
那麼可以採取什麼防範措施呢?
1.如果你的手機處於狀態B,當地已開通VoLTE業務,請及時開通VoLTE,這可以把你的防禦等級提到C級。例如中國移動,可發送KTVOLTE到10086,即可開通。
2.如果手機處於狀態A,儘可能換4G手機,目前最新款的手機已經開始支持雙4G待機。從而提升防禦等級到B或C。
3.一些支持防偽基站功能的手機(例如360手機、小米手機、華為手機),對2、3級攻擊有一定的防禦力,就是說遇到2G偽基站,不容易被騙進去。這個防禦方法是,手機會觀察這個基站像不像一個偽基站,如果偽基站偽裝得特別像真的,也可能矇混過關。
4.晚上關機,可以防以上所有攻擊類型,但萬一有其他問題,反而不能及時聯絡到個人,謹慎選擇。
可以看到,普通用戶能做的,非常有限。
2運營商
那麼運營商可以做什麼呢?
從以上分析可以看出,只要數據流量、通話、簡訊走3G或者4G通道,安全係數還是比較高的。短板就是2G網路!目前已經有很多國家關閉了2G網路,包括日本、韓國、美國、新加坡等多個國家、地區的20多家運營商已經正式關閉了2G網路。中國的運營商也在努力遷移用戶,關閉2G網路。
根據一些報道(http://mobile.163.com/18/0331/10/DE7J382S0011819H.html),3家運營商披露的數據,2017年, 14.44億的總移動網路用戶中,尚有3.99億2G3G用戶,佔比超過27.6%,其中2G用戶接近3億戶。這其中有些是手機用戶,有些是物聯網設備,比如水表電錶、共享單車這些。所以2G網路不能隨便關閉,還要堅持運營一些年頭。
有人會想,那我們能不能讓手機只駐留在4G網路中呢。如果你看看手機的「首選網路類型」設置,會發現有幾個選項1)4G/3G/2G, 2) 3G/2G, 3)僅2G,可是卻沒有「僅4G/3G」這樣的選項。為什麼呢?因為運營商是給用戶提供通信管道的,「可用性」 (availability)是最重要的,萬一你遇到4G/3G網路覆蓋不好的地方,總得讓你能連上網啊。這就是「可用性」優先於「安全性」的原則。
從5G開始,有一個新特性是,將要給手機操作系統提供更多的信息,告訴手機,這個通信管道的安全性等級,使用了什麼加密演算法,完整性保護演算法等等。這些信息有助於App判斷自己當前所處的環境的安全程度。
3互聯網公司
大家一定會問,App廠商們呢,京東白條,支付寶這些,難道沒有責任嗎?我們覺得,App廠商們確實應該承擔最大的責任。App廠商們一定要意識到沒有絕對安全的管道。
今年年初,在全國信息安全標準化技術委員會(簡稱TC260)秘書處牽頭下,三大運營商和各互聯網公司的安全專家們,一起編製了《網路安全實踐指南—應對截獲簡訊驗證碼實施網路身份假冒攻擊的技術指引》,提出多項加強身份驗證安全性的建議,除簡訊驗證碼外還新增了簡訊上行驗證、語音通話傳輸、常用設備綁定、生物特徵識別、動態選擇身份驗證方式等等諸多二次驗證機制。
https://www.tc260.org.cn/upload/2018-02-11/1518337506280068120.pdf
這篇指南非常全面的描述簡訊驗證碼的風險,現狀,困難點,最後給出了目前專家們認為可行的方案。
難點在於,現在我們還不能徹底拋棄簡訊驗證碼。中國網民跟國外網民的不同點是,國外網民是從PC時代過來的,習慣於使用郵箱,用戶名密碼。中國網民是從移動互聯網時代成長起來的,手機就是唯一的標識。
為了簡訊驗證碼用還是不用的問題,各個App的產品經理和安全團隊能打起來。真的,去年就這個問題我們360安全團隊跟業務團隊就爭論過好多次。最後仍然保留了簡訊驗證碼通道,這也是遵循「可用性」優先的原則。
近期有些服務商推出了免驗證碼驗證手機號服務,可以驗證有數據鏈接的手機號碼的真實性。這也是一種途徑,就是簡訊通道不安全,那我創建一個更安全的通道。Google的雙因子認證服務,也是類似的思路。不過,簡訊通道仍然是最後的備用通道,各位可以試試註冊一個新的Google賬戶,它也要求你提供手機號碼,然後是簡訊驗證碼。
總之,請大家相信,各大互聯網公司對這個問題是早有準備的,如果有漏網之魚,那是我們的風險控制系統做得還不夠好。
【關於投稿】
如果大家有原創好文投稿,請直接給公號發送留言。
① 留言格式:
【投稿】+《 文章標題》+ 文章鏈接
② 示例:
【投稿】
《不要自稱是程序員,我十多年的 IT 職場總結》:http://blog.jobbole.com/94148/
③ 最後請附上您的個人簡介哈~
看完本文有收穫?請轉
發分享給更多人
關注「P
ython開發者」,提升Python技能
※Python 中字元串拼接的 N 種方法
※鮮為人知的 Python 語法
TAG:Python開發者 |