手机信号从4G降为2G——收到来自银行、支付平台的各类短信验证码——账户被转空,手机莫名订购了一堆增值业务……
还记得国庆期间“充电手机自动订总统套房”的新闻吗?深夜放在桌上充电的苹果手机竟然自动点开了携程APP,浏览起了酒店客房,看起了评价,还订了一间总统套房。这都是嗅探犯罪惹的祸。
今年以来,全国已发生多起利用嗅探技术窃取钱财的案件。7月,河南新乡公安机关破获一起利用短信嗅探技术,盗用金融账户购买虚拟物品以达到销赃目的的案件;8月,深圳警方打掉一个全链条盗刷银行卡团伙,连带破获同类案件50余宗,涉案金额超过100万元。最近,某知名公众号的小编由于账户泄露收到了莫名的短信轰炸,她的资料在被判断为“有价值”后,被黑产在各大平台上使用脚本验证她是否已注册该平台账号。
嗅探技术利用2G网络架构开源,其本身在传输数据时没有加密的缺陷,给不法分子提供了可乘之机。该技术可以在不影响短信接收下,通过植入手机木马和设立伪基站的方式盗取用户短信验证码,窃取用户在银行、支付平台等渠道的钱财。此外,该技术还可以截获移动运营商发送给用户的验证码,借机办理各类增值扣费业务,从而盗取用户话费。
劫取验证码、盗刷银行卡、恶意扣话费……面对猝不及防的嗅探犯罪,我们该如何防范呢?
- 优先选择3G/4G待机,尽量避免在2G待机,如果是双卡手机且不支持双4G,可以将CDMA电信手机卡设置为2G,因为嗅探入侵CDMA的技术门槛很高。
- 最好方法是定期更换SIM卡(比如一年)。
- 手机不用的时候设置定时关机或飞行模式都可防止GSM伪基站。
- 需要用时才打开“手机号码直接查找账户”选项,并且在转账结束后要立即关闭该功能。
- 网银支付请使用U盾,快捷支付设定单笔和单日限额,不常用的卡关闭快捷支付。
- 不要使用同一密码多处登录,并且拒绝使用“可用短信验证码重置密码”的所有涉及资金的业务。
- 不随意下载app,微信里不要随意给别人投票、抽奖、砍价,学会保护自己的隐私。
- 有条件的话配备两部手机,a手机上的app可以使用b号码登录,b手机上的app则用a号码登录。这样做的好处是,万一黑客对a手机发动攻击,短信验证码会发到b手机上,从而避免被嗅探。
- 设置专门的手机用于收发短信,该手机禁用 WiFi和移动网络,只用于打电话和发短信。
- 如果用户通过手机购买货币基金,建议把主要的钱存放在T+1赎回的货币基金上。这样即使前面所有防线被突破,也能留出足够时间冻结和挂失账户。
一般来说,微信、智付支付等支付公司也会采用智能风控技术防范此类风险。智能风控技术除了提供登录密码、支付密码、短信验证码外,还会采用指纹验证、人脸验证、身份证号、银行卡号等技术和信息手段进行安全辅助认证。
当下,互联网信息安全仅仅做到“不泄露个人信息”都很有难度,个人数据隐私安全已经不能完全由用户自己把控。因此,运营商、银行机构、支付公司、APP网络运营商和通信管理部门要尽快完善升级系统以保证用户权益。
嗅探技术能成功作案的根本原因在于:运营商、银行机构、支付公司、APP和用户都想当然认为别的环节是安全的,为了图方便降低了风险意识而导致的。
人往往是非理性的,我们往往觉得其他环节已经足够安全,自己放松一点没多大关系。