最近，豆瓣網友“獨釣寒江雪”發表的一篇文章《這下一無所有了》吸引了衆多網友的討論。

在對這起通過短信驗證碼盜取用戶財產的事件進行各種技術分析後，大家最關心的還是誰應該爲用戶的財產安全負責，是不是以後睡覺都不敢開着手機了呢?

這位“獨釣寒江雪”是家住深圳的一位葉姓女士，據本人描述，她在7月30日凌晨五點醒來後，發現手機收到了支付寶、京東、銀行等的100多條驗證碼短信，隨後便發現支付寶、銀行卡中餘額被轉走，還在京東借款一萬餘元。

“這兩天跑銀行查流水、打110求受理、跑派出所錄口供、打支付寶客服、京東客服、打蘋果客服……各種心力交瘁，見識了各種推諉扯皮，不作爲。”

事情到底是怎麼回事呢?據360無線電安全研究院黃琳博士分析，這很有可能是“GSM劫持+短信嗅探”攻擊(盜竊者用一些竊聽手法獲取到短信內容，以此來完成身份驗證)，但是不排除其他可能性。

雖然目前根據掌握的信息來看，還不能確定對方到底採用了何種方式盜取了葉女士的財產，但事情已經發生，對於無辜蒙受損失的葉女士來說，誰應該負責呢??

1、竊取用戶信息和財產的攻擊者

毋庸置疑，竊取手機中賬戶信息及財產的攻擊者，是此次事件中最該承擔責任的人。葉女士報警以後，警方已經對此案受理，能否揪出真兇目前還無從知曉。

其實，葉女士此次經歷的“盜刷事件”並非個例，此前就有許多用戶反饋，在自己未進行任何操作的情況下，手機中的賬戶和銀行卡被盜刷。

比如在去年12月，央視就曾曝光過一起案件:何先生一覺醒來發現自己的手機被鎖定，同時，某購物平臺賬戶遭陌生人盜刷，攻擊者使用白條消費和申請貸款，一夜間洗劫了5萬多元。而其採用的手法竟是將何先生的手機號設置爲“副號”，當副號手機關機，所有短信都會被主號接收，攻擊者在此期間接收何先生的短信驗證碼，進而作案。

可見，攻擊者們爲牟利，早就已經盯上“驗證碼”，並且獲取驗證碼的方式花樣百出。

2、“無奈又無辜”的運營商

除了該事件的始作俑者，背後盜取用戶財產的攻擊者之外，運營商是否需要爲此次驗證碼事件背鍋呢?

運營商作爲網絡通信的提供者，可以說承擔着億萬用戶的直接安全責任。但一直以來運營商遵循的都是“可用性”大於“安全性”的原則，比如爲了讓移動網絡覆蓋到更廣的地方，運營商們至今仍然運營安全係數極低的2G網絡。按理來說，追求“可用性”無可厚非，但是如果安全性無法保證，無疑爲心存不軌者利用各種手段盜竊用戶財產提供了客觀條件。

3、安全措施不完善的APP廠商

另一方面，那些APP廠商，也需要承擔很大責任——也許 正是因爲APP安全措施不夠完善，攻擊者纔可以在用戶不知情的情況下實現盜刷操作。而且，部分APP目前還在採用單純的“手機號+驗證碼”模式來驗證身份，在如此惡劣的安全環境之下，這絕對是目前安全係數最低的一種身份驗證方法。

本次涉及的幾個廠商，目前已經給出回覆，並承諾葉女士會全額賠付。但“賠付”並不是解決問題的最終辦法，如何更好地保證安全才是日後需要努力的方向。

所以安全專家們也建議，除了短信驗證碼之外，再新增短信上行驗證、語音通話傳輸、常用設備綁定、生物特徵識別、動態選擇身份驗證方式等等諸多二次驗證機制，以此來保證用戶的信息、財產安全。

由此看來，不法分子利用驗證碼來盜刷銀行卡的惡意攻擊行爲越來越猖獗。所以，這就爲各大運營商以及APP廠商敲響了警鐘，身份驗證、信息保密等方面的安全措施必須加緊完善，不然，越來越多的用戶被盜刷，不僅用戶面臨着經濟損失，作爲承擔責任的一方，各大廠商自己也會遭受巨大損失和來自用戶前所未有的信任危機。

“驗證碼攻擊”科普時間:

360無線電安全研究院黃琳博士在分析此次葉女士所遇到的“盜刷”事件時，還總結了不法分子想要獲取手機驗證碼時，會使用的攻擊手段:

0級攻擊 – 僞基站垃圾短信

不法分子直接拉着大功率的僞基站出去，大把大把的撒垃圾短信。垃圾短信不那麼可怕，釣魚詐騙短信是比較可怕的，其中含有惡意鏈接，不小心點擊之後會中木馬，或者讓你填寫機密信息等等。360手機衛士和其他一些手機防禦軟件，可以結合短信內容智能識別，通信環境智能檢測，以及對鏈接做雲攔截等技術，保護手機用戶免受僞基站短信的侵害。

1級攻擊 – GSM短信嗅探

這種攻擊的原理是因爲GSM短信沒有加密，所以不法分子可以用一些竊聽手法聽到短信內容。這種方法是被動的，就是隻“聽”，不發射任何非法的無線信號。

2級攻擊 – GSM中間人獲取手機號碼

攻擊者只聽到短信，其實沒什麼用，短信驗證碼需要配合網站或者app的驗證過程才能起作用。所以，攻擊者必須要知道目標的手機號碼，可能還需要其他信息，例如身份證號，銀行賬號等等，其他這些信息可以通過“撞庫”，或者通過侵入某些應用的賬戶來獲得。 “中間人”就是用來獲取手機號碼的。

3級攻擊 – 強迫從3G/4G降級到2G

手機待在3G/4G網絡中是比較安全的，但是攻擊者有辦法把手機降級到2G。最簡單的一種方法是發射強幹擾信號。這種做法直接把3G、4G的路炸了，手機發現走不通，就只好走到2G的路上去。不過要暴力干擾掉所有的3G/4G通道，對設備的要求就非常高，大部分攻擊者不會採用這種方式。

所以，就使用另外一種更高級一點的辦法:再用一個4G僞基站，欺騙手機，“4G網絡不能用了啊，到我這個2G網絡來吧”，於是手機就乖乖的過去了。

4級攻擊 – 3G/4G中間人攻擊

4級攻擊由於難度太大，能掌握這種攻擊能力的團隊，全球應該在個位數，所以先不做過多解釋。

總之，“驗證碼”問題，除了普通用戶自身需要多加註意之外，目前各大廠商、運營商也非常重視，並將着手改進。比如現在360手機、小米手機、華爲手機等，就已經支持防僞基站功能，可以在一定程度上保護用戶的信息和財產安全。

相信很快，利用手機驗證碼實現盜刷的惡劣行爲將會逐漸被各方安全勢力聯合絞殺。

相關文章