为啥隐患这么大?无论是用户自己图方便,还是整个行业的刻意引导,如今各种APP都需要使用手机号码注册和登录,无论是微信、支付宝、银行客户端、现金贷还是微博论坛都是如此。如果你安全意识不高,这些APP都用了相同的密码……
此外,短信验证码可以帮助用户进行修改密码、修改绑定邮箱等敏感操作,某些APP甚至还支持动态短信验证码直接登陆。因此,黑客只需拿到了你的手机号码+GSM短信劫持,一个手机号就能威胁到和其绑定的所有支付宝、银行卡和具备支付或贷款功能的APP。
黑客怎么玩?GSM短信劫持是一种比伪基站更高端的技术。简单来说,黑客会使用专业设备自动搜多附近的手机号码,拦截如运营商、银行发送的短信,劫持对象主要针对2G信号(GSM信号),窃取短信信息后通过其登录一些网站,从中碰撞机主身份信息,称之为“撞库”(即多个数据库之间碰撞),试图将机主的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息,继而在一些小众的便捷支付平台开通账号并绑定事主银行卡,冒充事主消费或套现,盗取事主银行卡资金。
还好,黑客往往只是随机作案。如果你已经被黑客刻意盯上,对方提前获知了你的姓名、手机号和身份证号码,通过SIM卡劫持(又称SIM卡克隆)或GSM短信劫持+找回密码认证,后果不堪设想。最令人无奈的是,黑客们大多选择凌晨作案,在你睡得最深沉之际就完成了既定目标。当你白天醒来之后,一切就都晚了。此外,短信验证码的安全缺陷是由GSM设计造成,且GSM网络覆盖范围广,因此修复难度大、成本高,对于普通用户来说基本上是无法防范。
一些大家关心的问题问:联通现在都是4G和3G,还有危险吗?答:攻击不需要运营商有真实2G网络,而是利用基站的机制让你的网络不管是3G还是4G都强行降级到GSM。除非你的手机自身就不允许切换到2G网络,否则都会面临GSM短信劫持的隐患。问:CDMA手机咋降到GSM?答:CDMA理论上向下兼容GSM,再加上上面的原因,所以同样存在威胁。问:手机自带伪基站识别功能有用吗?答:这次的案件原理是利用GSM通信协议漏洞,识别和屏蔽伪基站功能指望不上。问:手机开通了VoLTE功能,通话都是4G,还害怕吗?答:现在的GSM短信劫持原理是强制你的手机重新定向到GSM伪基站,所以如果黑客选择高成本的暴力干扰3G/4G信号而强制让信号回落到2G的方式,那VoLTE功能也救不了你。
那我们应该怎么办?虽然GSM协议的安全隐患已经被有关部门注意到,而运营商方面也正在进行相关的优化升级。但是,在验证码短信还处于明文传递的今天,更多时候还是需要从我做起。最近网上流传的方案大都是睡觉前关机或是将手机设定到飞行模式。这种操作的确可以防止GSM短信劫持,但如果黑客选用的是SIM卡克隆,你反而会失去提前发现手机突然没信号的前兆。所以,首先建议的就是大家进入微信、支付宝、银行客户端等APP,找到(如果有)并打开与二次验证相关的一切功能,比如个性化问题、语音验证、人脸验证等等,设置到连你都觉得登录一次怎么这么麻烦的地步就好了。
问题来了,很多APP并没有二次验证的安全举措,只要手机号+验证码就能登录并重置一切安全设置,并完成支付和转账等操作。因此,我们只能指望整个行业提升手机登录安全验证的技术革新了。比如,增加自己的安全意识,在家里(熟悉的Wi-Fi环境)下登录银行支付类APP。关闭各种云服务的短信备份(云同步)功能,彻底堵死黑客从云端获取短信内容的通道。再比如,让新手机首次安装SIM卡时加入绑定当前手机MAC地址的步骤(需要运营商方面想办法),今后每次收发短信应需要先验证MAC地址,也就是先发送一个信号咨询MAC地址,得到手机自动回复验证通过后,再发送短信明文。还比如,基于APP的两步验证。两步验证APP基于TOTP机制,不需要任何网络连接(包括Wi-Fi),也不需要短信和SIM卡,验证码完全在手机本地生成。所以APP两步验证可最大限度免疫SIM卡劫持和GSM短信劫持。还有一个最简单的,以后在获取验证码登录的界面增加一个随机的应答题,除了验证码以外还需输入正确的答案,这样黑客即使拿到短信也不知道问题答案。