网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　“伪基站”2.0犯罪不可怕 网上支付过于依赖“短信验证”存隐患

　　近年来，使用手机短信验证码验证用户身份的技术，被广泛应用于银行金融、社交媒体、电子商务等各类移动APP服务。然而短信作为一种2G网络的通信方式，其本身安全防护等级并不高。

　　就在近期，多地警方陆续破获一种“伪基站2.0”犯罪案件。有犯罪分子利用GSM 2G网络的设计缺陷，实现不接触目标手机就能获得手机所接收到的验证短信，进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。

　　工业和信息化部日前下发通知，部署开展2018年电信和互联网行业网络安全检查工作，要求基础电信企业、互联网企业、域名注册管理和服务机构重点检查安全防护体系系列标准符合情况，可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。

　　相关业内专家在接受人民网采访时表示，“伪基站2.0”是极小概率的犯罪方式，手机用户不需要恐慌，但这一事件也暴露了目前网上APP、支付等环节过于依赖“短信验证”这一安全短板。基于2G网络的短信安全验证犹如“沙滩上的堡垒”，便捷之外存有安全隐患，网上支付平台、APP服务提供商应尽快堵住这一安全短板，完善用户身份验证措施，以确保用户个人信息和财产的安全。

　　新型盗刷方式引发舆论关注

　　根据媒体报道，广州、南京、江宁等多地警方近期相继破获一种名为“GSM劫持+短信嗅探技术”的犯罪案件。犯罪分子通过特种设备，自动搜索附近的手机号码，然后可以拦截短信。

　　据广州日报报道，8月1日，网友“独钓寒江雪”的手机在半夜连续接到100条短信验证码，她醒来发现不仅自己的支付宝、银行账户被盗，还被贷了款。有人使用她的京东账户、支付宝等等，预定房间、给加油卡充值，总计盗刷了1万多元。

　　这一案件经媒体报道后马上引发了舆论关注，甚至有报道建议手机用户“晚上睡觉关手机”以防范。那这种“伪基站2.0”方式会否蔓延？用户的网上资金安全如何来保障，对此，人民网IT频道近期做了深入采访和调查。

　　据360无线电安全研究院高级研究员黄琳介绍，基于“伪基站”的GSM短信嗅探是被动的，就是只“听”，不发射任何非法的无线信号。攻击者在利用手机信号劫持设备等工具非法截获短信验证码、手机号码的基础上，并通过社工或黑产交易等方式获取身份证号码、银行账号、支付平台账号等敏感信息，侵入各类应用实施犯罪行为。网友“独钓寒江雪”的情况很可能就属于这种。

　　据了解，这种被称为“伪基站2.0”的攻击手段早在2010年已出现，由于攻击技术实施难度大，当时仅掌握在少数高级攻击者手中，不法分子难以大规模利用。而且随着这几年国家对于伪基站的大力打击，不法分子要用“伪基站”劫持用户短信和手机信号，就会有很大几率暴露自身位置，因此目前此类案例非常罕见。

　　同时，有通信行业资深安全人士表示，要实施“伪基站2.0”犯罪需要满足四大条件：不法人员从黑产获取了用户个人身份信息“四大件”（账户名、密码、身份证、银行卡号）；不法人员在物理位置上和受害用户相近；用户手机当时驻留在2G网络上；获取用户手机号码并嗅探到用户验证码短信；实施网络转账或信用卡盗刷等行为。

　　上述四个环节为链条式操作，缺一不可，要满足以上所有条件，攻击者需要冒极高的风险，因此在日常操作中，短信被嗅探并导致手机银行被盗发生场景的概率是极低的，普通用户无需过于担心，更不需要在晚上睡觉时“主动关机”。

　　网上支付依赖“短信验证”存隐患

　　虽然实施“伪基站2.0”犯罪目前只是极小概率的事件，但是也给网上支付安全敲响了警钟。

　　随着移动支付的普及，“短信验证”是目前最便捷的验证方式，人们只需要在手机上操作，就可以便捷快速地完成开通业务、支付款项等活动。然而，科技的进步带来的不仅是便捷，还有安全隐患。因此手机短信验证码已被广泛应用于各类移动应用、网站服务。短信验证码可以帮助用户进行修改密码、修改绑定邮箱等敏感操作。

　　同时，短信验证码也能让用户不输账号密码直接登陆。以用户使用广泛的微博手机APP来说，在掌握手机号码的前提下，可以无密码登陆，手机只要收到系统发送的验证码，就可以快速登陆。