但一旦你为了享受便利而交出了你的个人信息,你就要面临你的全部信息随时有可能被不法分子掌握,进而侵害你的利益,这就如同一把双刃剑。
来源 | 悲了伤的白犀牛
图片来源 | 视觉
近日,中央电视台焦点访谈栏目播出了一个关于新型电信诈骗的案例。事实上,根据案例中的具体情节,这已经不算是"诈骗"了,因为整个过程,受害者几乎没有任何察觉,直到看到手机上收到银行卡扣款提醒时才惊觉,但大部分时候都已为时已晚,从这个角度看,已经不算是"骗",而是"偷"。
"骗"和"偷"是完全不一样的,面对"骗",普通民众只需要提高警惕,避免直接向犯罪分子透露个人信息,就能规避被骗的风险。但是,面对"偷",普通民众似乎无能为力,什么事都做不了,因为等受害者反应过来,损失已经造成了。这是最让人担忧的地方。
那犯罪分子是怎么悄无声息地做到这一点的呢?事实上,从其犯罪过程来看,其作案手段称不上有多高明,技术也没有多先进,只是在传统电信诈骗的技术手段上进行了简单的升级,下了更多苦功而已。
传统电信诈骗中,犯罪分子一般都需要跟受害者进行接触,以套取其个人信息,比如银行卡卡号、身份证号码,甚至直接套取支付密码和提款密码,但经过了各种惨痛案例的教育和各方不遗余力的宣传之下,大部分民众对于传统传统电信诈骗已经有了一定的警惕心,一旦涉及其个人信息,就会意识到有问题,这样传统电信诈骗的犯罪分子就无法继续诈骗行为。
而新型的电信诈骗中,犯罪分子却无需跟受害者接触,而是通过一些技术手段嗅探受害者的短信验证码,然后经过一系列颇有耐心和技巧的操作,以获取受害者全套个人信息,从而达到侵害他人钱财的目的。
我简单还原一下整个作案过程:
第一步:犯罪分子在夜深人静的时候潜伏到居民区周围,通过简易的伪基站(摩托罗拉118作为天线,配套特定的软件系统)搜取附近用户的手机信息,包括手机号码。
第二步:犯罪分子通过一些网络干扰器,让受害人的手机信号回落到2G网络。为什么是2G呢?因为2G网络安全性较差,犯罪分子可以嗅探和破解受害者的信息,这一点后面详细说。
第三步:犯罪分子利用搜取到的手机号码,采取"手机号码 动态验证码"的方式去登陆一些存放钱财的APP,比如支付宝,或者各大银行的APP。但是,要实现转账需要集齐用户的姓名、身份证号码、银行卡号码、手机号码、动态验证码,现在犯罪分子手上只有手机号码和动态验证码,该怎么办呢?
第四步:犯罪分子利用手机号码 嗅探的动态验证码去登陆其他APP,比如,案例中犯罪分子通过登陆飞猪旅行,在旅行保险中可以获取到用户的姓名、身份证等个人信息。
第五步:最难搞的是银行卡号码,现在几乎所有APP都只显示银行卡的后四位,犯罪分子是怎么干的呢?这一步是有点技术难度的,犯罪分子通过充值中心等获取到银行卡的后四位和归属银行,然后通过专门的脚本结合其他信息来"跑"出完整的银行卡号。当然,这些在地下市场中已经有完整的产品和服务。
第六步:然后就直接开干了吗?不,犯罪分子也追求效率,他们会去分析手上每个人的经济能力,以挑选最合适(最有钱)的作案对象。比如,他们会去查受害者的银行卡账单、花呗/借呗/京东白条的额度、蚂蚁积分、淘宝消费记录等等,以此去评估谁更有钱。
第七步:选定好作案对象后,他们就开始通过免密支付的方式开始疯狂地转走受害者的钱财,一个动态验证码最多可以转走4999元,如果运气好的话,他们在几分钟内就能卷走受害者银行卡中所有余额。这就完了吗?还没有!银行卡卷空后,还有花呗、借呗、京东白条等等各大APP的类消费贷产品,分分钟让用户欠下巨额债款!
那到底谁应该为这样的骗局,准确来说是偷盗案件"背锅"呢?
我们分析一下全过程,会发现犯罪分子之所以能成功,主要是利用了两个关键的"弱点":第一个是2G网络的安全漏洞;第二个是"手机号码 动态验证码"这个万能钥匙。
先说2G的问题,由于GSM只有单向鉴权加密,手机无法确认网络的合法性,导致伪基站有机可乘,这个问题在2G、3G时代为祸已久,而在4G网络已经基本基本解决, 4G网络通过增加基站和手机之间的双向鉴权认证、信令消息强制性完整性保护、增强安全算法和密匙等方式,基本上从技术层面解决了"伪基站"的问题。但道高一尺魔高一丈,犯罪分子通过重定向至2G伪基站攻击,通过伪基站进行网络干扰,迫使目标手机触发重定向请求,回落至2G网络,从而实现信息的嗅探和破解。
在这个事情上,电信运营商要背一部分的锅,毕竟网络的安全性应该是他们要确保的。不过,这更多的是GSM网络的技术问题,运营商只是网络技术的应用者,技术本身的缺陷,它们本身也是受害者。与此同时,近些年来运营商也已经在积极配合执法部门去打击伪基站问题。
另外一个层面,运营商通过不断升级网络去试图根治这个顽疾,比如,按照5G的技术体系架构,到5G时代将彻底解决这个问题:5G网络将实现基于网络和UE辅助的伪基站检测,主动发现并打击伪基站,通过5G终端侧和网络侧双向打击,伪基站将再无藏身之地。
再看"手机号码 动态验证码"这个万能钥匙。当前,大部分互联网公司为了方便用户,都会提供"手机号码 动态验证码"的方式来供用户快捷登陆,或者忘记密码后重新设置,但此举方便了用户的同时,也方便了犯罪分子。
互联网公司这个"锅",其实它们背得不怨,至少在两个事情上,它们做得并不到位:第一,过分依赖、信任用户的手机号码,它们默认用户的手机一定是用户本人使用,但事实上,这是一种人为的误解,也是一种"懒政",互联网企业有必要制定一套与"手机号码 动态验证码"相制衡的验证机制;
第二,互联网企业缺乏对用户私人信息的二次保护,比如只要登录app后,用户的一切信息都一览无余,从姓名、身份证号,到家庭住址、社交关系等等,都能够随意查询,就跟打开一座金库大门后,里面所有的金子都随地堆放着。
作为普通民众,面对"魔高一丈"的新型骗局应该怎么办?
其实在庞大的电信运营商和互联网企业建构的巨型网络面前,普通民众能做的自我保护措施其实非常有限,比如,你不提供个人的真实信息,你在互联网上根本寸步难行,开不了支付宝、实现不了网上购物、买不了机票/保险,等等,就跟一个石器时代的原始人来到了现代生活。
但一旦你为了享受便利而交出了你的个人信息,你就要面临你的全部信息随时有可能被不法分子掌握,进而侵害你的利益,这就如同一把双刃剑。
有什么能做的?这有一个宝贵的意见,是来自被捕入狱的犯罪分子的诚挚建议,也是当前看来最有效的——如果你要在第三方APP上绑定一张银行卡,那就不要往这张卡中放太多钱。此外,我还要补充一句,赶紧关闭那些花呗、借呗和白条吧。
- END -