經(jīng)技術(shù)分析,該用戶被犯罪份子用“GSM劫持+短信嗅探”的方式,把上述金融機(jī)構(gòu)平臺中用戶的錢盜刷或轉(zhuǎn)移了。具體的實(shí)現(xiàn)方法是:首先,犯罪份子基于GSM通信協(xié)議進(jìn)行惡意的人為的修改,組裝起便攜式的短信嗅探設(shè)備;然后,通過傳統(tǒng)的偽基站收集一定地理位置范圍內(nèi)的用戶的手機(jī)號碼,然后利用這些號碼嘗試登陸支付寶等支付平臺,選擇“短信驗(yàn)證碼登錄”等方式觸發(fā)平臺發(fā)送驗(yàn)證短信,這時(shí)犯罪分子手中的短信嗅探設(shè)備就能嗅探到這些短信,獲取到驗(yàn)證碼;登錄到這些支付平臺后,犯罪分子就能查詢到目標(biāo)手機(jī)號碼所對應(yīng)的用戶名和實(shí)名信息,利用這些實(shí)名信息,進(jìn)而通過政務(wù)、醫(yī)療、交通等系統(tǒng)等漏洞獲取到用戶的身份證號碼,并通過網(wǎng)上銀行或者網(wǎng)上的黑色產(chǎn)業(yè)鏈獲取用戶的銀行卡號。至此,犯罪分子一步一步獲取到了用戶互聯(lián)網(wǎng)生活的“四大件”:手機(jī)號碼、身份證號碼、銀行卡號、短信驗(yàn)證碼。
掌握了這“四大件”,犯罪分子將無所不能,包括實(shí)施各類與支付或借貸等資金流轉(zhuǎn)相關(guān)等注冊/綁定/解綁、消費(fèi)、轉(zhuǎn)賬、透支、貸款、信用抵扣等金融行為,卷走用戶各類支付平臺和銀行卡中的積蓄就是分分鐘的事情。
值得注意的是,短信嗅探技術(shù)只能獲取短信,并不能攔截發(fā)至用戶手機(jī)的短信,因此,犯罪分子一般都會在深夜里作案,因?yàn)檫@時(shí)候大部分都在酣睡中,不會發(fā)覺到異常短信而中斷其不法行為。
這整個(gè)過程中的一個(gè)最關(guān)鍵的節(jié)點(diǎn)在于“驗(yàn)證短信的獲取”,所以公眾一旦發(fā)生類似的詐騙事件,第一時(shí)間會責(zé)難電信運(yùn)營商,當(dāng)然,這個(gè)“鍋”,運(yùn)營商肯定是甩不掉的,畢竟運(yùn)營商本身肩負(fù)著給用戶提供安全可靠的網(wǎng)絡(luò)服務(wù)的責(zé)任,這個(gè)網(wǎng)絡(luò)被輕易攻破了,才給了犯罪分子犯罪的條件。
但是,其實(shí)這些年來運(yùn)營商在打擊偽基站上可以說已經(jīng)盡心盡力,聯(lián)合公安機(jī)關(guān)開展了多輪針對偽基站的打擊行動,也取得了一定的效果。至于針對此案件中利用“GSM劫持+短信嗅探”方式的新型犯罪手法,這算是GSM協(xié)議中的“天然漏洞”,在技術(shù)層面,運(yùn)營商能做的工作其實(shí)并不多。
有用戶提出是落后的GSM網(wǎng)絡(luò)導(dǎo)致了這一切,要求運(yùn)營商全面升級網(wǎng)絡(luò),以及停用2G網(wǎng)絡(luò)。此話確實(shí)不假,因?yàn)樵?G、4G網(wǎng)絡(luò)中這樣的漏洞是不存在的,犯罪分子根本無機(jī)可趁。但“2G、3G、4G并存”是中國網(wǎng)絡(luò)發(fā)展現(xiàn)狀,運(yùn)營商不可能在一朝一夕中棄用2G(GSM)網(wǎng)絡(luò),畢竟2G網(wǎng)絡(luò)在很多地方、很多場景下還是語音業(yè)務(wù)的主要承載網(wǎng)絡(luò),網(wǎng)絡(luò)升級演進(jìn)是一件系統(tǒng)工程,預(yù)計(jì)volte全面取代2G的話音業(yè)務(wù)估計(jì)還要3-5年。
以上是關(guān)于運(yùn)營商能做的事情的一些討論,但是問題的另外一側(cè)是,這些互聯(lián)網(wǎng)金融平臺、這些“技術(shù)高超”的互聯(lián)網(wǎng)企業(yè),為什么一直以來都如此固執(zhí)又堅(jiān)定地依靠短信驗(yàn)證碼來確認(rèn)用戶行為信息呢?
答案其實(shí)很簡單,因?yàn)閹缀跛械挠脩舳加兄辽僖粋€(gè)手機(jī)號碼,這是與用戶達(dá)成聯(lián)系的最直接的渠道,而隨著近年來運(yùn)營商用戶實(shí)名制的推行,手機(jī)號碼幾乎就等同于用戶的身份標(biāo)識,所以互聯(lián)網(wǎng)企業(yè)非常樂于通過短信驗(yàn)證碼來進(jìn)行鑒權(quán)。
但是,互聯(lián)網(wǎng)企業(yè)不能把鍋完全就拋給了運(yùn)營商,互聯(lián)網(wǎng)企業(yè),尤其是涉及用戶金融安全的互聯(lián)網(wǎng)企業(yè),其在考慮用戶金融安全體系建設(shè)時(shí)就必須考慮到網(wǎng)絡(luò)側(cè)可能出現(xiàn)的漏洞,并提供切實(shí)可行的補(bǔ)鍋方案,畢竟,用戶的錢是放在你的平臺里,也是通過你的渠道被轉(zhuǎn)移或盜刷,無論如何,這些金融類的互聯(lián)網(wǎng)企業(yè)都是第一責(zé)任人。