近日,不少自媒体发布了一篇题为《史上最强技术电信诈骗蔓延!无法防范!只能等死!》的文章。文章中介绍了一种极为恐怖的新型电信诈骗手法。
据称,这个已经蔓延开来的电信诈骗手法会截获手机短信里的验证码,继而“隔空”盗刷机主的银行卡,并且会开通各种金融借贷服务,让机主莫名其妙背上很多贷款,最恐怖的是骗子“不需要你点击任何的链接、不需要你输入任何的东西、不需要植入什么木马,只需要你开机,你手机开机你就死”。网传文章还言之凿凿:“没有任何东西可以抵挡,只要你有网上的金融账户,你就必死无疑,到你头上你就死。”该文章一经发布就引发不少网友的关注和担忧。
这么可怕的诈骗手法,真的存在吗?真的没有办法防范吗?
解放日报·上观新闻记者查证后发现,这种诈骗手法确实存在;但网传文章提及的“无法防范,只能等死”纯属危言耸听。
据悉,这种手法名为GSM劫持+短信嗅探技术。日前,多家媒体、机构报道过受害人在没有点击链接、没输入密码即被盗刷银行卡的案例。
记者从上海移动方面了解到,短信嗅探是存在的,类似伪基站。不同于伪基站发垃圾短信等用户点击打电话来推销业务或者进行诈骗活动,短信嗅探是直接主动盗用短信内容劫持验证码,危害性更大。如今,用户手机使用的网络服务增多,且很多支付手段都是免密的无限额的,如不采取任何安全措施,就容易被骗,引起较大的损失。
今年8月3日,南京市公安局江宁分局官方微博“@江宁公安在线”发布微博称:“这个更危险的新技术是重新定向手机信号,同时使用GSM中间人方法劫持验证短信,此类劫持和嗅探并不仅限于GSM手机,包括LTE和CDMA类的4G手机也会受到相应威胁。”
警方还表示,这个手段可利用上述手机网络的设计缺陷,进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。但总的来看,警方也表示:“大家也不必过于担忧,GSM协议的问题早已经被关注到,目前这方面的系统换代升级也在进行中。”
信息安全行业从业人员宋先生告诉记者,网传文章对GSM劫持+短信嗅探技术的描述太过夸张了。他认为,中招的受害者主要是在相关App上只设置了短信验证码一项验证机制或免密的用户,另一小部分是泄露短信验证码的同时,还泄露了身份证号、密码等其他重要身份信息的用户。目前,绝大多数正规的支付类、银行类App除了短信验证码之外,还设置了图片验证、语音验证、人脸验证、指纹验证等诸多二次验证机制,已有一定的防范作用。普通网友也可以把相关支付、金融账号的认证机制设置到最严格就基本可以放心了。对于根本性的解决办法,宋先生建议运营商方面或可从“协议层面”进行修复。
上海移动方面建议,目前网上提醒的关于银行账号安全和支付App安全注意事项都可以参考,也会有效起到保护作用。想要防范伪基站,需牢记“三不”:第一,不贪小便宜,天上不会掉馅饼;第二,不点击来历不明的链接和钓鱼网站;第三,不要在网上随意填写个人身份证号、银行卡号和密码等信息。
上海移动还表示,上海移动方面一直在坚持不懈地开展伪基站打击整治工作,配备“伪基站监测治理系统”和现场定位设备,根据政府执法部门要求,全力配合执法部门开展伪基站打击整治工作。现在,上海是打击伪基站工作开展得最好的城市之一,全年已收缴设备30多套,抓获嫌疑犯10多人。
另外,网警还提醒,网上有给出晚上关机或者开启飞行模式的策略,但这样做有可能产生另外的风险:一旦你晚上关机或者开启飞行模式,也可能导致其他诈骗风险的上升,或者有重要事件时,亲友无法联系到你。