前不久,我们科技富能量刚给大家分享一则《一觉醒来银行卡里的钱都没了,怎么发生的?》GSM劫持+短信嗅探技术盗刷事件,事件没过去多久 ,类似的情况竟然发生在能量君身上!
话说昨天中午,能量君正在拼命搬砖的时候,手机突然收到一条短信,瞄了一眼,咦?积分兑换现金?
心里暗喜:难道是银行看到我高达三位数的巨额存款?要用福利留住像我这样的优质客户?
仔细看,短信确实是建行95533发过来的,但是网址看起来好像有点怪怪的,结尾是.top看起来很顶级的样子。正在能量君犯嘀咕的时候,短信又来了!
这条短信显示是中国移动发来的,说我遭遇了伪基站!建议下载一个“安全先锋”APP。看到这条短信后,名侦探能量君立刻做出了以下推理:
1、自己肯定遭遇了伪基站。
2、现在收到的任何短信都不能相信,包括这一条。
能量君赶紧上网搜索,结果发现这样一条新闻,这说的不就是我吗!再一看新闻发布的时间, 2016年!
能量君把这事儿当个笑话讲给了富老板,结果富老板居然……让我登录一下那个“顶级网站”试试看!
What?
R U KIDDING??
你是骗子派来补刀的吗???
看着银行卡里全部的身家性命,能量君低下头,默默咬紧下嘴唇……
只要底裤还在,怕什么!
能量君首先在电脑端输入网址,浏览器果然提示:“假冒的购物网站”,建议你关闭页面。
怎么办?裤子都脱了你就给我看这个?选择继续访问!
很显然,这个网站还没有适配PC端。
怎么办?
当然是用手机再登录!
能量君在手机端果然顺利打开了这个网址,而且手机浏览器(UC)竟然没有提示危险!没有提示危险!
怎么样?是不是乍一看有模有样?
这种粗犷的棱角、朴实脱俗的画风,确实符合我们印象中各种“官方网页”的样子。
接下来就是最诱惑人的地方:一万积分兑换500现金。
能量君终于迎来了资产翻倍的机会!还等什么!赶快兑换!
进去之后,吓得我赶紧喝一口菊花枸杞茶......
这......要填的信息也太全了吧,填完之后连底裤都不剩了呀!
除了这种“统统告诉我密码”的漏洞之外,能量君还发现一个有趣的现象。网页上面导航栏的五个链接,除了点击微博可以链接到建行的官微,其余四个导航栏链接的都是同一个页面。也就是说,无论点击哪个按钮,页面都显示的是积分兑换。
啊……突然能量君想起了大学时,期末作业做网站设计。也用过同样的方法来偷懒,糊弄导师……
那被导师责骂的青涩时光,以及夕阳下的追逐和奔跑……
(emm,想得有点多,回归正题...)
如今,能量君看了一下这个网站的其他板块,比如优惠服务、最新公告、新闻中心、金融服务等等,都是空链接。(比能量君大学的时候还偷懒)
截止今天能量君撰稿的时候,该网址已经无法访问了。看来就是一个临时的虚假网站,用来骗取用户的账号信息的。
服务器无响应,停止访问
温馨提示:以上操作含风险,请勿随意模仿。
要想杜绝风险,还是要认清真正的官方网站。二者除了网址之外,页面风格也大不相同。
对比官网,假网站的山寨气息再也捂不住了
而面对伪基站诈骗短信,能量君也为您汇总了几条防骗指南:
01开通高清语音通话服务(VoLTE 功能)因为短信嗅探是利用有协议缺陷的 GSM(2G)通道才能实现的,所以防止「短信嗅探」的其中一种思路是:开通 VoLTE 功能,给短信「升级」。(短信升级的方法能提高安全系数,但不能完全避免)
在开通高清语音通话服务后,短信就会跟电话一样通过 3G/4G 网络进行传输。据 TK 和 360 无线电安全研究院的说法,这能一定程度上增加「短信嗅探」的难度;不过暂时只有部分地区支持开通 VoLTE 功能。
但这么做并不能 100% 确保安全,据警方@江宁公安在线称,LTE 类 4G 手机有可能受到劫持和嗅探的威胁。在遭到降级攻击的时候,3G/4G 会回落到 GSM(2G) 网络,这时候要嗅探短信就轻而易举了。
02手机手动锁定3、4G网络除了升级4G高清通话这个功能之外,还有一个直接锁定3G、4G的方法。首先在拨号页面,拨打*#*#4636#*#*,手机自动跳转设备的测试页面。
选择你要修改的手机信息(能量君是双卡),进去后选择【首选网络类型】,手动锁定LTE only即可。
这个方法就是手动锁定手机网络类型,但是缺点就是,遇到无4G网络的区域,手机只能显示无信号,并不能自动跳转到2G网络。
03严格控制 App 读取短信的权限除了 GSM「短信嗅探」,那些乖乖躺在你手机里、拿到读取短信权限的App,实际上也是一项信息安全隐患。想想,只要任意一个获得权限的App 存在漏洞,你的验证码短信就相当于在互联网上「裸奔」。
不要嫌麻烦,现在就动手去把这项权限收回来。
04设置专门的号码接收验证短信更「与世隔绝」的做法,大概就是准备专门的号码和手机来接收各种验证码短信了。
建议你这部手机禁用 WiFi,禁用移动网络。只用来打电话和发短信,这样能把大部分的App 漏洞、手机木马或短信自助云端备份等带来的危险挡在门外。
但是呢,千万不要选择只支持 2G 网络的功能机,因为GSM 网络制式的 2G 信号最容易被挟持了。
05换张电信卡前面提到,「短信嗅探」这种风险,只要是你的手机用了 GSM 网络都会存在。由于移动和联通的 2G 是 GSM 网络制式,所以中国移动和中国联通的用户最有可能中招。
而中国电信的 2G 是 CDMA 制式,几乎是不可嗅探的。在以往警方侦办的案例中,也未发现中国电信用户遭受该类技术攻击的情况。
除了以上介绍的方法之外,我们还要注意一些日常的情况,比如说:
不少APP在非常用设备上登录、修改密码时,验证手段依然不够安全。比如,支付宝在账户非常用设备上登录、修改登录密码、修改支付密码,进而进行转账、付款、提现,都可以通过“短信验证码+身份证号+银行卡号”实现。
在京东商城APP则可以通过“短信验证码+历史收件人姓名”进行登录,并通过“短信验证码+银行卡号+身份证号”重置支付密码。苏宁易购也可以通过手机验证码直接登录,并使用“身份证号码+手机验证码”重置支付密码。
在银行APP方面,中国银行、招商银行,也是采用姓名、银行卡号、身份证、验证码的不同组合即可在非常用设备上登录。
这就意味着,如果不法分子嗅探到用户验证码,并利用多个手段获取身份证号、姓名、银行卡号,即可在支付宝、京东、苏宁易购等平台上进行消费。
所以,不能全依赖平台或设备,保护好自己的财产,小心使得万年船。
部分素材来源新京报、Appso
欢迎关注科技富能量,互联网第一科技播客,给您分享最酷科技讯息,最in科技产品!还有最新最潮的语音播报!
以上就是小编带来的抖音能量君是上过哪期快乐大本营的全部内容,希望能够帮助到大家,更多抖音操作运营内容,请关注鼎品软件。