近日,有些地区警方接到报警,有市民早上醒来发现手机多出一堆验证码短信。同时,支付宝和网银里的钱已不翼而飞。记者了解到,这是一种新型的伪基站诈骗手段——“GSM(也就是俗称的2G)劫持+短信嗅探技术”,警方正在侦办中。不过,市民也不必过于恐慌,江宁公安相关工作人员表示,南京尚未发现此案例。同时,多家支付平台纷纷表示,出现此类情况将“全额补偿损失”。
此前,有广东的网友表示,凌晨醒来,发现手机莫名其妙收到 100 多条验证码短信。经过认真检查,自己支付宝、余额宝和关联银行卡的钱都被转走了,而京东账号也被开通金条和白条功能,借款 1 万多。
手机没丢、卡没丢,钱却没了。这一消息得到了警方的认证,这是遭遇到了“GSM劫持+短信嗅探技术”的新型伪基站诈骗。主要是因为现在我们的手机可同时支持4G和2G,嗅探短信验证码主要靠2G技术,东南大学信息科学与工程学院教授宋宇介绍:“因为我们是从2G过渡到3G、4G的,所以我们手机里面全部都兼容进来了,这时候我有一个2G的基站在这儿,并且我把4G的信号干扰掉了以后,手机就会自动切到2G上去了。因为现在个人信息、隐私保护很差的,它后面有个大的数据库,你这个手机号码,他在数据库里查,正好你的身份证被泄露了,你的银行账号被泄露了,那么它就可以实施攻击了。”
不过,宋宇教授认为,市民不必过于恐慌,目前出现的案例不多,而且要真正把银行卡等在内的钱全部转走,光通过短信嗅探设备来嗅探到验证码短信还不够,还要正好碰撞查询到目标手机号码对应的身份证号码、银行卡号等。南京尚未发现此类情况。宋宇说:“你的前提条件是那个黑客还要知道你的银行卡号和身份证号,他都要有的,这个时候他也是个'撞大运',因为后台是个大的数据库,他就会去查,检索到了,他就会尝试进行实时攻击。另外的话,现在的手机大部分都是4G手机,它必须要通过干扰去强制把手机打回到2G,意味着我干扰机的强度要大于基站的发射强度,攻击者一般在马路上绕的,攻击强度到不了小区中间。”
不过,一旦被撞上,可谓损失重大。而且这和以前出现的被盗案件不太一样,太像是用户本人或身边人的操作了,因此保险公司初次判定拒赔。这下怎么办?近日,多家支付平台发声,将“全额补偿损失”。
支付宝方面声明:“在没有确认被盗事实成立的情况下,保险还没有办法理赔,但我们将发起代位求偿,先行全额补偿用户在支付宝上的损失,然后全力配合警方,调查事实。”
京东金融也表示,已设立专门的盗刷案件处理通道,并会对被确认盗刷的用户账户进行先行垫付,免除用户的还款责任。
同时,针对此事,支付宝表示,除短信验证码外,目前平台已增加多因子验证(多因子验证是一种计算机访问控制的方法,用户要通过两种以上的认证机制之后,才能得到授权),如人脸验证。比如操作者先是利用短信验证码进行了一笔900多元的消费,到了尝试第二笔时,风控系统就会要求人脸校验等。京东金融表示会根据用户账户信用和风险等级动态选择通过银行卡信息、身份证信息、人脸识别、短信验证码等多维度交叉校验。
