7月30日凌晨,一位来自深圳的用户起来发现,自己的手机莫名其妙收到 100 多条验证码短信。很快她便发现自己的支付宝、余额宝和关联银行卡的钱都被转走了,而京东账号也被开通金条和白条功能,借款1万多。
近日,通过获取用户手机短信验证码盗刷账户财产的事件屡见不鲜。面对不法分子花样频出的诈骗手法,已经让很多移动互联网用户产生恐慌。对于这种颇有技术含量的盗取财产手段,我们先来了解下背后的技术原理。骗子在整个过程中主要用到“GSM 劫持”和“短信嗅探”两种技术,能够在用户完全不操作的情况下获得手机号码、验证码甚至身份证信息等核心资料,从而盗取用户手机账户财产。
目前,大部分短信都是通过 2G 网络的 GSM 通信协议进行传输的,而这种通信协议并不安全,只要一部嗅探设备(通常是一部改装手机)就可以监听。然后,骗子再利用伪基站(通常是改装的手机或笔记本电脑)来收集周围的手机卡信息。如此一来,就同时拿到了手机号和短信验证码。此时骗子已经可以通过查询网站反推出号码的主人身份信息,甚至可以拿到身份证号和银行卡号。有了上述信息,不法分子会选择深夜用户熟睡的情况进行资产转移、小额贷款等操作,成功盗刷用户财产。
作为手机厂商,如何保护用户财产,防范于未然?记者通过小米MIUI安全中心工程师处了解到,目前MIUI系统主要从骚扰拦截、诈骗号码拦截、伪基站短信识别、拒连伪基站、短信URL识别和支付安全扫描六方面入手,全面保障用户使用手机的账户安全。
举例说明,MIUI是最早支持来电号码识别功能,拦截诈骗号码的手机操作系统,用户可以自行对骚然电话进行标记,一旦发现超过50人对同一号码标记为诈骗,系统就会自动帮用户进行挂断拦截;另外,当小米手机用户收到银行、运营商发来的短信时,小米均会针对短信进行安全检查,一旦发现伪基站短信,会立即进行提醒;部分小米手机还支持了“防连伪基站”功能,开启后,将从芯片层面判断伪基站,从根本上杜绝连接伪基站;对于短信验证码,MIUI系统默认禁止所有第三方应用读取验证码短信,防止用户因为验证码短信泄露而造成财产损失;当用户点击短信中的网址时,小米会针对网址进行安全监测,一旦发现危险网址,会立即提示用户,防止打开钓鱼网址受骗;最后当用户通过小米手机进行支付时,MIUI会扫描用户当前的系统与网络环境,一旦发现恶意软件或虚假WiFi,立即提示用户停止支付行为。
移动互联网诈骗一直都是厂商和不法分子间的一场博弈。MIUI作为安卓系统的领跑者,对于防范花样百出的诈骗手法从未松懈,希望通过自身的不断完善和改进,给用户打造真正放心、省心的移动互联网环境。记者也希望能够看到更多手机厂商能够在这方面加大投入,净化移动互联网环境,为用户安全使用手机保驾护航。
