近日,全国多地接连发生多起银行卡被盗刷事件。深圳市龙岗警方历时一个多月,打掉一个涉嫌全链条盗刷银行卡的团伙,抓捕10名嫌疑人,涉案金额逾百万元。
在此之前,郑州、广州、厦门等地警方也相继破获类似案件。这些银行卡盗刷案件作案手段一致,均是利用手机2G网络(GSM)不加密传输的漏洞,通过伪基站和短信嗅探器,在一定范围内获取用户手机号码和短信验证码。之后,再利用各大银行、网站、移动支付APP存在的漏洞和缺陷,实现信息窃取、资金盗刷。
▲图据东方IC
在移动支付日益兴起的时代,大量的支付场景和应用程序,极大方便了网民的日常起居、衣食住行,仿佛一夜之间都可以通过手机、POS机、无人ATM等智能终端联系。
然而,不容回避的是,移动支付的飞速发展和高频次应用,必然带来更严苛的安全需求。事实上,短信嗅探带来的网络安全问题,已经引起了业内的注意。今年2月11日,全国信息安全标准化技术委员会组织专家论证,发布《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,指出由于2G网络存在单向鉴权和短信内容无加密传输等局限性,且短信截获攻击呈现工具化和自动化趋势,使利用此类威胁实施攻击的门槛大幅降低,基于短信验证码实现身份验证的安全风险显著增加。