最新消息:孤狼工作室文章系统正式上线!

能量君公众号文章导出遇伪基站,银行卡里的钱……

创业就业 科技富能量 1172浏览

前不久,我们刚给大家分享一则《一觉醒来银行卡里是微信公众号文章发布到网站的钱都没了,怎么发生是微信公众号文章发布到网站的?》GSM劫持+短信嗅探技术盗刷事件,事件没过去多久 ,类似的情况竟然发生在能量君身上!

话说昨天中午,能量君正在拼命搬砖的时候,手机突然收到一条短信,瞄了一眼,咦?积分兑换现金?

心里暗喜:难道是银行看到我高达三位数的巨额存款?要用福利留住像我这样的优质客户?


仔细看,短信确实是建行95533发过来的,但是网址看起来好像有点怪怪的,结尾是.top看起来很顶级的样子。正在能量君犯嘀咕的时候,短信又来了!


这条短信显示是中国移动发来的,说我遭遇了伪基站!建议下载一个“安全先锋”APP。看到这条短信后,名侦探能量君立刻做出了以下推理:

1、自己肯定遭遇了伪基站。

2、现在收到的任何短信都不能相信,包括这一条。

能量君赶紧上网搜索,结果发现这样一条新闻,这说的不就是我吗!再一看新闻发布的时间, 2016年!

两年前的手段,今天居然还好使!呵呵哒?!

能量君把这事儿当个笑话讲给了富老板,结果富老板居然……让我登录一下那个“顶级网站”试试看!

What?

R U KIDDING??

你是骗子派来补刀的吗???


看着银行卡里全部的身家性命,能量君低下头,默默咬紧下嘴唇……

只要底裤还在,怕什么!

能量君首先在电脑端输入网址,浏览器果然提示:“假冒的购物网站”,建议你关闭页面。


怎么办?裤子都脱了你就给我看这个?选择继续访问!

Emmm……看来只能看这个了


很显然,这个网站还没有适配PC端。

怎么办?

当然是用手机再登录!

能量君在手机端果然顺利打开了这个网址,而且手机浏览器(UC)竟然没有提示危险!没有提示危险!

手机浏览器显示正在进入


进入网站后界面

怎么样?是不是乍一看有模有样?

这种粗犷的棱角、朴实脱俗的画风,确实符合我们印象中各种“官方网页”的样子。


接下来就是最诱惑人的地方:一万积分兑换500现金


能量君终于迎来了资产翻倍的机会!还等什么!赶快兑换!

进去之后,吓得我赶紧喝一口菊花枸杞茶……

这……要填的信息也太全了吧,填完之后连底裤都不剩了呀!

除了这种“统统告诉我密码”的漏洞之外,能量君还发现一个有趣的现象。网页上面导航栏的五个链接,除了点击微博可以链接到建行的官微,其余四个导航栏链接的都是同一个页面。也就是说,无论点击哪个按钮,页面都显示的是积分兑换


啊……突然能量君想起了大学时,期末作业做网站设计,也用过同样的方法来偷懒,糊弄导师……

那被导师责骂的青涩时光,以及夕阳下的追逐和奔跑……

(emm,想得有点多,回归正题…)

如今,能量君看了一下这个网站的其他板块,比如优惠服务、最新公告、新闻中心、金融服务等等,都是空链接。(比能量君大学的时候还偷懒)

截止今天能量君撰稿的时候,该网址已经无法访问了。看来就是一个临时的虚假网站,用来骗取用户的账号信息的。

服务器无响应,停止访问

温馨提示:以上操作含风险,请勿随意模仿

要想杜绝风险,还是要认清真正的官方网站。二者除了网址之外,页面风格也大不相同。


对比官网,假网站的山寨气息再也捂不住了

而面对伪基站诈骗短信,能量君也为您汇总了几条防骗指南:

01

开通高清语音通话服务(VoLTE 功能)

因为短信嗅探是利用有协议缺陷的 GSM(2G)通道才能实现的,所以防止「短信嗅探」的其中一种思路是:开通 VoLTE 功能,给短信「升级」。(短信升级的方法能提高安全系数,但不能完全避免)


在开通高清语音通话服务后,短信就会跟电话一样通过 3G/4G 网络进行传输。据 TK 和 360 无线电安全研究院的说法,这能一定程度上增加「短信嗅探」的难度;不过暂时只有部分地区支持开通 VoLTE 功能。

但这么做并不能 100% 确保安全,据警方@江宁公安在线称,LTE 类 4G 手机有可能受到劫持和嗅探的威胁。在遭到降级攻击的时候,3G/4G 会回落到 GSM(2G) 网络,这时候要嗅探短信就轻而易举了。


02

手机手动锁定3、4G网络

除了升级4G高清通话这个功能之外,还有一个直接锁定3G、4G的方法。首先在拨号页面,拨打*#*#4636#*#*,手机自动跳转设备的测试页面。

选择你要修改的手机信息(能量君是双卡),进去后选择【首选网络类型】,手动锁定LTE only即可。

这个方法就是手动锁定手机网络类型,但是缺点就是,遇到无4G网络的区域,手机只能显示无信号,并不能自动跳转到2G网络。

03

严格控制 App 读取短信的权限

除了 GSM「短信嗅探」,那些乖乖躺在你手机里、拿到读取短信权限的App,实际上也是一项信息安全隐患。想想,只要任意一个获得权限的App 存在漏洞,你的验证码短信就相当于在互联网上「裸奔」。


不要嫌麻烦,现在就动手去把这项权限收回来。

04

设置专门的号码接收验证短信

更「与世隔绝」的做法,大概就是准备专门的号码和手机来接收各种验证码短信了。

建议你这部手机禁用 WiFi,禁用移动网络,只用来打电话和发短信,这样能把大部分的App 漏洞、手机木马或短信自助云端备份等带来的危险挡在门外。


但是呢,千万不要选择只支持 2G 网络的功能机,因为GSM 网络制式的 2G 信号最容易被挟持了。

05

换张电信卡

前面提到,「短信嗅探」这种风险,只要是你的手机用了 GSM 网络都会存在。由于移动和联通的 2G 是 GSM 网络制式,所以中国移动和中国联通的用户最有可能中招。



而中国电信的 2G 是 CDMA 制式,几乎是不可嗅探的。在以往警方侦办的案例中,也未发现中国电信用户遭受该类技术攻击的情况。

除了以上介绍的方法之外,我们还要注意一些日常的情况,比如说:

不少APP在非常用设备上登录、修改密码时,验证手段依然不够安全。比如,支付宝在账户非常用设备上登录、修改登录密码、修改支付密码,进而进行转账、付款、提现,都可以通过“短信验证码+身份证号+银行卡号”实现。

在京东商城APP则可以通过“短信验证码+历史收件人姓名”进行登录,并通过“短信验证码+银行卡号+身份证号”重置支付密码。苏宁易购也可以通过手机验证码直接登录,并使用“身份证号码+手机验证码”重置支付密码。

在银行APP方面,中国银行、招商银行,也是采用姓名、银行卡号、身份证、验证码的不同组合即可在非常用设备上登录。


这就意味着,如果不法分子嗅探到用户验证码,并利用多个手段获取身份证号、姓名、银行卡号,即可在支付宝、京东、苏宁易购等平台上进行消费。


所以,不能全依赖平台或设备,保护好自己的财产,小心驶得万年船。

部分素材来源新京报、Appso



往期精选

点击图片查看

红芯浏览器,带来的危害不仅仅是“吹牛”

08-23

老罗的“子弹短信”能代替微信吗?

08-22

手机版的“PS”,女朋友不再说你是直男!

08-21

如何快速找到


微信改版后

设置星标即可快速查看最新的内容

 

按设置星标后

打开订阅号消息,点击右上角即可查阅最新的推送

 

转载请注明:孤狼工作室 » 能量君公众号文章导出遇伪基站,银行卡里的钱……