（原标题：焦点访谈曝光“嗅探”盗刷 看邦盛科技怎么破解风险）

你能想象在不接触对方手机的情况下,获取对方的短信内容,最终利用短信验证码实现银行卡盗刷吗?最近《焦点访谈》曝光了新型“嗅探”诈骗:半夜收到上百条短信验证码,一觉醒来,账户里的钱没了。

邦盛科技专家团队表示,这是犯罪分子利用“GSM劫持+短信嗅探”的方式,把银行卡或其账户里的钱盗刷或转移了。

什么是“短信嗅探”?

其实这是近年来出现的伪基站犯罪手段。黑产从业者通过一种短信嗅探设备,可以直接嗅探到用户所有的手机短信。利用专门的手机号采集装备,对采集到的手机号,在相关网站实现找回密码等操作,实现盗刷。但是,这种设备只能攻击2G网络条件下的手机,配合降频设备,也可以强制让覆盖范围内手机网络状态变为2G,从而实现降频攻击。

“伪基站”捣的鬼?

其实“伪基站”在江湖早就赫赫有名了,不仅产业链完善,而且有组织有分工。欺诈者先用“伪基站”搜索一定半径范围内手机卡信息,然后伪装成运营商的基站,冒用他人手机号发送诈骗信息。

来了解一下“伪基站”的行骗方式。

1、犯罪团伙基于2G移动网络下的GSM通信协议,在开源项目OsmocomBB的基础上进行修改优化,搭配专用手机,组装成便于携带易使用的短信嗅探设备。

2、通过号码收集设备(伪基站)获取一定范围下的潜在手机号码,然后在一些支付网站或移动应用的登录界面,通过“短信验证码登录”途径登录,再利用短信嗅探设备来嗅探短信。

3、通过第三方支付查询目标手机号码,匹配相应的用户名和实名信息,以此信息到相关政务及医疗网站社工获取目标的身份证号码,到相关网上银行社工,或通过黑产社工库等违法手段获取目标的银行卡号。由此掌握目标的四大件:手机号码、身份证号码、银行卡号、短信验证码。(所谓社工,是黑客界常用的叫法,就是通过社会工程学的手段,利用撞库或者某些漏洞来确定一个人信息的方法。)

4、通过获取的四大件,实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作,实现对目标的盗刷或信用卡诈骗犯罪。因为,一般短信嗅探技术只是同时获取短信,并不能拦截短信,所以不法分子通常会选择在深夜作案,因为这时,受害者熟睡,不会注意到异常短信。

设备指纹

身份的不确定性是黑产及欺诈者的根本支撑,在无法识别操作用户的情况下,可以从设备入手,基于快速识别在线设备的各项属性,判断交易的可信度,从而达到风险控制和反欺诈的要求。不同的风险行为在设备上可能会有所体现和不同程度的反应,如盗卡盗刷风险中,反映在设备上,可能设备频繁交易、关联银行卡过多等。

当交易时,如果同一设备交易关联账户过多或交易金额与习惯范围异常,那就要警惕是否存在交易欺诈。支付环节需要严格管控,传统的 IP 容易伪造、代理等,且精度不够细。对于常见的黑产改机框架、改机软件、伪装软件等,设备指纹都可以做到针对性的识别,并可以识别虚拟机、模拟器及代理侦测等。

邦盛科技设备指纹识别采用多维度,多数据的比较,通过多要素置信度综合决策算法,有效减少了因为部分维度篡改或获取异常对设备指纹精度的影响,可以保证设备指纹在刷机、升级、甚至通过黑产软件修改后,设备指纹保持不变。

作为识别交易者身份的重要技术,也是风控与反欺诈的一项重要核心底层技术,设备指纹在金融风控的交易场景,可服务于交易全生命周期监控,包括账号安全、支付安全、营销安全,可为风控体系提供更丰富的建模维度,帮助金融机构在设备维度积累数据,积累黑、白名单。也可应用于信用卡网申、互联网小额贷款等业务领域的申请反欺诈环节,解决授信前的准入、反欺诈问题。

交易异常检测

从风险防控策略上,可以对开户后的大额交易、频繁失败交易、修改绑定操作及登陆异常等行为进行识别。邦盛科技解决方案会将银行等金融机构的具体产品特性(如多面向年轻群体居多,年龄普遍20-50岁)与该行业务范围(如某省或某区域)等特征融入到风控策略中,建设最适合该行该场景的风控体系。

全流程风控体系

随着技术的飞速发展,一切安全手段都有可能被破解,安全的本质是不断变化。邦盛科技并不依赖某一核心技术,而是通过集合底层数据实时引擎,与风控数据平台、规则模型库、智能决策平台、场景应用等平台工具与基础技术构成一个自上而下完整的产品及技术体系,为金融机构搭建“事前风险感知”、“事中实时决策”、“事后案件调查”的全流程风险侦测、识别和处理,并本地化部署到客户内部,在满足合规要求的同时,避免金融机构业务数据泄露带来的潜在风险。

温馨小贴士

作为普通网民,如何防范这种短信嗅探犯罪呢?

最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。如果发现手机收到来历不明的验证码,表明此刻嫌疑人可能正在社工你的信息,可以立即关机或启动飞行模式,并移动位置(大城市可能几百米左右即可),逃出设备覆盖的范围。

另外,还要注意手机信号模式改变。在稳定的4G网络环境下,手机信号突然降频“GSM”、“G”或无信号时,警惕遇到黑产实施的强制“降频”及GSM Hack攻击,要及时更换网络环境,重新连接真实基站,检查移动App异常恶意操作情况。

在手机设置上,用户可以使用“VoLTE”保护信息安全:在手机设置中开启“VoLTE”选项,目前主流安卓或iphone手机均已支持。(VoLTE:Voice over LTE,是一种数据传输技术,无需2G或3G,可实现数据与语音业务在4G网络同时传输)

同时,用户最好关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度;如果看到有银行或其他金融机构发来的验证码,除了立即关机或启动飞行模式外,还要迅速采取输错密码、挂失的手段冻结银行卡或支付账号,避免损失扩大。