中信网安信息数据安全专家蔡丹接受深圳电视台采访,深度解读“GSM劫持+短信嗅探”盗刷事件

发布时间:2018-08-05

蔡丹3.png

8月1日凌晨,豆瓣用户“独钓寒江雪”发表的一篇题为《这下一无所有了》的帖子,称自己半夜醒来手机收到100多条分别来自支付宝、京东、银行等的短信验证码,继而发现“支付宝、余额宝、余额和关联银行卡的钱都被转走了。”对于此影响恶劣的盗刷套取现金事件,8月5日,中信网安首席技术官、信息数据安全专家蔡丹接受了深圳电视台第一现场的采访,在专业技术层面给出解读意见。

GSM劫持致个人信息被盗取

蔡丹称,很多网站都是通过短信验证码登录,于是不法分子通过伪基站获取一定范围内潜在的手机号码后,再利用GSM中的嗅探技术,窥探短信中的验证码信息,以完成密码重置,身份验证等步骤,最终达到转移钱财套取现金的目的。“就好像一个有线的电话一样,通话双方外另被接出一条线,所有往来的数据被旁听旁录,这个时候就可以把所有数据分析出来。”

目前,GSM(2G)、WCDMA和CDMA2000(3G)、TD-LTE和FDD-LTE(4G)的编码、加密、身份验证方案各有不同,其中 GSM 因为过于老旧,所以可能被破解的几率最高。

“劫持对象”主要针对2G信号

蔡丹称,不法分子在打开嗅探设备后,寻找附近的2G手机,或者干脆去只有2G信号的地方来寻找手机机主。在得到你的手机号之后,再根据手中的数据库来继续搜索跟手机号码关联的身份证号、常用密码等,接下来转移钱财就会变得很容易了。

机构和个人如何保护网络数据信息安全

基于短信嗅探技术的新型黑产网络诈骗已经危及到了部分用户的财产安全,导致用户在各大银行、互联网平台都受到了不同程度的资金损失的社会问题,蔡丹对机构和个人如何保护个人数据安全给出专业建议:

机构方面:1.选择更安全的用户身份认证机制和安全可信的认证服务机构;2.确保其数据平台安全,保护用户数据不被盗取。

个人方面:1.尽量少用少登录不知名的应用。2.在使用任何应用的时候都要注意保护个人隐私,如身份信息、私人住址等,使犯罪分子的犯罪成本增高。3.晚上睡觉时可以采取关机处理,或只连接室内wifi,或开启飞行模式。

“e公民”真正实现用户信息被完整隔离和保护

中信网安“e公民”可信数字身份认证服务体系的推行与使用,可以在不泄露公民身份信息的前提下实现身份认证和行为确权,有效保护公民的隐私安全:

权威性:基于面对面的身份核验,由“公安部公民网络身份识别系统”统一签发,可进行跨地域、跨行业的网络身份服务;

安全性:含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;

隐私性:唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息;

便携性:载体是通用的手机SIM卡,对使用终端没有特殊要求;

唯一性:每人同一时间仅能激活一个eID,确保身份即法律责任主体唯一;

去身份化:应用中只存在“应用身份”,不保存用户个人信息;

碎片化:个人信息数据在不同应用中存在不同的“应用身份”,无法直接整合使用;

防追踪:因碎片化的存在难以对个人网络活动进行汇聚和追踪;

可追溯:唯一的身份信息精准关联“应用身份”,可通过司法部门实现追溯。

泛标准化:符合公安部相关部门标准,兼容生物特征识别和其它认证标准。