从技术层面看“截获短信验证码”盗刷案

• 2019 年 11 月 20 日
• 筆記

据澎湃新闻网8月4日报道，一种名为“GSM劫持+短信嗅探技术”的新型犯罪手段引起关注，该犯罪手段可以在不接触用户手机、不发送诈骗短信、不需要用户主动点击或安装软件的情况下盗取验证短信，从而盗刷银行账户，造成经济损失。

据南京江宁警方官博8月3日通报，不同于传统的伪基站只发诈骗短信的方法，此类新型伪基站诈骗使用的方法是利用GSM（2G网络）设计缺陷，能实现不接触目标手机而获得目标手机所接收到的验证短信的目的，对于普通用户来说基本上是无法防范。

那GSM劫持与短信嗅探究竟是怎样的技术呢？

GSM劫持技术

早在2016年，雷锋网就发布了《如何利用 LTE／4G 伪基站＋GSM 中间人攻击攻破所有短信验证》的硬创公开课，该公开课详细探讨了中间人攻击的可行性。

在目标 GSM 手机和运营商 GSM 基站之间插入一台GSM伪基站和一部GSM攻击手机。在目标附近启动伪基站，诱使目标手机来驻留（Camping），同时调用攻击手机去附着（Attach）现网的运营商基站，如果现网要求鉴权，就把鉴权请求（Authentication Request）通过伪基站发给目标手机，目标手机返回鉴权响应 ( Authentication Response ) 给伪基站后，该鉴权响应先传给攻击手机，攻击手机再转发给现网，最后鉴权完成，攻击手机就以目标手机的身份成功注册在现网上了。之后收发短信或接打电话时，如果现网不要求鉴权，就可以由攻击手机直接完成，如果需要鉴权，就再次调用伪基站向目标手机发起鉴权请求，之后把收到的鉴权响应转发给现网的运营商基站。

短信嗅探技术

任何一部手机（无论有没有插有效的SIM卡）面对一个大基站，基站本身并不会对特定的方向的信号与你通信，而是以向四周广播的形式，发送信号。那么就可以说，我们的手机实际上也是可以接收到其他手机的信号，对的，就是这样，包括你经常用的WIFI也是这样，不像有线有一个专门的线路，只要把收到的信号给解密了（SMS协议在国内是明文传输的），就可以嗅探别人的短信、语音通话，甚至可以假冒其他人的身份通话。

短信嗅探技术很早就有了，OsmocomBB是国外一个开源项目，是GSM协议栈(Protocols stack)的开源实现，全称是Open source mobile communication Baseband.目的是要实现手机端从物理层(layer1)到layer3的三层实现。

在github页面则有2G短信嗅探的示例, 该项目借助 Osmocom-BB 平台, 是一个队2G网络短信嗅探抓取的Demo，可以实现自动载入系统/扫描基站与抓取短信并存入数据库的过程

对4G(LTE)的劫持

攻击者可通过架设 LTE 伪基站吸引目标 LTE 手机前来附着（Attach），在附着过程中通过 RRC 重定向信令将该手机重定向到攻击者预先架设的恶意网络，通常是 GSM 伪基站，然后攻击者用另一部手机作为攻击手机，以目标手机的身份在运营商现网注册，从而在现网拥有目标手机的全部身份，能够以目标手机的身份接打电话、收发短信，这就是所谓 GSM 中间人攻击。这种攻击方法能够拦截掉发给目标手机的所有短信，因此可以攻破以短信验证码作为身份认证机制的任何网络服务，包括手机银行和手机支付系统。

需要说明的是，LTE RRC 重定向，不止可以对接 GSM 伪基站，还可以对接 CDMA 伪基站，以及破解过的 3G、4G Femto Cell，同样可以实现中间人攻击。即使对接 GSM，某些情况下也可以不架设伪基站，直接对接现网 GSM 基站，然后使用半主动式方式来拦截短信，不用中间人攻击也达到同样的短信拦截效果。

防范方法

可以设置手机始终只连接4G信号，或者关闭手机的移动信号，只使用家中或者办公室的WIFI，这样既能保持和大家的网络联系，也能略微提高被嗅探的难度。如遭遇此类诈骗务必立刻报警，保留好短信内容

本文由全网聚合撰写，未经允许不得转载