從技術層面看「截獲短訊驗證碼」盜刷案

• 2019 年 11 月 20 日
• 筆記

據澎湃新聞網8月4日報道，一種名為「GSM劫持+短訊嗅探技術」的新型犯罪手段引起關注，該犯罪手段可以在不接觸用戶手機、不發送詐騙短訊、不需要用戶主動點擊或安裝軟件的情況下盜取驗證短訊，從而盜刷銀行賬戶，造成經濟損失。

據南京江寧警方官博8月3日通報，不同於傳統的偽基站只發詐騙短訊的方法，此類新型偽基站詐騙使用的方法是利用GSM（2G網絡）設計缺陷，能實現不接觸目標手機而獲得目標手機所接收到的驗證短訊的目的，對於普通用戶來說基本上是無法防範。

那GSM劫持與短訊嗅探究竟是怎樣的技術呢？

GSM劫持技術

早在2016年，雷鋒網就發佈了《如何利用 LTE／4G 偽基站＋GSM 中間人攻擊攻破所有短訊驗證》的硬創公開課，該公開課詳細探討了中間人攻擊的可行性。

在目標 GSM 手機和運營商 GSM 基站之間插入一台GSM偽基站和一部GSM攻擊手機。在目標附近啟動偽基站，誘使目標手機來駐留（Camping），同時調用攻擊手機去附着（Attach）現網的運營商基站，如果現網要求鑒權，就把鑒權請求（Authentication Request）通過偽基站發給目標手機，目標手機返回鑒權響應 ( Authentication Response ) 給偽基站後，該鑒權響應先傳給攻擊手機，攻擊手機再轉發給現網，最後鑒權完成，攻擊手機就以目標手機的身份成功註冊在現網上了。之後收發短訊或接打電話時，如果現網不要求鑒權，就可以由攻擊手機直接完成，如果需要鑒權，就再次調用偽基站向目標手機發起鑒權請求，之後把收到的鑒權響應轉發給現網的運營商基站。

短訊嗅探技術

任何一部手機（無論有沒有插有效的SIM卡）面對一個大基站，基站本身並不會對特定的方向的信號與你通信，而是以向四周廣播的形式，發送信號。那麼就可以說，我們的手機實際上也是可以接收到其他手機的信號，對的，就是這樣，包括你經常用的WIFI也是這樣，不像有線有一個專門的線路，只要把收到的信號給解密了（SMS協議在國內是明文傳輸的），就可以嗅探別人的短訊、語音通話，甚至可以假冒其他人的身份通話。

短訊嗅探技術很早就有了，OsmocomBB是國外一個開源項目，是GSM協議棧(Protocols stack)的開源實現，全稱是Open source mobile communication Baseband.目的是要實現手機端從物理層(layer1)到layer3的三層實現。

在github頁面則有2G短訊嗅探的示例, 該項目藉助 Osmocom-BB 平台, 是一個隊2G網絡短訊嗅探抓取的Demo，可以實現自動載入系統/掃描基站與抓取短訊並存入數據庫的過程

對4G(LTE)的劫持

攻擊者可通過架設 LTE 偽基站吸引目標 LTE 手機前來附着（Attach），在附着過程中通過 RRC 重定向信令將該手機重定向到攻擊者預先架設的惡意網絡，通常是 GSM 偽基站，然後攻擊者用另一部手機作為攻擊手機，以目標手機的身份在運營商現網註冊，從而在現網擁有目標手機的全部身份，能夠以目標手機的身份接打電話、收發短訊，這就是所謂 GSM 中間人攻擊。這種攻擊方法能夠攔截掉發給目標手機的所有短訊，因此可以攻破以短訊驗證碼作為身份認證機制的任何網絡服務，包括手機銀行和手機支付系統。

需要說明的是，LTE RRC 重定向，不止可以對接 GSM 偽基站，還可以對接 CDMA 偽基站，以及破解過的 3G、4G Femto Cell，同樣可以實現中間人攻擊。即使對接 GSM，某些情況下也可以不架設偽基站，直接對接現網 GSM 基站，然後使用半主動式方式來攔截短訊，不用中間人攻擊也達到同樣的短訊攔截效果。

防範方法

可以設置手機始終只連接4G信號，或者關閉手機的移動信號，只使用家中或者辦公室的WIFI，這樣既能保持和大家的網絡聯繫，也能略微提高被嗅探的難度。如遭遇此類詐騙務必立刻報警，保留好短訊內容

本文由全網聚合撰寫，未經允許不得轉載