從技術層面看「截獲簡訊驗證碼」盜刷案

• 2019 年 11 月 20 日
• 筆記

據澎湃新聞網8月4日報道，一種名為「GSM劫持+簡訊嗅探技術」的新型犯罪手段引起關注，該犯罪手段可以在不接觸用戶手機、不發送詐騙簡訊、不需要用戶主動點擊或安裝軟體的情況下盜取驗證簡訊，從而盜刷銀行賬戶，造成經濟損失。

據南京江寧警方官博8月3日通報，不同於傳統的偽基地台只發詐騙簡訊的方法，此類新型偽基地台詐騙使用的方法是利用GSM（2G網路）設計缺陷，能實現不接觸目標手機而獲得目標手機所接收到的驗證簡訊的目的，對於普通用戶來說基本上是無法防範。

那GSM劫持與簡訊嗅探究竟是怎樣的技術呢？

GSM劫持技術

早在2016年，雷鋒網就發布了《如何利用 LTE／4G 偽基地台＋GSM 中間人攻擊攻破所有簡訊驗證》的硬創公開課，該公開課詳細探討了中間人攻擊的可行性。

在目標 GSM 手機和運營商 GSM 基地台之間插入一台GSM偽基地台和一部GSM攻擊手機。在目標附近啟動偽基地台，誘使目標手機來駐留（Camping），同時調用攻擊手機去附著（Attach）現網的運營商基地台，如果現網要求鑒權，就把鑒權請求（Authentication Request）通過偽基地台發給目標手機，目標手機返回鑒權響應 ( Authentication Response ) 給偽基地台後，該鑒權響應先傳給攻擊手機，攻擊手機再轉發給現網，最後鑒權完成，攻擊手機就以目標手機的身份成功註冊在現網上了。之後收發簡訊或接打電話時，如果現網不要求鑒權，就可以由攻擊手機直接完成，如果需要鑒權，就再次調用偽基地台向目標手機發起鑒權請求，之後把收到的鑒權響應轉發給現網的運營商基地台。

簡訊嗅探技術

任何一部手機（無論有沒有插有效的SIM卡）面對一個大基地台，基地台本身並不會對特定的方向的訊號與你通訊，而是以向四周廣播的形式，發送訊號。那麼就可以說，我們的手機實際上也是可以接收到其他手機的訊號，對的，就是這樣，包括你經常用的WIFI也是這樣，不像有線有一個專門的線路，只要把收到的訊號給解密了（SMS協議在中國是明文傳輸的），就可以嗅探別人的簡訊、語音通話，甚至可以假冒其他人的身份通話。

簡訊嗅探技術很早就有了，OsmocomBB是國外一個開源項目，是GSM協議棧(Protocols stack)的開源實現，全稱是Open source mobile communication Baseband.目的是要實現手機端從物理層(layer1)到layer3的三層實現。

在github頁面則有2G簡訊嗅探的示例, 該項目藉助 Osmocom-BB 平台, 是一個隊2G網路簡訊嗅探抓取的Demo，可以實現自動載入系統/掃描基地台與抓取簡訊並存入資料庫的過程

對4G(LTE)的劫持

攻擊者可通過架設 LTE 偽基地台吸引目標 LTE 手機前來附著（Attach），在附著過程中通過 RRC 重定向信令將該手機重定向到攻擊者預先架設的惡意網路，通常是 GSM 偽基地台，然後攻擊者用另一部手機作為攻擊手機，以目標手機的身份在運營商現網註冊，從而在現網擁有目標手機的全部身份，能夠以目標手機的身份接打電話、收發簡訊，這就是所謂 GSM 中間人攻擊。這種攻擊方法能夠攔截掉發給目標手機的所有簡訊，因此可以攻破以簡訊驗證碼作為身份認證機制的任何網路服務，包括手機銀行和手機支付系統。

需要說明的是，LTE RRC 重定向，不止可以對接 GSM 偽基地台，還可以對接 CDMA 偽基地台，以及破解過的 3G、4G Femto Cell，同樣可以實現中間人攻擊。即使對接 GSM，某些情況下也可以不架設偽基地台，直接對接現網 GSM 基地台，然後使用半主動式方式來攔截簡訊，不用中間人攻擊也達到同樣的簡訊攔截效果。

防範方法

可以設置手機始終只連接4G訊號，或者關閉手機的移動訊號，只使用家中或者辦公室的WIFI，這樣既能保持和大家的網路聯繫，也能略微提高被嗅探的難度。如遭遇此類詐騙務必立刻報警，保留好簡訊內容

本文由全網聚合撰寫，未經允許不得轉載