國家保密局網(wǎng)站>>保密科技

嚴(yán)防移動(dòng)辦公“隔空取物”式竊密

2020年05月19日    來源:指導(dǎo)管理司【字體: 打印

隨著移動(dòng)通信技術(shù)的發(fā)展和移動(dòng)智能終端的普及,移動(dòng)政務(wù)辦公已經(jīng)成為必然趨勢(shì),在這一趨勢(shì)下,敏感甚至涉密的政務(wù)數(shù)據(jù)和辦公終端走出政務(wù)部門的安全邊界將成為普遍現(xiàn)象。盡管移動(dòng)政務(wù)應(yīng)用已經(jīng)采用許多安全機(jī)制,但是移動(dòng)網(wǎng)絡(luò)開放、移動(dòng)終端難以管控等因素增加了移動(dòng)政務(wù)辦公的失泄密風(fēng)險(xiǎn)。本文結(jié)合隔空盜刷銀行卡事件的原理,介紹移動(dòng)通信網(wǎng)絡(luò)和移動(dòng)應(yīng)用存在的安全漏洞,分析上述漏洞導(dǎo)致的失泄密風(fēng)險(xiǎn),并給出相應(yīng)的安全防護(hù)建議。

事件回顧

2018年12月21日,廣東佛山的李先生到廣西柳州出差,入住某酒店。次日清晨李先生醒來后,發(fā)現(xiàn)手機(jī)收到大量發(fā)送驗(yàn)證碼的短信和多條工商銀行發(fā)來的短信,告知其工商銀行卡內(nèi)的7萬余元存款經(jīng)多次消費(fèi)已近花光。兩天后,同樣詭異的場景在柳州某小區(qū)再次出現(xiàn)。居民何女士起床后發(fā)現(xiàn)手機(jī)接收到大量發(fā)送驗(yàn)證碼的短信,其交通銀行卡被盜刷3萬余元。

圖 1 受害人收到的提示短信

柳州警方立即成立專案組,將3名嫌疑人抓捕歸案。據(jù)交代,嫌疑人雷某和雷某斌負(fù)責(zé)利用嗅探設(shè)備竊取受害人手機(jī)信息,接收驗(yàn)證碼短信,分析機(jī)主身份證綁定的支付寶賬號(hào)和銀行卡號(hào),徐某則負(fù)責(zé)“加工”竊取來的信息,并在第三方支付平臺(tái)盜刷。從而在沒有接觸受害人手機(jī)、銀行卡且事先不知道其密碼的情況下,通過“隔空取物”的方式取走受害人銀行卡里的資金。

圖 2 警方繳獲的嗅探設(shè)備

在公眾的印象中,“隔空取物”一般出現(xiàn)在魔術(shù)表演節(jié)目或仙俠小說的橋段中。其實(shí),此類無觸式隔空盜刷現(xiàn)身于世的時(shí)間并不長,屬于新型電信詐騙案件,其工作原理說起來也并不復(fù)雜。我們?nèi)粘J褂玫脑S多App登錄及操作,都可以通過手機(jī)號(hào)碼加短信驗(yàn)證碼的方式實(shí)現(xiàn),而手機(jī)號(hào)碼和短信內(nèi)容可以通過專用電子設(shè)備來獲取。即,作案人員首先使用偵碼設(shè)備獲取一定范圍內(nèi)用戶的手機(jī)號(hào)碼和短信內(nèi)容,然后利用獲取的手機(jī)號(hào)登錄支付平臺(tái),再用嗅探設(shè)備獲取手機(jī)驗(yàn)證碼,最后登錄平臺(tái)操控用戶資金賬戶進(jìn)行轉(zhuǎn)賬或消費(fèi)。

圖 3 隔空盜刷的原理 

隔空盜刷的具體實(shí)現(xiàn)步驟如圖3所示:

1.利用偵碼設(shè)備采集附近(通常是500米以內(nèi)范圍)處于開機(jī)狀態(tài)的手機(jī)號(hào)碼;

2.利用采集到的手機(jī)號(hào)碼登錄支付寶、京東、網(wǎng)銀等App;

3.選擇“忘記密碼”,通過短信來驗(yàn)證用戶,或選擇動(dòng)態(tài)驗(yàn)證碼方式來登錄;

4.利用嗅探設(shè)備捕獲短信驗(yàn)證碼;

5.輸入短信驗(yàn)證碼登錄App,可以獲取該用戶的銀行卡號(hào)、身份證號(hào)碼等信息;

6.開始盜刷或轉(zhuǎn)賬。

經(jīng)過如此這般的一步步操作,一次“隔空取物”式的盜刷就“完美”實(shí)現(xiàn)了。需要指出的是,由于嗅探設(shè)備只能同時(shí)獲取發(fā)給手機(jī)用戶的短信,并不能攔截短信,所以作案人員通常選擇在深夜受害人熟睡的時(shí)間作案,此時(shí)受害人不會(huì)察覺手機(jī)收到一連串短信以及“躺”在銀行卡中的錢財(cái)已經(jīng)被人“搬運(yùn)”。

無觸竊密風(fēng)險(xiǎn)分析

隔空盜刷同時(shí)利用了移動(dòng)通信網(wǎng)絡(luò)和App的安全漏洞,從而登錄用戶App,并進(jìn)行相關(guān)操作。柳州隔空盜刷作案嫌犯的主要目的是非法獲取財(cái)產(chǎn),但實(shí)際上利用這種方式,除了可以非法盜刷,還可以爬取App中的日志、位置、聯(lián)系人等用戶隱私信息,特別是隨著移動(dòng)政務(wù)辦公應(yīng)用的推廣,甚至可以竊取辦公App里的敏感信息。這種風(fēng)險(xiǎn)的存在,不能不引起我們的高度警惕。筆者擬對(duì)此作進(jìn)一步分析,先來看一下圖4。 

 

圖 4 隔空竊密示意

圖中,前端設(shè)備(可以是移動(dòng)式也可以是固定式)完成對(duì)目標(biāo)手機(jī)的號(hào)碼、短信、App日志、App數(shù)據(jù)等信息的獲取,并將用戶信息通過互聯(lián)網(wǎng)發(fā)送至數(shù)據(jù)分析服務(wù)器;分析服務(wù)器接收和保存前端設(shè)備發(fā)送的目標(biāo)用戶信息,并對(duì)這些信息進(jìn)行關(guān)聯(lián)分析,竊取用戶敏感信息。

利用上述方式,既可以對(duì)重要目標(biāo)進(jìn)行跟蹤數(shù)據(jù)采集,也可以通過區(qū)域布控,對(duì)特殊人群進(jìn)行定點(diǎn)數(shù)據(jù)采集,由此可能產(chǎn)生的竊密風(fēng)險(xiǎn)包括:

1.人物畫像:通過對(duì)采集到的數(shù)據(jù)進(jìn)行綜合分析,建立人物基礎(chǔ)檔案(庫),收錄包括戶籍信息、證件信息、生活服務(wù)注冊(cè)信息、資產(chǎn)信息、地址信息等多維度的人物基礎(chǔ)信息;

2.敏感信息獲。簩(duì)采集到的App數(shù)據(jù)進(jìn)行清洗、補(bǔ)全、標(biāo)注等處理,可以提取其中的敏感信息;

3.即時(shí)通信分析:通過對(duì)目標(biāo)即時(shí)通信數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,還原聊天內(nèi)容和時(shí)間,以可視化方式展示即時(shí)通信好友信息、群組關(guān)系、聊天記錄、收藏信息、朋友圈發(fā)布信息等;

4.人物地址分析:通過各種App地址信息,進(jìn)行標(biāo)準(zhǔn)化處理,分析常去地、落腳點(diǎn)、工作地,以熱力圖展示目標(biāo)人物的活躍區(qū)域;

5.潛在人物關(guān)系分析:通過對(duì)App數(shù)據(jù)的訂單接收、聯(lián)系人、聊天記錄等關(guān)系數(shù)據(jù),以權(quán)重算法計(jì)算出關(guān)系人的親密度,分析出目標(biāo)潛在人物關(guān)系;

6.人物活動(dòng)時(shí)光軸:通過App采集的人物活動(dòng)信息,結(jié)合時(shí)間維度,繪制目標(biāo)活動(dòng)軌跡信息。

防范建議

針對(duì)移動(dòng)通信網(wǎng)絡(luò)和App驗(yàn)證方式存在漏洞而導(dǎo)致的隔空無觸竊密風(fēng)險(xiǎn),筆者建議從以下方面進(jìn)行安全防范。

1.注意手機(jī)信號(hào)模式的突然改變。偵碼設(shè)備通常只能獲取2G模式手機(jī)的手機(jī)號(hào)碼,對(duì)于3G/4G/5G手機(jī),需要將其降至2G才能獲取手機(jī)號(hào)碼。因此,在穩(wěn)定的3G/4G/5G網(wǎng)絡(luò)環(huán)境下,如果手機(jī)信號(hào)突然降到2G,要及時(shí)更換網(wǎng)絡(luò)環(huán)境,重新連接真實(shí)基站,檢查可能出現(xiàn)的移動(dòng)App異常惡意操作情況。

2.長時(shí)間不使用手機(jī)時(shí)(比如夜晚)要進(jìn)行關(guān)機(jī)操作。偵碼設(shè)備和嗅探設(shè)備只能在手機(jī)處于開機(jī)狀態(tài)時(shí)才會(huì)起作用,因此,如果長時(shí)間不使用手機(jī),要關(guān)機(jī)或開啟飛行模式,避免被攻擊竊密。

3.收到可疑短信時(shí)要及時(shí)處理。許多嗅探設(shè)備并不影響正常手機(jī)接收短信,一旦發(fā)現(xiàn)可疑驗(yàn)證碼短信,要及時(shí)關(guān)機(jī)以避免其他App被偽裝登錄、竊密,并且及時(shí)聯(lián)系短信驗(yàn)證碼對(duì)應(yīng)的App后臺(tái),以阻止該App信息的進(jìn)一步泄露。

4.增強(qiáng)移動(dòng)政務(wù)辦公App的安全驗(yàn)證方式。短信驗(yàn)證碼是當(dāng)前許多App普遍采用的認(rèn)證方式之一,但也是最容易受到攻擊的認(rèn)證方式之一。因此,需要對(duì)移動(dòng)政務(wù)辦公中使用的App開啟高級(jí)驗(yàn)證,如指紋識(shí)別、聲紋識(shí)別等。

5.實(shí)施對(duì)移動(dòng)政務(wù)辦公App的安全監(jiān)管。由于在移動(dòng)政務(wù)辦公過程中面臨多種竊密風(fēng)險(xiǎn),因此需要采集移動(dòng)政務(wù)辦公過程中的終端信息、移動(dòng)網(wǎng)絡(luò)環(huán)境、操作行為等信息,并對(duì)其進(jìn)行分析,監(jiān)測是否存在異常的登錄終端、網(wǎng)絡(luò)環(huán)境、操作行為等,一旦發(fā)現(xiàn)異常要及時(shí)進(jìn)行處理,以求盡可能地規(guī)避安全風(fēng)險(xiǎn)。

 

(轉(zhuǎn)載自《保密工作》雜志2020年第4期)