统一客服热线:400 110 5311;
2019鲁考(山东公务员)面试热点:不能任由“短信嗅探”黑色产业链泛滥
【事件背景】
“觉得隐私被泄露了,很害怕。”不久前的一天下午,石家庄科技工程职业技术学院的小程在学校附近突然接到许多短信验证码。小程不知道的是,她的这次特殊经历的背后,极可能隐藏着一条盘踞已久的黑色产业链。多位安全圈人士向表示,小程的遭遇可能与一种被称为“GSM劫持+短信嗅探”的技术有关。其实,这并非个例。(5月7日《新京报》)
【综合分析】
“GSM劫持+短信嗅探”对于手机用户而言,最为可怕的是“醒来钱没了”。因为现如今手机绑定了众多的账号,包括移动支付账号,而手机号主要的功能之一就是接收短信验证码,这些验证码直接关乎着用户的资金安全。诚如新闻报道的案例,凌晨手机收到100多条验证码,包括支付宝、京东、银行APP等,总计盗刷了1万多元,这岂不令人担忧。
短信嗅探设备易得、操作简便,为黑产从业者设立了相当低的门槛。比如,硬件上只需要购买一个不到30元钱的摩托罗拉C118手机,用几个常用电子元件改装便可;而软件上,将修改过的OsmocomBB编译进摩托罗拉C118手机里面,就可以为手机添加嗅探功能。并且,GSM短信嗅探攻击已基本实现全链条化。
【对策】
从技术层面来讲,手机用户并不知晓其中的门道,对于这些不法行为,一则当加大依法打击力度。据悉,短信嗅探只是庞大黑色产业帝国中的冰山一角。手机号,业内人员还可以利用社工库等手段获悉用户的开房、住址等诸多敏感信息,从而可以轻易勾勒出用户画像。所以,相关部门当形成联动机制,对不法行为进行围歼,以打击其嚣张气焰。
二则当技术升级加强防范。有专家认为,运营商应尽快替换掉2G网络,以更大程度确保信息安全。同时,全国信息安全标准化技术委员会出台的《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》就提出,各App、网站服务提供商当优化用户身份验证措施,避免安全漏洞的存在。
三则用户自身也应加强防范。此前就有安全专家建议,最简单的一招就是睡觉前关机,手机关机后就没有了信号,短信嗅探设备就无法获取到你的手机号。但笔者以为,虽然这并非治本之策,但于个人而言,一方面有必要增强信息保护意识;另一方面面对侵权应及时依法维权,也有助于对不法行为形成震慑。
最后,相关平台也应负起责任,比如,有的电商平台出售的“C118采集器系统软件全套”其中绝大多数商品封面或为嗅探成功的系统后台,或为已经改装好的摩托罗拉C118。对此,电商平台当引起警觉,谨防为不法经营行为提供便利条件。总而言之,全方位加强网络黑灰产的治理,才能有效维护网络安全,确保广大用户的权益不受侵害。