“短信嗅探”调查：监控你的短信，只要不到30元？(4)

　　新京报记者进一步调查发现，GSM短信嗅探攻击已基本实现全链条化。在电信用户的短信验证码、手机号码被劫持的的基础上，黑产从业者可以通过社工库等方式获取身份证号码、银行账号、支付平台账号等敏感信息。

　　在一个名为“C118研究社嗅探学习群”的QQ群中，一则与查询个人信息相关的广告显示，“可查卡查证”。有媒体曾在报道中提及，记者花费700元就买到同事行踪，包括乘机、开房、上网吧等11项记录。在另一个名为“短信设备”的QQ群中，一名自称出售短信号码采集器的卖家表示，“通过号码采集器可以采集到一定范围的手机号码。”

　　在这个QQ群里，共聚集着377名黑产从业者。每天，如何“赚大钱”成为群内学习和讨论的焦点。

　　那么，黑产从业者是如何通过手机号来查到多种个人信息的呢？新京报记者发现，通过社工库并不难实现个人信息的查询。所谓社工库，即一个数据资料集合库，包含有大量被泄露的数据。通过这些数据，社工库的使用者可以轻易勾勒出一幅用户的网络画像。

　　有接近黑灰产的人士指出，随着国内监管愈发严格，社工库一般只供黑产团伙内部使用。并且，目前灰产从业者有向国外转移的趋势。在暗网上的某个交易市场中，新京报记者发现大量包含“个人信息查询”的交易帖。其中一则帖子中显示，可以查户籍信息、开房信息、婚姻、宽带。在该交易帖中，根据查询信息不同，价位也从0.014BTC-0.15BTC不等。交易信息一览中显示，该商品单价为1美元，用户可以通过调整购买数量来满足不同需求。在不可追踪的暗网交易市场中，该服务“颇有卖相”，截至4月28日，该商品显示已被购买1368次。

　　■ 分析

　　短信验证码安全吗？

　　愈演愈烈的黑产，引发人们对手机短信验证码本身是否足够安全的讨论。有关人士表示，现在手机验证码能做到的东西(转账、实名等)已经远远超出了它本身安全性的范围。

　　据《2018网络黑灰产治理研究报告》估算，2017年我国网络安全产业规模为450多亿元，而黑灰产已达近千亿元规模；全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。而且电信诈骗案每年以20%至30%的速度在增长。

　　另据阿里安全归零实验室统计，2017年4月至12月共监测到电信诈骗数十万起，案发资金损失过亿元，涉及受害人员数万人，电信诈骗案件居高不下，规模化不断升级。2018年，活跃的专业技术黑灰产平台多达数百个。

　　那么，面对规模如此庞大的黑灰产，短信验证码是否已经显得捉襟见肘了呢？对此，隋刚认为，虽然在嗅探的情景下，短信验证码并不安全，但是就目前来说，短信验证码仍是一个切实可行的方案。

　　“就目前情况来看，如果将短信验证码换成其他的验证方式，无形之中肯定会加大使用成本。”隋刚告诉新京报记者，“安全是相对的，就看愿意付出多大的代价。与便捷性相平衡，短信验证码相对合适。安全本身就是提升攻防双方的成本，并没有绝对的安全。”

　　如何防范短信嗅探？

　　那么如何防止被黑产截获短信呢？2018年2月，全国信息安全标准化技术委员会秘书处发布《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》。

　　该指引指出，攻击者在截获短信验证码后，能够假冒受害者身份，成功通过移动应用、网站服务提供商的身份验证安全机制，实施信用卡盗刷等网络犯罪，给用户带来经济损失。指引同时指出，缺陷修复难度大。目前，GSM网络使用单向鉴权技术，且短信内容以明文形式传输，该缺陷由GSM设计造成，且GSM网络覆盖范围广，因此修复难度大、成本高。攻击过程中，受害者的手机信号被劫持，攻击者假冒受害者身份接入通信网络，受害者一般难以觉察。