利用“短信嗅探”技術實施網絡侵財犯罪初探

殷仁杰

(中國人民公安大學,北京 100038)

近年來,第三方支付行業迅速發展,根據益普索最新發布的《2019年第一季度第三方移動支付用戶研究報告》顯示,中國的移動支付用戶約為10.1億,其中,財付通用戶9.4億,支付寶用戶7.4億,用戶滲透率分別為89.2%和69.5%。然而,移動支付在給人們的生活帶來極大便利的同時,也有著很多的安全風險。目前,短信驗證碼驗證用戶身份的技術被廣泛應用于第三方支付和網銀平臺,而GSM通信無任何加密措施,隨著“短信嗅探”技術的成熟和泛濫,利用“短信嗅探”技術實施犯罪的風險極大提高。加強對“短信嗅探”類侵財案件的研究,采取具有針對性的措施遏制此類犯罪蔓延,是當前公安機關亟待解決的新問題。

一、嗅探的技術原理及作案手法分析

(一)技術原理

短信嗅探設備由號碼攔截設備(偽基站)和短信嗅探設備組成。這種犯罪手段主要是利用了電信基站和GSM(2G)通信的缺陷,以大功率的偽基站攔截、吸附手機號碼,嗅探用戶的短信內容。具體原理如下:

1.偽基站。偽基站又叫假基站,一般由主機和筆記本電腦組成,利用2G移動通信網絡的缺陷,偽裝成運營商的基站,冒用他人手機號碼發送詐騙短信或木馬鏈接實施犯罪。偽基站啟動以后,會干擾和屏蔽一定范圍內的運營商信號,吸附這一范圍內的手機號加入偽基站,獲取該地區的手機號碼,劫持用戶的正常手機通信。

2.短信嗅探。短信嗅探是指在不影響用戶正常使用且不易被發現的情況下,利用特定的程序,攔截并且獲取用戶的短信內容。目前,用戶在使用短信服務時均采用2G信號,移動、聯通用戶采用GSM制式,電信用戶采用CDMA制式。CDMA為軍轉民網絡,有多道加密措施,保密性較強,而GSM則是明文傳輸,沒有任何的加密措施,所以其傳輸內容可以被嗅探到。不法分子還可以通過特殊設備強制干擾3G和4G信號,使得用戶設備降為2G信號,以實施犯罪。嗅探設備包括硬件、軟件兩部分,常見的硬件為摩托羅拉C118手機、嗅探信道機、天線、筆記本電腦,軟件則為經過修改的OsmocomBB軟件。

(二)作案手法

1.尋找號碼。不法分子通過攜帶的號碼收集設備,主動搜尋附近的手機號碼。這個設備由一個偽基站、一個手機和三個運營商撥號設備組成。該設備啟動以后,會干擾附近正常的運營商通信,并且不斷將附近2G網絡下的手機吸附到該設備上。同時,與該設備相連的一部手機會自動代替被吸附的手機,這部手機會自動向不法分子控制的另一部手機撥打電話,這樣就可以獲取被害人的手機號碼了。此外,不法分子還可以通過網絡黑產交易的方式,直接購買公民個人信息,獲取手機號碼、身份證號碼等敏感信息,實施進一步犯罪。

2.獲取受害人其他信息。不法分子在獲取受害人的手機號碼以后,會通過各種方式獲取受害人的身份證號碼、銀行卡號。比如通過手機號碼和攔截到的短信在支付寶查詢手機號碼綁定的用戶名和身份證信息,然后通過網銀查詢銀行卡號。不法分子還會通過網絡黑產鏈條,付費查詢相關信息。

3.盜刷資金。不法分子在掌握了受害人的姓名、手機號碼、身份證號、銀行卡號以后,并且可以實時獲取手機驗證碼,就可以進行資金盜刷了。不法分子通常會將受害人銀行卡及第三方支付賬戶里的資金,轉到其控制下的非實名制銀行賬戶內。然后以被害人的信息在京東白條、借唄等小額借貸平臺借款,或是綁定到途牛網、攜程網、唯品會等購物平臺進行消費。不法分子會將盜刷的資金通過博彩網站或比特幣交易的方式進行洗錢。

二、短信嗅探技術實施網絡侵財犯罪的特點

(一)作案過程隱蔽化

作案過程中,受害人的手機信號被劫持,不法分子假冒受害人的身份接入通信網絡,進行信息竊取、資金盜取等操作。此類手法屬于典型的“近距離貼靠式作案”,但又無須與受害人進行任何接觸,且一般在深夜至凌晨作案,而且會向受害人的手機發送大量垃圾短信,以迷惑受害人。

(二)攻擊手法工具化

目前,短信嗅探攻擊技術已經工具化和自動化,不法分子可以通過網絡學習攻擊手法,購買攻擊設備,此類攻擊的風險驟然上升。該犯罪行為所運用的技術手段較為高深,但是由于產業鏈的成熟和規模化,相關設備的操作非常簡單,不法分子經過簡單的學習就可以實施犯罪活動。

(三)作案過程鏈條化

不法分子要想成功盜取被害人的資金,除了獲取被害人的手機號碼和短信驗證碼以外,還必須知道被害人的身份信息、銀行卡號、支付平臺賬號。這一犯罪已經發展為一個分工明確、配合緊密的黑產鏈條。分析相關案例可以看出,這類犯罪嫌疑人一般為團伙作案,分工明確,各個環節都由專人操作,一般包括作案工具銷售、攔截手機號碼和短信驗證碼、獲取受害人基本信息、操作手機實施盜刷、洗錢這幾個環節。

(四)作案目標隨機化

不法分子在作案時,并不會像其他犯罪一樣事先對作案地點和作案目標進行事前篩選,而是流竄作案、隨機選擇作案目標。作案時,只要是和不法分子處于同一個基站范圍內的用戶,都有可能成為潛在的受害人。

(五)犯罪影響范圍廣

目前,手機號碼+短信驗證碼的身份驗證方式被廣泛地應用于銀行APP、支付平臺、購物網站等各類APP的安全驗證。因此,短信嗅探盜刷資金的技術一旦蔓延開來,被大規模的模仿,可能帶來的安全風險和危害性難以估計,可能會從根本上導致以短信驗證碼安全保護方式的失效,造成大規模的公民財產損失,危害金融系統以及互聯網的安全。此外,由于這一技術可以實現對用戶短信內容的實時監聽,如果將作案目標瞄準國家黨政機關、科研單位,可能造成國家機密的竊密。

三、防范和打擊短信嗅探技術實施網絡侵財犯罪的難點

(一)網絡服務運營商信息安全監管乏力

目前,網絡黑灰產、電信詐騙等網絡犯罪的猖獗與運營商在信息安全監管方面的不到位有很大的關系。以短信嗅探犯罪為例,在百度、搜狐、360等主流網站,以“短信嗅探”“C118嗅探”為關鍵詞進行搜索,就會彈出大量出售、購買此類設備的信息,在淘寶等電商平臺也有不少這樣的信息,此外一些QQ群、論壇也有這樣的信息,不少賣家甚至表示“包教包會”。

(二)作案設備成本低,犯罪門檻低

據了解,用于作案的短信嗅探設備總的成本價格不超過100元,即便是通過非法途徑直接購買,售價也不過千元。而且,所有的設備都方便攜帶和偽裝。同時,這一設備操作簡單,易于學習,不法分子只需要通過簡單的學習就可以熟練掌握操作方法。犯罪成本和門檻較低,是刺激犯罪嫌疑人作案的一大動力。

(三)2G用戶群體龐大

據相關資料顯示,我國移動用戶總數約為14.44億,2G、3G用戶約為3.99億,2G用戶接近3億。其中,大部分2G用戶使用移動或聯通號卡,數量龐大的2G用戶群體為此類犯罪提供了潛在的受害者。不法分子利用“GSM”劫持+“短信嗅探”技術,可以輕松攔截、破譯用戶的短信內容,被用于資金盜刷、網絡詐騙等犯罪。雖然嗅探犯罪一般針對于2G用戶,但不法分子可以利用特殊設備使得3G、4G信號降至2G信號。

(四)案件發現難

短信嗅探犯罪的犯罪模式經過嫌疑人的周密設計,一般是夜間作案,利用嗅探設備冒用受害人的身份進行各種操作。而受害人在此過程中沒有任何操作,難以及時發現異常,即便是事后發現自己的資金被盜,也因為對此類犯罪沒有了解,也很難采取有效措施挽回自己的損失。公安機關在接到涉及這類犯罪的警情時,前期一般因為沒有接觸過此類案件,缺失必要的專業知識,往往難以準確判斷案件的性質,很容易將這類案件作為一般的網絡詐騙案件處理,從而浪費了偵查資源,延誤了偵查破案的時機。

(五)調查取證難

此類案件中,犯罪嫌疑人利用網絡通訊工具和網銀技術進行非接觸性的遠程犯罪,在極短的時間內就可以完成犯罪。犯罪嫌疑人用來接收贓款的賬戶,均為冒用他人身份信息開設或者是從非法渠道購買的賬戶,導致定位、追查比較困難。犯罪嫌疑人大多使用虛擬手機號碼或以他人身份信息辦理的號碼,難以通過技術手段進行定位、監聽。同時,在此類犯罪中,電子證據是最重要的定案證據,但是由于其自身的專業性、易毀滅性、時效性等特征,造成證據的發現、固定、提取等方面有很大的困難。

(六)打擊追贓難

相較于傳統犯罪,此類犯罪根本沒有現實的作案現場,也就不可能通過現場勘查提取到指紋、腳印等有價值的痕跡物證。此外,該犯罪中各嫌疑人之間通過網絡進行犯意聯絡、犯罪謀劃,并且可以在不同的地點同時實施犯罪,分工完成犯罪過程的各個環節。這些因素導致該類犯罪的抓捕審訊極為困難。犯罪嫌疑人利用專業設備實施犯罪,一旦作案得手,可迅速將相關設備破壞損毀,并且迅速通過博彩網站、地下錢莊轉移贓款,嫌疑人本身也流竄至其他地方。因此,警方很難判斷作案人身份以及藏匿地點,也很難通過銀行追查資金流向,涉案贓款追繳極度困難。

(七)破案能力較低

公安機關內部的網絡安全監管和偵查能力的發展極度不平衡,中西部地區與東部地區的專業基礎設施建設和技術能力差距甚遠,而公安機關內部的系統和能力建設也經常落后于網絡犯罪的發展更新速度。同時,基層公安機關尤其是派出所,除了承擔偵查破案任務,還承擔著日常接處警、矛盾糾紛調解、場所管理、治安管控等任務,此外還有一些安保維穩等非警務活動。繁重的日常工作嚴重影響了基層偵查隊伍建設,很難隨著犯罪形勢的變化同步學習、研究相關新型網絡犯罪的犯罪手法和技術手段,提升打擊效能。此外,由于此類犯罪嫌疑人一般分散于不同的地點,精細分工,調查取證、抓捕追臟需要耗費大量的警力、財力,警力不足、經費短缺也是影響及時破案的重要因素。

四、防范和打擊短信嗅探技術實施網絡侵財犯罪的建議

目前,利用GSM劫持+短信嗅探技術實施網絡侵財犯罪的案件數量迅速攀升,已經成為近期網絡犯罪的一個新動向,社會影響極為惡劣。如何預防及打擊此類犯罪,遏制其蔓延,已成為當前公安機關必須解決的緊迫問題。

(一)公安機關偵查破案層面

1.從源頭打擊嗅探犯罪產業鏈。公安機關對嗅探犯罪的打擊,除了要及時破獲已發案件,還必須堅持源頭治理的思想,深挖犯罪,及時打擊為嗅探犯罪提供信息、技術及工具支持的上游犯罪,加強對違法犯罪信息的巡查力度,嚴厲打擊制售偽基站及嗅探設備的行為,真正實現全鏈條打擊。公安機關要加大經費投入,及時更新網偵技術設備,要加強對于嗅探犯罪技術手段和犯罪模式的研究。同時,公安機關要加強對于網絡信息的巡查監控,督促網絡服務運營商落實企業的監管責任,及時清理和過濾有害違法信息。

2.注重電子證據收集。此類犯罪中,嫌疑人的QQ、微信聊天記錄很容易被篡改、銷毀,難以作為證據使用。因此,直接反映犯罪過程、保存于作案工具上的電子證據就成了破案定罪的關鍵。公安機關要積極建設電子證據實驗室,配齊相應的設備,規范電子證據的發現、提取、規定等流程,為證據收集提供好的基礎條件。在證據提取過程中,偵查人員一定要確保偽基站、嗅探設備處于不斷電狀態,必要時可以采用外部接入提取,必須固定、保存嫌疑人發送短信內容的文檔,從嫌疑人的手機中提取轉賬、消費記錄,以完整的電子證據作為破案的利器。

3.加強專業人才隊伍建設。當前,以短信嗅探技術實施的網絡犯罪呈現出明顯的專業化、智能化和職業化,犯罪手段不斷翻新升級。而公安機關專業人才缺乏、偵查手段滯后則制約了偵查打擊的效能,尤其是專業人才建設與實戰需求存在很大差距。為此,各地公安機關應該適應形勢變化,根據偵查隊伍發展的實際需求,適當加大對計算機專業和網絡安全專業人才的招錄,并對其進行偵查專業知識和技能的培訓,使其成為精通偵查辦案和網絡安全知識的復合型人才。同時,要從整體上加強對偵查隊伍的網安技能培訓,著力打造一支兼具網絡安全技能和偵查能力的專業隊伍。

4.強化多警種及區域警務合作。針對此類案件具有非接觸性、跨地區流竄作案、犯罪手段技術含量高、破案難度大等特點,應該強化各警種及跨區域警務合作。一方面,在本轄區范圍內,網安、技偵、情報、經偵等警種應該形成長效的合作機制,根據犯罪活動的特點和各自的職能作用,分工開展案件偵查工作,集中力量開展針對性打擊,注重打團伙、打鏈條。另一方面,要加強與其他地區公安機關的合作,實現各地情報共享、數據共用,警力資源互相配合,形成整體打擊合力。

5.完善與其他單位的對接協調機制。此類犯罪案件往往會涉及到電信運營商、銀行、第三方支付平臺、購物平臺等企業,在偵查過程中尤其是證據調取方面需要其配合支持。因此,公安機關要積極建立和完善與相關單位的對接協調機制,加強警企合作,為偵查破案創造便利條件。同時,公安機關要加強與全國前沿網絡安全企業、實驗室及金融機構的科研合作,加強相關偵查預警技術的研發,為偵查防范工作注入科技之力。

(二)手機用戶防范層面

不法分子想要成功作案,必須同時滿足以下條件:(1)受害人的手機號碼是中國聯通或中國移動,采用GSM網絡;(2)手機保持靜止狀態,這也是不法分子在后半夜作案的原因;(3)受害人的身份信息被泄露;(4)受害人的手機在嗅探設備的覆蓋范圍內;(5)有關APP、網站存在漏洞,可以被不法分子所利用。因此,我們只要了解此類犯罪的作案原理和條件,就可以采取有效的措施予以預防。我們在平時可以做好以下預防工作:

1.如無使用必要,睡前可以將手機關機或是調至飛行模式。這樣手機信號就不能被劫持,不法分子也沒有辦法獲取手機號碼和短信驗證碼。

2.禁止手機連接GSM網絡,開通VOLTE功能,并且設置手機只使用3G、4G網絡。這樣的話,手機通話和短信都不會使用2G網絡,可以有效防范短信竊聽。

3.盡量避免在綁定的銀行卡里存入大額資金,關閉APP和網站的免密支付功能,降低每日最高消費額度,轉賬、支付時必須結合指紋、刷臉、u盾等驗證方式。

4.如果看到銀行或其他金融機構發來的不明短信,除了啟動飛行模式或關機,還必須故意輸錯密碼或掛失以凍結銀行賬戶和支付賬戶。同時,一定要保留短信內容,及時報案。

5.平時一定要提高安全意識,定期對手機進行安全檢測,安裝可攔截不良信息、程序的安全軟件,避免多個軟件使用同一密碼,定期修改密碼。

(三)運營商和金融機構防范層面

1.優化安全驗證技術。短信驗證碼進行身份識別雖然方便高效,但是存在非用戶本人操作完成驗證的漏洞,很容易被不法分子利用進行犯罪活動。鑒于這種情況,包括銀行、移動支付平臺、電商在內的企業,應該增加二次身份驗證機制,推出更為嚴格可靠的驗證手段。2018年,全國信息安全標準化技術委員會推出了《網絡安全實踐指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》,提出了多種增強身份驗證安全系數的建議。各網絡服務提供商和金融機構應該嚴格落實這一規定,采用多種方法優化用戶身份驗證,在用戶登錄、密碼修改、轉賬消費等環節,隨機采用兩種以上驗證方式,包括用戶主動發送短信、指紋人臉、支付口令、通話方式發送驗證碼等技術。

2.加快網絡升級換代。不法分子利用短信嗅探技術實施犯罪,正是利用了2G網絡下信息無加密保護措施的缺陷。為從根本上阻止相關犯罪,通信運營商應該加快網絡基礎設施的升級,將目前數量龐大的2G用戶遷移至3G、4G網絡。另外,運營商應該考慮逐步淘汰2G網絡,促進4G、5G通信技術的推廣,使得用戶的通信在更安全的通道傳輸,從根上解決短信嗅探犯罪。