热门标签: 股票  |   期货  |   外汇  |   黑平台  |   债券  |   期权  |   基金  |   保险  |   非法集资  |   民间借贷  |   债权债务  |   互联网金融  |   商事纠纷  |   疑难案件  |   投顾机构  |   网上卖课  |  
本站公告

本平台为专业金融类投诉维权曝光平台,旨在帮助金融消费者处理在金融消费交易过程中被诱导受骗造成经济损失的纠纷理赔调解。范围仅限股票、期货、外汇、配资、现货、大宗商品等金融纠纷、合同债务纠纷调解、胜诉理赔执行、保险清退理赔等方面的法务协助与媒体协助,详情咨询本网底部专员微信号:weiquanhome

最新投诉热点曝光
· 推诿、推脱不给变更安全银行卡,不能..
· 芒果淘金平台投靠谱吗?25万没了..
· 进去巅峰投资6万几天就没了,正常吗..
· 西藏锦绣亏了20万,是点背吗?还是..
· 人人投资正规吗?被骗了6万..
· 在保利商城亏了2万正常吗..
· 在大成订购被骗了6万怎么办?..
· 假冒金鹰骑士团团长耿晓奇免费荐股转..
· 世基金融网校误导性宣传坑惨股民..
· 红杉资本钱骥被骗不能/提/现/怎么..
· 益盟股份夸大收益诱导交荐股费..
· 中和应泰夸大收益诱导交费荐股..
· 假冒绿色兴农韩霄星资金盘..
· 番茄淘金充值是假投资.骗人..
综合新闻当前位置:网站首页 >> 综合新闻

警惕!5G时代的诈骗已经来了!

发布时间:2020-10-28 23:04:00 来源:【金融维权之家】 阅读:

自从看了iPhone 12的发布会,二弟每晚12点以后就会悄悄起床,把自己的私房钱清点一遍,准备找机会入手一部支持5G的iPhone手机——现在的4G信号越来越差了,要不是私房钱没攒够,简直一天都不能忍。


5G手机虽然还没换成,但是生活总要继续。每年的10月24日也就是“1024程序员节”,都会有一场GeekPwn(极棒)国际安全极客大赛,国内外各大公司的安全团队和顶尖的“白帽黑客”都会在这里同台竞技,现场演示最新的研究成果。二弟一直是这个大赛的忠实粉丝,因为总能够在这里找到最前沿的安全问题,提前研究防骗策略。
今年的大赛依然精彩纷呈,但是让我印象最深、最受震撼的是腾讯安全玄武实验室演示的"5G通信协议漏洞”的实验,看完这个实验,这几天我再也没有清点我的私房钱,而且对反诈骗的前景感到更加迷茫……这到底是是一场什么样的实验呢?我们先来看一段视频(因为现场直播的视频不好剪辑,小编从群里找来了一段这个团队在大赛会场外演示的视频)。

在这个视频中,两个安全研究员经过一番操作,成功地向旁边的小姐姐发送了一条短信,而这个短信的发送号码直接被设置为了“20201024”。而在现场直播的实验中,我们还能看到,实验室团队利用5G通讯协议的漏洞,不但可以伪装任意号码给其他人发送短信,还能劫持手机上APP和网页的通讯。
看到这里,很多人也许会说,伪造号码发送短信,这不就是伪基站的手法吗?没什么稀奇的,2G时代就有了。更多的人也许不懂劫持APP和网页通讯的这句“技术语言”的意思,觉得无所谓,那么现在二弟就用人话来给你解读一下,保证你倒吸一口凉气。

1

这个漏洞在诈骗方面的应用场景非常丰富
 
伪装成任意号码发送短信的场景,我相信大家都想象得出来。不但可以像以前伪基站那样,冒充银行、运营商群发带有钓鱼网站的短信,诱惑人点击后诈骗钱财,而且还可以直接冒充家人、朋友要求转账。如果你忽然收到一条老婆的短信“快转2000元买口红,不转回去等着!”你会不会转账呢?反正我会立马转。

而劫持APP和网页通讯这个就更恐怖了,大家都知道,我们在手机上登录APP或者使用浏览器的时候,包括输入账号密码的每一步操作都会产生通讯流,如果这个漏洞能够劫持这些通讯,你的通讯就有可能在被人控制之下,所有恶意攻击行为都可以在无感知的情况下进行。
换句话说,你自己的隐私将有可能暴露于别人的监视之中,何其恐怖!

2

这个和伪基站根本不是一回事
其实,这个漏洞不光存在于5G协议里,我们现在用的4G、3G也有这样的安全问题,因为一直没有被发现,所以这个遗留问题延续到了5G时代。有人问,通信劫持,不是伪基站惯用的手法吗?
终结诈骗(微信ID:antifraud2)之前写过多篇文章揭秘伪基站和嗅探技术的工作原理(点击阅读:伪基站原理:诈骗短信是这样发到你手机上的;嗅探技术原理:终结诈骗独家还原嗅探盗刷全过程!),大家看完应该都知道,基于这两类技术的诈骗,基本都是靠设备来伪装成“基站”,向你的手机发送信号或者把你的手机信号吸附在上面,利用2G状态下短信明文传送的漏洞,实施后续的诈骗或者盗刷。在嗅探盗刷的案件中,如果你的手机是3G或者4G信号,骗子还会先通过手段把附近的信号强行降级为2G。

短信嗅探盗刷嫌疑人在现场演示作案过程

随着公安机关对伪基站的强力打击和各大安全公司监测能力的提升,再加上部分厂家在芯片设计上已经考虑到了伪基站的防范,市场上主流的新手机很难再被降为2G后受攻击,利用伪基站犯罪的案件比以前大幅降低。
但是在玄武实验室演示的这个实验中,工作原理却和伪基站完全不同。因为,在整个过程中,攻击者不依赖任何特定的设备或者网络环境,只要攻击者和被攻击者处于同一个基站覆盖下就可以完成攻击。说得再形象点,以前的伪基站像个对讲机,想要工作就必须发射信号,警方可以通过技术手段锁定位置;而利用5G的这个漏洞发起的攻击,就像是个收音机,不用发送信号,只用接收信号,很难通过技术手段确定是攻击者的位置和身份。

更关键的是,以前2G时代的伪基站只能发送短信,而5G这个漏洞被应用后,不仅可以给你的手机发送短信,还可以发送图片、视频等多媒体消息,所能集合的诈骗资源更多,也可以冒充你的身份向外发送数据。
你想想,如果这个漏洞被骗子广泛应用,后果将会有多严重?

3

这是个协议级别的漏洞

很多人也许会说,既然已经发现了这个漏洞,那手机用户就赶紧下个杀毒软件或者搞个补丁,把他搞定不就行了?再不然,你告诉我哪家手机厂商生产的手机不安全,我不买就是了。如果真有这么简单,那也不会在国际极客大赛上作展示了。这不是手机用户的问题,也不是手机厂商的事,而是“协议”层面的事。协议的特点是国际通用,省时省力,但他的反面就是,想更改这个协议,非常非常难。

打个比方,为什么全世界的火车轨道宽度基本都是1435毫米呢?这个宽度其实是两匹马屁股的宽度。因为以前英国人造火车的时候,是以当时马车的标准来定义轨道的宽度的,而马车一般是由两匹马并排拉,马屁股很关键。为了火车能在全世界通行,在1937年的时候,国际铁路协会就把1435毫米定义为全世界火车轨道的标准宽度。这个宽度就是国际范围内承认的“协议”。在当前全世界铁路里程已经达到数百万公里的情况下,再改动铁轨的宽度,简直是比去火星还难。

同理,“2G、“3G”、4G”“5G”等作为一个国际通用的通信标准,也是多个国家、组织、企业经过多轮会商形成的,一经发布实施,特别是在广泛应用之后,很难再去改变。比如,为什么中国移动和中国联通的用户会成为短信嗅探盗刷的是受害者,而中国电信的用户却不用有这方面的担心呢?因为移动和联通用的是GSM通信协议,这个协议有个天然的漏洞,那就是“鉴权弱、短信明文传输”,攻击者用嗅探设备可以读取到这个手机的短信内容,再通过短信内容来确定账户信息,实施到盗刷。而电信采取的是CDMA通信协议,没有这个漏洞,也自然不会担心被嗅探到。但是,在当前GSM协议已经广泛应用,移动、联通用户已经积累数亿的情况下,想要彻底弥补GSM通信协议中的漏洞,简直不可能。

而此次腾讯玄武实验室所做的演示,利用的就是5G通信协议中的一个漏洞,实现了劫持同一基站覆盖下任意一台手机TCP通讯的目的(TCP:传输控制协议)。
当然,为了不被“黑帽黑客”掌握这个漏洞,该实验室没有对外披露这个漏洞。虽然我们作为非专业人士,无法对这个漏洞做更多研究,但是大家可以想象一下,想要弥补这个漏洞,必须要5G通信协议标准组织重启修改程序,然后让各国的手机厂商、运营厂商按照最新的标准进行修复,困难程度可想而知!

看到这里,你是不是要倒吸一口凉气了?反正我写完之后,感觉成千上万个骗子好像已经在我面前摩拳擦掌,比我的私房钱被发现那个场景还让我紧张。
但我们其实应该感到庆幸。一方面,这个协议级别的漏洞是腾讯安全玄武实验室发现的,这些程序员是一群有正义感的“白帽黑客”,他们先于“黑帽黑客”发现了这个漏洞,并提交给5G标准组织去完善协议,报告主管部门及时防范,算是正义赢得了先机。另一方面,5G通讯协议的修改还不像铁轨宽度修改的难度大,协议标准和手机上的应用软件一样,本身也是会不断更新的,更新中可能会修复一些问题、增加一些特性。如果及时弥补漏洞,就能迅速消除这个风险,现在已经流入市场的5G手机也能“幸免于难”。
我也感觉很庆幸,我觉得我的私房钱还可以再攒一攒,等这个漏洞修复了再拿出来。最后推荐大家每年关注一下国际极客大赛,你可能会像我一样,找到N个省私房钱的理由……


分享到:
友情链接:    人民网      新华网      中央电视台      凤凰网      南方周末      法制日报      经济日报      中国政府网      中国廉政网      搜 狐      新 浪      中国证券监督管理委员会证券期货违法违规行为举报中心      中国支付清算协会   
金融投诉_法律咨询_反诈追损【金融维权之家】
投诉发稿邮箱:2906478204@qq.com
媒体合作:QQ:2906478204
区域合作:2906478204
微信直通车:weiquanhome
地址:北京市海淀区万寿路68号  
  通过自媒体在线投诉:
金融投诉_法律咨询_反诈追损【金融维权之家】
官方微博
金融投诉_法律咨询_反诈追损【金融维权之家】
官方小红书
金融投诉_法律咨询_反诈追损【金融维权之家】
官方百家号
金融投诉_法律咨询_反诈追损【金融维权之家】
官方微信
北京   上海   天津   重庆   广东   江苏   山东   四川   浙江   辽宁   河南   湖北   福建   河北