下一个被隔空洗劫的将是谁的账号

7月30日晚,@美年达芬奇的支付宝、京东账号被盗刷,除了账号中的现金损失,还有被“盗”开通的小额借贷的损失。

本次盗刷成功,除了攻击者获得了被盗人的私人信息外,还有一个很关键的因素,那就是攻击者通过技术手段,获得(拦截)了盗刷过程中所需要的短信验证码。

“私人信息+验证短信”是当下最为流行的用户验证方式,专业叫法为“多因子认证”。支付宝、微信、京东、各大银行的手机银行等都采用此验证模式。验证短信是一个认证因子,私人信息则是另外一个认证因子,只是不同的应用所要验证的私人信息有所不同。有验证身份证信息的,有验证银行卡信息的,有验证人脸信息的等等,有验证一种私人信息的,也有验证多种私人信息的。

其实准确的讲,“私人信息+验证短信”这一类的多因子认证,应该被称为“伪多因子认证”。因为在“私人信息+验证短信”这类多因子认证大行其道的今天,攻击者完全可以通过其他途径和手段(如地下黑产的数据库交易市场)先行完成攻击所需的“私人信息”的准备,从而将多因子验证变为单因子(验证短信)验证。这时攻击者只要能拦截到验证短信,则就可以完成对被攻击目标的攻击。

案发后,人们普遍的担心的是明天一觉起来,同类攻击降临到自己头上。官方的推荐方法的是保护好自己的私人信息。但这好像是废话,因为谁又会把自己的私人信息满世界告而广之的?但是有谁又能拍着胸部讲自己的私人信息没有出现在地下黑产的数据市场上?。安全专家则是在此案的被盗过程的分析的基础上,给出了防盗秘笈。

那么按官方的推荐方法和安全专家给出的防盗秘笈,就能避免有效防范此类攻击吗?答案显然是否定的。原因如下:

  1. 在当下互联网应用已经深入到百姓生活的方方面面的情况下,没有人能保证自己的私人信息不被他人所收集。唯一的区别就是在某种网络应用的攻击中,攻击所需的私人信息完整还是不完整。在@美年达芬奇被盗案中,按安全专家给出的案情回放的情景推断,@美年达芬奇之所以被攻击成功,就是因为攻击者获得了攻击所需的完整的私人信息。而@美年达芬奇“身边”的其他人,之所以没有被攻击,是因为攻击者没有完整的其他人的私人信息。但问题是7月30日的攻击者没有@美年达芬奇“身边”人的完整的私人信息,谁又能保证明年的7月30日,攻击人手中还是没有@美年达芬奇“身边”人的完整的私人信息?
  2. 验证短信的拦截,并非只有如@美年达芬奇案中多位专家分析的那样采用伪基站的设备进行拦截这一种拦截方法。在手机端、在服务器端、在服务器同短信网关之间的路由器上、在短信服务器上、在移动网上等多个地方,只要能植入盗号病毒,就可拦截验证短信。在服务器端到手机端,这长长的验证短信的传输路径上,有着太多太多的盗号病毒的植入点,只要盗号病毒被植入,经过这个点的验证短信,都会被拦截。在这众多的植入点中,手机端是人们唯一可以干预防止盗号病毒植入的植入点。其他的点对于支付宝、京东、银行等网络服务供应商和他们的用户而言,目前毫无防守之力。

从@美年达芬奇本人的案情描述看,基本上可以排除手机端被植入盗号病毒的可能性。因为如果是手机端被植入了盗号病毒,从而使得验证短信被拦截,则盗号病毒会在获得了验证短信中的验证码后,删除拦截到的验证短信。如果是这样,则@美年达芬奇不可能在第一时间发现的手机上的100多条的验证短信,从而马上确认自己的支付宝、京东账号被盗。

类似案件其实在网上搜一下,还是很多的。同@美年达芬奇案最为接近和类似的案件就是2016年2月16日发生的@聂小刚支付宝账号被盗刷案。

从2016年2月16日@聂小刚支付宝账号被盗刷,到2018730@美年达芬奇支付宝、京东账号被盗刷(注1),作为盗刷案的当事方之一的支付宝,显然将此类案件发生,当做偶然事件,并未在技术上进行深入的分析,并找出解决办法。这样自然也就无法实现从安控措施上杜绝类似案件的再度发生。从这两起案件被害人的首篇吐槽支付宝的微博文章上看,支付宝的后台开始显然不认为这是两起案件是被盗案件。同时也说明了,这两个案件所表现出来的攻击模式,显然不在他们安控模型的防范范围之内。

如果2016年第一次碰到这样的案件,不认识这种攻击类型尚且可以理解支付宝后台的表现,2年半后的今天支付宝的后台,在第一时间还是无法确认此类案件的性质,并确认该案件为被盗案件,则似乎说明对未来支付宝或采用同样“私人信息+验证短信”验证方案的互联网应用的账号安全,就都不要抱太高的期望了吧。

下一个被被隔空洗劫的账号或许就是你的支付宝账号?或是你的京东账号?微信账号?银行账号?谁知道呢。

不过对比两个案件的处理时间,支付宝对@美年达芬奇案的处理时间和干脆程度,显然比@聂小刚案的处理时间和干脆程度要有明显的进步。从两案的最后结果看,被盗人除了花时间同支付宝后台扯皮并搞了一肚子气外,显然没有什么资金上的损失。反正支付宝有钱,这些小钱人家估计也不在乎吧!没有办法,有钱就是任性。只是不知道@美年达芬奇案中,通过其他渠道被盗刷的工行账号上的资金,工行会不会像支付宝和京东那样爽快的就给他赔付?

难道网络服务供应商和其用户,就真的没有办法,来有效对抗“私人信息的盗用+拦截验证短信”这种攻击模式对“私人信息+验证短信”这种伪多因子验证模式的攻击吗?答案显然也是否定的。

可有效对抗“私人信息的盗用+拦截验证短信”这种攻击模式的多因子验证模式是“私人信息+验证短信+ICCID验证”的验证模式。

在“私人信息+验证短信+ICCID验证”的验证模式中,ICCID验证的技术含义是,手机终端在上报验证短信中的验证码或登录密码时,同时上报SIM卡上的ICCID码。服务器在比对验证码或登录密码时,同时需要验证手机终端上报的SIM卡上的ICCID码。验证码或登录密码和ICCID码都相同时才确认验证通过。否则需启动ICCID码同手机号码同一性的验证流程。

   “私人信息+验证短信+ICCID验证”的验证模式的优点是,除非手机被植入盗号病毒,否则除了机主其他人都无法知道机主手机SIM卡的ICCID码。这样即使验证短信被拦截,私人信息(含登录密码)被泄露,也无法攻入相应的账号。同时因为一个SIM卡对应一个全球唯一的ICCID码,这样一个手机应用的账户,就被锁定在唯一一部手机上,安全性得到了更为充分的保证。任何非接触式的攻击都将失效。对应采用“私人信息+验证短信+ICCID验证”的手机应用,再也不要担心更换手机时,私人信息的泄露问题。如果微信、支付宝、手机银行的这些主流的互联网应用的手机端APP,都采用“私人信息+验证短信+ICCID验证”模式,则可以看见的是,地下黑产的私人信息数据交易量,将大幅减少。

1

两个案件的详细过程分别见《支付宝用户发文讲述追回盗刷款 官方回应》(http://tech.163.com/16/0312/00/BHTTJE5C00094OE0.html和《支付宝、京东深夜被盗,维权不能》(https://www.talicai.com/post/679363)。

 

 

阅读更多

更多精彩内容