网安老兵对抗黑产盗刷失败 暴露出金融机构三大问题
陈拾九移动支付网2020/9/29 11:34:51

老骆驼大概没想到自己火了,《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一经发布就以一种意想不到的速度在朋友圈内开始传播,并引发热议。

文章中,老骆驼详细的记录了夫妻二人在手机丢失后与黑产对抗的每一步。虽然事情从发生到结束只有不到24小时(晚上19.30手机丢失-第二天早上9点完成补卡),但是其中的斗智斗力却让人感觉看到了高手对决,速度和反应力成为了决定胜负的关键。

虽然对抗的最后还是以黑产的得手宣告结束,但是结合整个过程和老骆驼事后的复盘,真的可以说一句“此非战之罪也”。

既然是“非战之罪”,那就肯定是有其他原因的,是什么让一个网安老兵折戟沉沙呢?

短信验证码坑了老骆驼

在老骆驼与黑产对抗过程中,短信验证码扮演的角色至关重要。

首先,修改电信服务密码只需要短信验证码即可操作。黑产正是修改了电信服务密码才可以不断的解除老骆驼对手机号的挂失,从而获得操作的时间。

其次,四川人社的App可以使用短信验证码快捷登录。黑产分子使用短信验证码登陆了四川人社App,从而获得了老骆驼的身份证号和银行卡号,取得了实施盗刷的关键条件。

最后,目前绝大部分金融类App使用短信验证码配合身份证号就可以注册,再配合银行卡卡号就可以申请贷款、使用信用卡消费。黑产分子利用这点,重新申请了一个第三方支付账号,申请了贷款,并使用信用卡消费,最终造成了老骆驼财务损失。

可以说,之所以老骆驼会败给黑产,就是因为目前网络空间身份认证很大程度上依赖于短信验证码。使用手机号+验证码就可以完成很多重要操作,比如快捷登录、更改密码、转账、支付、申请贷款等等操作。

从实质作用上,短信验证码已经变成安全口令:一个双方约定好、只具有一分钟生命的安全口令。但在此案中,短信验证码完全没有起到身份认证的作用,反而成为了黑产攻击的手段。

短信验证码:成也萧何败也萧何

大约在2015年底开始,中国互联网开始流行起使用短信验证码的方式进行用户鉴权。

虽然已经无法深究是什么原因或是哪家公司开始的这个潮流,不过很大一部分原因和网信办在2015年2月发布的《互联网用户账号名称管理规定》分不开。

《规定》要求,互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号,且3月开始实施。由此,中国互联网开始建立一个基于“短信验证码的身份认证”实名制网络空间。

由《互联网用户账号名称管理规定》开始,网络空间治理开始走上正轨,虚假账号、仿冒账号等等乱象得到了整治。可以说此举是维护互联网秩序的正本清源之举,起到关键作用的短信验证码更是功莫大焉。

但是短信验证码本身存在安全隐患。在3GPP制定协议标准时,考虑发生紧急情况、突发事件时可能产生大量手机业务请求,这时候大量的鉴权、加密、完整性检查等安全措施可能导致网络瓶颈,因此舍弃了部分安全措施。

这就导致,利用LTE/4G伪基站+GSM中间人攻击可以窃听所有短信验证码。该漏洞直接导致短信嗅探盗刷的出现,犯罪分子在夜深人静时作案,神不知鬼不觉,等到用户发现时已经是第二天早上。

其次,短信验证码在手机上明文存储,通过技术手段盗取这些短信难度并不高。今年3•15晚会就爆出有公司通过SDK盗取手机中个人信息,短信就在其中。

最后,短信验证码虽然是身份认证手段,但其实并不能做到实人、实名、实证,只能做到实名、实证。前两个问题可以通过技术手段弥补,最后一个问题却是短信验证码技术的天然缺憾。

回顾中国互联网的发展,可以说短信验证码是成也萧何败也萧何,短信验证码在网络空间治理和身份认证上起到了关键性的作用,但也是由于短信验证码的安全性差,让它成为了网络空间安全的一个薄弱环节。

金融机构反思:可信身份认证、风控与安全应急

中国工程院院士沈昌祥指出,网络身份是在网络空间中识别特定主体的数字化标志,是网络身份认证的要素,也是确定身份特征的依据,通过身份认证技术与现实身份相绑定。

老骆驼与黑产之间的对抗,其实就是两方在抢夺一个网络身份,谁能控制这个网络身份谁就能拥有这个网络身份背后所有的资产。

从机构的视角出发,对于老骆驼和黑产的对抗其实是较为被动的,因为现有的网络身份管理机制和业务机制决定了他们两方都不能相信,只能被动的去接受,结果就是同时相信了双方。

这一点在四川电信的身上表现得淋漓尽致,在两方不停的办理挂失和解除挂失的过程中,四川电信只能不断的同时为双方办理完全矛盾的业务,明明知道必有蹊跷却不能做出应有的反应。

SIM卡盗刷这事放到用户身上带来的反思可能仅仅是以后要给SIM卡上个密码,要管理好自己的身份证号和银行卡号等等,但是从机构的角度出发,反思却必须更为复杂。

首先,通过这个事件,可以清楚的看出目前金融机构使用的身份认证技术在当前的网络环境下是无法做到可信的,这将直接威胁线上业务开展的根基。

其次,整个事件暴露出部分金融机构风控存在问题,无法识别盗刷行为,更不要说阻止盗刷的进行。

最后,该事件表现出金融机构安全应急业务的缺失,在手机丢失后,老骆驼只能艰难的自己进行对抗,没有一个安全应急业务帮助他抵御攻击,比如欺诈警报(fraud alert)。

在三个问题当中,身份可信认证与提升风控能力已经是金融机构在探索的事情,在目前已公布的金融科技创新应用中可以看到大量有关可信身份认证与大数据风控相关的应用。

但是对于类似欺诈警报这样的安全应急业务却好像一直处于金融机构的视线盲点当中。

发生安全事故是可怕的,但是一个行业的成长是没有办法避免安全事故的发生的。在泰坦尼克号沉没之后,24小时监听无线电成为了航海业的铁则,它的姊妹船“巨人”号防水隔墙被升高到船体的最上一层甲板,甲板两侧装满了救生艇。

通过这起事件,金融机构又会做出什么改变呢?

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消