上個月,中國沈陽的一位李先生收到一條來自銀行客服電話的簡訊,通知他自己的信用卡累積了獎勵積分,並告訴他如何兌現。當他點選連結並登入時,網站就死掉了。一個小時後,他發現自己的賬戶少了650多美元。直到那時他才意識到自己被騙了。簡訊來自他的銀行號碼,但不是來自他的銀行。
簡訊來自他的銀行號碼,但不是來自他的銀行
取而代之的是,它來自一個假細胞塔,一個在中國達到流行水平的球拍。騙子利用一種叫做基站的裝置來設定來自當地房屋或商店的假訊號。只要訊號最強,**就會自動連線。這個假冒的塔無法連線到更大的網路,所以如果你試圖打電話或訪問一個網站,你會空出來-但除非你積極使用你的**,你永遠不會知道區別。從那裡,騙子可以傳送他們想要的任何號碼的簡訊。在像李先生這樣的案例中,這是一個非常有利可圖的伎倆。
中國最大的移動安全公司奇虎360在今年4月至6月期間,從假**發射塔抓獲了超過12億條簡訊,每天超過1300萬條。奇虎的資料只包括該公司應用程式捕捉到的資訊,因此總數可能更高。”現在有一個塔裝置是非常有利可圖的。人們會為此付出巨大的代價,”奇虎360移動安全主管任歡說我們預測今年和明年將是我們最糟糕的時候。”
奇虎在短短三個月內就收到了12億條簡訊
大約一半的簡訊是簡單的廣告,是從假冒的**站傳送的,目的是為了逃避群發簡訊的費用,但奇虎將另外三分之一的簡訊標註為推廣非法服務,15%是徹頭徹尾的欺詐。這些資訊可能以***、信用卡賬單或運營商自己的電話賬單的形式出現。在每種情況下,資訊都來自銀行或電話公司的官方****號碼,這讓目標公司沒有理由懷疑資訊的真實性。
詐騙的核心是GSM或2G**網路的一個基本漏洞,它建立於80年代中期,3G和4G網路興起之前。塔樓檢查每個連線的電話都是合法的,但是沒有系統來驗證塔本身。當系統設計30年前,蜂窩塔硬體太貴,這樣的攻擊是不實際的。現在,一個假基站可以建到700元,這樣就更容易盈利了。
從今年4月起,在中國境內大規模生產這些裝置是一項重罪,但在蓬勃發展的中國電子**業中,這些限制可能很難實施。奇虎顯示,最密集的攻擊不是來自人口稠密的南方,而是一個叫鄭州的北方**業城市,在那裡,未經授權的硬體可以更容易地在桌子底下**和銷售。中國警方一直在打擊任何一家用這種裝置抓獲的工廠,今年以來經常有人被捕,24個生產基地被關閉,但從奇虎的數字來看,這次打擊幾乎沒有對襲擊造成任何影響。
一個假基站只需700美元就可以建成,很容易實現盈利
雖然中國遭受的攻擊最為普遍,但這種脆弱性正日益在全球範圍內被利用。在美國,執法部門利用同樣的弱點跟蹤嫌疑人,用官方認可的黃貂魚裝置搭建假塔,儘管許多人質疑這一戰術的合法性。報告還顯示,華盛頓特區有數量驚人的假訊號塔在執行,儘管很難確定誰是這些違規行為的幕後黑手。在美國以外,印度的記者曾利用類似的攻擊手段竊聽政界人士,而捷克警方則表示,他們看到這種攻擊手段被用於工業間諜活動。在《哈佛法律與技術雜誌》(Harvard Journal of Law and Technology)的一篇具有里程碑意義的論文中,美國公民自由聯盟(ACLU)的克裡斯托弗·索吉安(Christopher Soghoian)描述了這項技術是如何傳播的,以及為什麼它變得如此難以遏制事實上,在中國有這麼多的地方,你可以買到這種東西是驚人的,但他們沒有壟斷這項技術。“在印度、俄羅斯和以色列,你都可以買到這種東西,”索吉安告訴《邊緣報》是時候保護我們的電話了。”
“是時候保護我們的電話了。”
美國**的一些人正試圖做到這一點。今年7月,國會議員阿蘭·格雷森向聯邦通訊委員會發送了一份有關這一問題的正式調查報告,該機構隨後成立了一個特別小組來調查這一問題。不過,保護網路安全可能比聽起來更困難。由於雙向認證,現代3G和4G網路可以免受攻擊,但美國要完全放棄易受攻擊的GSM或2G網路還需要數年時間,而這樣做意味著要升級全國數千個基站。到目前為止,AT&;T公司正處於領先地位,計劃在2017年之前放棄GSM,但這給了攻擊者三年時間繼續利用美國的漏洞,在世界其他地區甚至更長時間。
與此同時,中國依賴像奇虎應用這樣的更具爭議的修複,它阻止了任何被認定可疑的訊息,但無法阻止這些訊息被傳送到**上。除此之外,像環這樣的研究人員都依賴中國警方在追蹤購買和銷售這些塔的人方面變得更加聰明。”“我們實際上有很多來自終端使用者的資料,”歡說,“但是我們不是執法人員。”。然後有機構負責抓到這些傢伙,但他們沒有任何資料。”
...以確保它是真實的。這是因為一個與正版幾乎完全相同的虛假版本進入了Chrome網路商店。它的可用時間足夠37000多人下載。 ...
...低於一星級的評論。如果價格令人難以置信,很可能就是假的。唯一可能的例外是爆發性的銷售,比如在受信任的商店進行的黑色星期五交易。 ...
...個假的網站,看起來和真實的一模一樣。他們建立了一個虛假的登入螢幕,以獲取使用這個虛假網站的人的詳細資訊。 ...
... 電纜也可能是假的。它們也可能因過度使用而受損——當然,把它們包得太緊會對內部有害。 ...
...中**攻擊程式碼,毒氣塔劫持了超過一百萬個網站,**了虛假的iframe,並竊取了從那時起使用者發出的每個web請求的資料。 ...
... 虛假的下載連結透過谷歌的AdSense廣告出現在網路上,因為騙子不斷地從中溜走。更糟糕的是,它們經常出現在你想要合法下載的頁面上。 ...
打電話、發電子郵件、買票、拍照、**提醒、付賬單、檢查銀行餘額:這些只是我們在**上做的一些活動。這就是為什麼保持裝置的安全是至關重要的。 ...
... 這些電子郵件通常有一個連結到一個虛假的網站,旨在獲取您的資訊或下載惡意軟體到您的裝置。 ...
如果你用“確定谷歌”來呼叫你**上的助手,事情就要改變了。谷歌正在刪除“語音匹配解鎖”功能,因此助理將得到更多的安全。 目前,如果你使用“解鎖與語音匹配”功能,你可以完全解鎖你的**與谷歌助手只需說“好谷歌...