【紫牛新闻】一夜收到百余短信,账户被刷光,短信验证码攻击案多地频发(2)

[原文来自：www.ii77.com]

受害者收到的提示短信 [好文分享：www.ii77.com]

汤先生6日已经接到京东的电话，表示愿意赔付损失，不过还需要提交一些资料。

京东金融市场..部的吴芳女士告诉紫牛新闻记者，“京东金融对此事高度关注，并设立了专门的盗刷案件处理通道，针对用户反馈的情况我们会第一时间对案件进行核实。秉承用户利益为先的原则，我们会对被确认盗刷的用户账户进行先行垫付，免除用户的还款责任。同时，京东金融已积极向公安机关报案并配合警方工作，未来将进一步协助警方对此类犯罪进行深度打击和治理。”

京东金融客服回应

相比之下，受害者们普遍感觉和银行交涉更加困难。

倩倩起初找银行，遇到推诿。她到派出所做了笔录，但是金额不够立案标准。警方让她向银监会投诉银行。她投诉之后，银行打电话回复说，案子发回开户行，找了人联系我提供资料进入理赔流程。但是提供资料后能不能理赔看省行的审核，最多可以赔付盗刷金额的70%。

倩倩说：“我的金额其实很小，维权的成本已经远超被盗刷的金额了，就是想争口气。现在这个事情爆发出来，我感觉相关部门是需要做改进的，而不是甩锅说和自己没关系，这种各方推诿维权无望的感觉太难受了。”

自己和妻子都曾遭到这种攻击的那位受害者告诉紫牛新闻记者说，“从5月份到现在的8月份，关于银行卡被盗刷的维权经历，我都可以写一本书了。”

这种短信验证码攻击事件曝光后，有人称这是“GSM劫持+短信嗅探”攻击，犯罪分子建立伪基站，获取周围的手机号码，再利用短信嗅探设备来嗅探短信。不过信息安全界资深人士说，并不能确定具体的攻击类型，目前有多种方法可以达到获取短信验证码的目的。

中国海天集团有限公司创始人兼CEO邹晓东（Seeker）在网络安全界享有盛誉，被称为“黑客炼金术士”，他在2016年就曝光了利用伪基站攻击短信验证码的漏洞。

伪基站

邹晓东告诉紫牛新闻记者，笼统说有4种攻击短信验证码的方法，其中两种不需要伪基站。更可怕的是，在4种方法里，有3种可以把短信拦截下来，不让受害者的手机接收到。如果看不到手机上出现莫名其妙的验证码和消费提示，受害者可能根本不知道账户遭到攻击。

邹晓东说，看起来最近这些受害者遇到的是最低级的一种攻击方法，而且全部攻击设备最低只用100~200元就能搞定。因为比较低级，难度不大，容易被黑色产业者掌握，产生较大社会影响。

早在2011年，手机通讯的GSM网络就已经遭到破解。GSM网络除了可以通话，还能传送短信。虽然现在手机通讯普遍升级到安全性更高的4G网络，但GSM网络还在同时发挥作用。

犯罪分子利用干扰器等设备把周围的手机驱赶到GSM网络，然后就可以侦听受害者的短信验证码。

另外，现在个人信息泄露非常严重，个人用户的手机号、身份证号码、银行卡号、家庭和工作地址等等信息，几乎都能以非常低的价格买到，如果掌握了用户的手机号和短信验证码，对于攻击者来说，这样的用户基本上就等于透明的。

银行和第三方支付..在验证用户身份时，如果只通过短信，对此这类攻击者来说，就毫无安全性可言。

有人建议用户晚上关掉手机，以此防范短信验证码攻击。对此邹晓东说，“关机或者飞行模式有用，但是别忘了开机时仍然会被攻击，而且有多种办法让受害者手机收不到或者不提示短信。”

邹晓东说：“从黑客角度看，没有谁家系统是百分百安全的，各家服务在设计的时候也不可能追求百分百安全，都为了易用性做了一定的折衷。用户和商家过去都享受了易用性带来的好处，只要安全风险控制在一定范围内，就不会去较真。当黑产的攻击威胁加大时，商家就应该及时响应，增加安全措施。同时，易用性过去给商家带来的好处多于给个体用户的好处，所以从道义上，就深圳这个事件，商家应该承担多数损失。”

知名法律博主“逻格斯logics”告诉紫牛新闻记者，“目前我国在银行卡盗刷案件中的裁判思路是比较明确的，就是倾斜保护储户的利益，严格要求银行尽到安全保障义务。”

他说上海有个案件被最高院选入保障民生典型案例，法官是这么认为的：银行更有条件防范犯罪分子利用银行实施的犯罪，故银行应当制定完善的业务规范，并严格遵守规范，尽可能避免风险，确保储户的存款安全。

“逻格斯logics”认为，对于短信验证漏洞导致的用户损失，法院可能会认定银行提供的手机网银服务未能抗拒类似的技术手段，属于未尽法律规定的“安全保障义务”，要求银行承担赔偿责任。

他指出，“安全保障义务”是侵权责任法规定的，对于京东和支付宝等第三方支付机构同样适用，而且《非金融机构支付管理办法》第八条第（八）项规定了第三方支付机构要“有符合要求的营业场所和安全保障措施”，因此应当可以参照适用。