手机短信验证帐号:SMS PVA( phone verified accounts ) 服务可让客户建立抛弃式个人档案或者在许多热门平台上注册经过验证的帐号。不幸的是,这些服务很可能让犯罪集团用来从事诈骗或其他恶意活动。
手机短信(SMS)验证已成为今日许多在线服务默认使用的验证方式。这些平台这么做的假设前提是:手机短信验证应足以落实“每人每个手机对应一个帐号”的政策。事实上,全球各地许多 IT 部门都将手机短信验证当成一种“安全的”用户帐号验证工具。
有别于旧的 PVA 滥用手法,新的 SMS PVA 服务只提供账号注册时所需的实际验证码。我们在研究 SMS PVA 服务的过程中发现,至少有一家业者是使用一个由数千台已遭感染的 Android 手机所组成的僵尸网络来架设其 SMS PVA 服务。这样的情况有两种可能性:
(1) 用户因为不小心下载到恶意程序而使得手机遭到感染
(2) 手机出厂时就预载了恶意程序。
1
犯罪集团如何利用SMS PVA服务?
短信验证是许多企业机构所信赖的一种认证方式,从小型商务平台到提供关键服务的跨国企业皆然。这也难怪网络犯罪和诈骗集团随时都在处心积虑思考如何利用人们对它的信赖。而提供SMS PVA服务的业者,正好为这些集团提供了他们恶意活动所需的资源。
根据黑客集团以往利用假账号来犯罪的经验,我们可推测出一些他们可能利用SMS PVA服务来进行的犯罪活动。我们的研究就是希望能借由点出这些可能的应用,好让目前正在使用手机短信账号验证的企业机构与监理机构能有所警惕,进而加强防御。
一、保持匿名性
·网络犯罪集团可利用这些服务让自己的身分更难被追查。
二、联合假冒行为
·这类行为涉及在社交网络上大量散发和转传信息(通常是假信息),这方法不仅快速,又能精准打击。
·这类行为可能操弄舆论来宣传某些品牌、服务、政治观点或政府计划。
·这类行为甚至可能煽动街头抗议,制造大量网络舆论。
三、滥用登录优惠
·网络犯罪集团可能利用促销活动来赚取金钱,或者取得某些产品。例如,中国 Starbucks 就曾提供免费饮料券给新注册的 App 用户。
·2018 年,某犯罪集团看准这点,购买了大量手机短信验证码来注册超过 40 万个账号,进而搜集这些免费饮料券,然后拿到网络上贩卖。
·在东欧、非洲和西亚地区相当热门的 Bolt 叫车服务,曾经为了鼓励用户推荐新用户而提供免费乘车点数给每一个新申请的帐号。为此,某些SMS PVA卖家便刊打着“永久享受Bolt乘车优惠”的广告来为其服务招揽客户。
四、诈骗与短信相关的骗术
·SMS PVA 可让诈骗集团注册大量的即时通信软件帐号,然后利用这些账号从事社交工程诈骗。
·诈骗的手法从包裹运送、到股票投资、甚至约会诈骗等等五花八门。
2
谁会受到这类服务影响?
一、一般消费者
·智能手机遭到感染的消费者,是不知情的受害者。他们的隐私堪虑,因为这些服务能够访问它们的私密数据、信息和应用程序。
·从幕后操纵(C&C)服务器发送的客制化正规表达式就可看出其短信拦截能力并不只局限于拦截验证码,还可以用来搜集一次性密码(OTP)或者甚至当成一种监控工具。
二、线上平台与服务
·手机短信验证将被大规模破解,这意味着手机短信验证不再是一种完全可信的用户验证方法。
·通过验证的账号无法保证行为的真实性,许多通过验证的账号很可能是被当成僵尸来控制的假账号。
·任何未将这类已验证假帐号列入考量的用户行为模型,都可能不够精准。
三、单一签入服务
·单一签入 (SSO) 可让用户只靠一组凭证就能登录各种服务,例如使用 Google 或苹果帐号来登录其他平台。这类账号虽然会经由手机短信发送验证码来验证,但其他的通信很可能就是通过平台或应用程序本身来完成。
·黑客可以使用SMS PVA服务在这些主流平台建立大量账号,因为手机短信验证只需一次。
· 使用 SMS PVA 服务来建立这类帐号还会衍生出用户被假冒与身份被盗用的风险。例如,政府机关的门户网站与金融服务网站通常会通过手机确认短信来落实“每人一个帐号”的政策。
3
信息安全建议
随着全球疫情迫使许多个人和企业必须通过互联网来上班和生活,假帐号所衍生的网络诈骗也更加盛行,因为许多企业架设的线上平台都是使用手机短信来验证用户。
这种验证方式已经成为一种大家普遍接受的方法,不论是用来审核网络账号,或是用来防止假冒身份与机器人。
未来,线上平台应该认清这类验证方法的弱点,并考虑采用其他对策。若用户对手机的安全有所疑虑,可考虑采用趋势科技行动安全防护,它能有效检测及防范恶意应用程序并拦截手机与 C&C 服务器的通信流量。不过,智能手机制造商自己也应随时保持警觉,从开发到手机组装与出货都应严密监控自己的产品。此外,验证服务与线上平台开发者也应采取具体的措施来改善手机短信验证机制,防止手机短信服务诈骗变得越来越猖狂。
