PDF《TC260-PG-20182A》

TC260-PG-20182A 网络安全实践指南 ―应对截获短信验证码实施网络身 份假冒攻击的技术指引 全国信息安全标准化技术委员会秘书处

2018 年2月11 日 本文档可从以下网址获得: https://www.

tc260.org.cn/front/postDetail.html?id=20180211153548 I 声明本实践指南版权属于全国信息安全标准化技术委员会. 未经 委员会书面授权,不得以任何方式复制、抄袭、影印、翻译本指 南的任何部分.凡转载或引用本指南的观点、数据,请注明"来源:全国信息安全标准化技术委员会". 本指南内容基于已有行业实践进行总结, 使用指南推荐措施 所产生的风险由使用者自行承担. 全国信息安全标准化技术委员 会不对采取本指南所列措施产生的风险承担任何相关责任. 技术支持单位 本实践指南得到中国电子技术标准化研究院、 中国电子信息 产业发展研究院、中国电信集团有限公司、中国移动通信集团有 限公司、中国联合网络通信集团有限公司、腾讯、蚂蚁金服、百度、京东、

360、华为等单位的技术支持.

1

一、问题描述 当前,使用短信验证码验证用户身份的技术被广泛应用 于各类移动应用、网站服务.由于GSM网络存在单向鉴权和 短信内容无加密传输等局限性,且短信截获攻击呈现工具化 和自动化趋势,使利用此类威胁实施攻击的门槛大幅降低, 基于短信验证码实现身份验证的安全风险显著增加. 典型案例.近期,各地出现了多起利用手机信号劫持设 备等工具,非法截获受害者短信验证码、手机号码,实施网 络身份假冒攻击,并结合社工(如钓鱼网站)或黑产交易等 方式获得受害者身份证号码、银行卡号、支付平台账号等其 他敏感信息,进而盗刷受害者银行卡、骗取借款等. 特征分析.该类攻击主要利用了短信验证码在用户身份 验证方面存在的安全缺陷,具有如下特点: ――攻击手法工具化.截获短信的攻击手段早在

2010 年已出现,由于攻击技术实施难度大,当时仅掌握在少数高 级攻击者手中,难以大规模利用.目前,该攻击手法各主要 环节已经工具化和自动化,攻击门槛降低,一般攻击者可通 过购买工具实施攻击,威胁骤增. ――攻击影响范围广.由于短信验证码技术被广泛用于 各类移动应用、网站服务的身份验证,短信截获攻击手段一 旦被大规模利用,安全风险高,可能导致基于短信验证码实 现身份认证的技术失效,造成公民财产损失,危害互联网生

2 态安全. ――缺陷修复难度大. 目前, GSM 网络使用单向鉴权技 术, 且短信内容以明文形式传输, 该缺陷由 GSM 设计造成, 且GSM 网络覆盖范围广,因此修复难度大、成本高. ――攻击过程全链条化.攻击者在利用手机信号劫持设 备等工具非法截获短信验证码、手机号码的基础上,并通过 社工或黑产交易等方式获取身份证号码、银行账号、支付平 台账号等敏感信息,已组合形成攻击产业链. ――攻击过程隐匿化.攻击过程中,受害者的手机信号 被劫持,攻击者假冒受害者身份接入通信网络,受害者一般 难以觉察.

二、风险分析 此类攻击主要对依赖短信验证码进行用户身份验证的 移动应用、网站服务提供商造成安全威胁.攻击者在截获短 信验证码后,能够假冒受害者身份,成功通过移动应用、网 站服务提供商的身份验证安全机制,实施信用卡盗刷等网络 犯罪,给用户带来经济损失.