点击上方“程序员大咖”,选择“置顶公众号”
关键时刻,第一时间送达!
先不说楚枫的这般年纪,能够踏入元武一重说明了什么,最主要的是,楚枫在刚刚踏入核心地带时,明明只是灵武七重,而在这两个月不到的时间,连跳两重修为,又跳过一个大境界,踏入了元武一重,这般进步速度,简直堪称变态啊。
“这楚枫不简单,原来是一位天才,若是让他继续成长下去,绝对能成为一号人物,不过可惜,他太狂妄了,竟与龚师兄定下生死约战,一年时间,他再厉害也无法战胜龚师兄。”有人认识到楚枫的潜力后,为楚枫感到惋惜。
“哼,何须一年,此子今日就必败,巫九与龚师兄关系甚好,早就看他不顺眼了,如今他竟敢登上生死台挑战巫九,巫九岂会放过他?”但也有人认为,楚枫今日就已是在劫难逃。
“何人挑战老子?”就在这时,又是一声爆喝响起,而后一道身影自人群之中掠出,最后稳稳的落在了比斗台上。
这位身材瘦弱,身高平平,长得那叫一个猥琐,金钩鼻子蛤蟆眼,嘴巴一张牙带色儿,说话臭气能传三十米,他若是当面对谁哈口气,都能让那人跪在地上狂呕不止。
不过别看这位长得不咋地,他在核心地带可是鼎鼎有名,剑道盟创建者,青龙榜第九名,正是巫九是也。
“你就是巫九?”楚枫眼前一亮,第一次发现,世间还有长得如此奇葩的人。
巫九鼻孔一张,大嘴一咧,拍着那干瘪的肚子,得意洋洋的道:“老子就是巫九,你挑战老子?”
“不是挑战你,是要宰了你。”楚枫冷声笑道。
“好,老子满足你这个心愿,长老,拿张生死状来,老子今日在这里了解了这小子。”巫九扯开嗓子,对着下方吼了一声。
如果他对内门长老这么说话,也就算了,但是敢这么跟核心长老说话的,他可真是算作胆肥的,就连许多核心弟子,都是倒吸了一口凉气,心想这楚枫够狂,想不到这巫九更狂。
不过最让人无言的就是,巫九话音落下不久,真有一位核心长老自人群走出,缓缓得来到了比斗台上,左手端着笔墨,右手拿着生死状,来到了巫九的身前。
“我去,这巫九什么身份,竟能这般使唤核心长老?”有人吃惊不已,那长老修为不低,乃是元武七重,比巫九还要高两个层次,但却这般听巫九的话,着实让人吃惊不已。
“这你就不知道了吧,巫九在前些时日,拜了钟离长老为师尊,已正式得到钟离长老的亲传。”有人解释道。
“钟离长老?可是那位性情古怪的钟离一护?”
“没错,就是他。”
“天哪,巫九竟然拜入了他的门下?”
人们再次大吃一惊,那钟离一护在青龙宗可是赫赫有名,若要是论其个人实力,在青龙宗内绝对能够排入前三,连护宗六老单打独斗都不会是他的对手。
只不过那钟离一护,如同诸葛青云一样,也是一位客卿长老,所以在青龙宗内只是挂个头衔,什么事都不管,更别说传授宗内弟子技艺了,如今巫九竟然能拜入他老人家门下,着实让人羡慕不已。
“恩怨生死台,的确可以决斗生死,但必须要有所恩怨,你们两个人,可有恩怨?”那位长老开口询问道。
来源:51CTO官微
程序员大咖整理发布,转载请联系作者获得授权
这位豆瓣用户
最近很难受
睡一觉醒来之后,她的手机收到了100多条验证码。有人使用她的京东账户、支付宝等等,预定房间、给加油卡充值,总计盗刷了1万多元。这就是传说中的梦醒一场空么...
有公安和安全公司实验室通过复盘测试发现,骗子应该是通过一种“GSM劫持+短信嗅探技术”,可实时获取用户手机短信内容!
比如我们的这位豆瓣用户,早上醒来,发现手机内收到无数条验证码和银行扣款短信。这种形式与“GSM劫持”的模式十分相似——通过实时获取用户手机短信内容,再利用各大知名银行、网站、移动支付App存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
着急的朋友可以直接滑倒最后看解决办法。感兴趣的朋友我们一起来看一下这到底是个什么操作。
短信劫持2.0版
相比较过去通过伪基站来发诈骗短信,推送垃圾广告外,GSM劫持技术已经晋升到2.0阶段,破坏威力更大。这项被GSM劫持的技术在国际黑客界被公布后,已经可以做到监视用户短信。
劫持的手段就是——通过简单的单机设备,加上黑客软件,组装一个GSM劫持设备,通过这个设备,黑客可以看到这个基站区域内所有用户收到的短信,从而获取短信内验证码等敏感信息,而他在做这一切的时候,用户本身是毫无知觉的。
就像是一条经过专业训练的猎犬,在黑暗中悄无声息地辨别事物,由此有种技术被专业人士叫做“短信嗅探”技术。而他们的目的只有一个——就是通过盗刷、贷款“圈”走你账户内的钱。
他们是怎么做到的呢?在一些短信内容中会包括:姓名、手机号码、身份证号、银行卡账号、验证码这些重要要素中的几个或者全部,而很多网站(包括网银APP)往往只需要“账号+手机+验证码”,不需密码也能登录。这就让骗子在后续操作中很容易得手——有了“手机号+密码”,只要点击“忘记密码”,就可以通过验证码来找回密码,同样可以方便登录。
同时,在一些安全实验室的实际测验中,一些网站、轻应用的隐私保护意识很差,有的输入手机号、验证码,所有的信息全部自动弹出,给骗子节省了大量时间。
比如,在劫持到中国移动139邮箱发送的短信,复制其中的链接到浏览器,点击“进入掌上营业厅”,是可以直接看到手机号的。有了手机号后,再登录其他一些网站,就可以很轻松地知道这个人的银行卡账号、身份证号。
我们测试了几个主流网站,都能顺利登录。
在电商类网站,可以查看到商品订单、行程信息、支付信息等,还可以直接更改登录密码。一旦攻破账号密码,形成危害就是盗刷或者购买点卡类虚拟物品。
在银行卡App,那么嫌疑人刷完了银行卡中的钱,还会通过这些信息在一些小的贷款网站、平台申请小额贷款,让受害人不但积蓄全无,还会背负债务。
GSM 网络的弊端是根源
上述这些安全隐患所利用的是黑客公布的“GSM劫持”技术。因此,只要你的手机用了GSM网络,都会存在这种风险。GSM标准的设备几乎占了全球市场的80%以上。
而在我们国家,由于移动和联通的2G是GSM网络制式,所以中国移动和中国联通的用户是这种劫持技术最大的风险客户。
GSM有一个安全缺陷——GSM是单向鉴权的,基站可以鉴别移动终端(例如手机)的合法性,但是终端无权鉴别基站的合法性。也就是说,只要“伪基站”能够发送和真基站类似的广播,就可以欺骗手机们进入其网络内,从而实施发送诈骗短信等违法活动。同时,国内使用的GSM通信协议,存在鉴权弱、短信明文传输的弊端,很容易会被劫持嗅探到。
所以相比之下,其他网络的安全系数更高。根据通信领域的专家看来,CDMA的短信除了超短的以外,基本都走专用信道,破译难度大得多。
基于短信的攻击手段
其实通过嗅探GSM短信进行攻击只是一种相对基础的攻击手段,还有很多种更加“厉害”的方式,我们用*号表示难度,跟大家介绍一下:
0. 伪基站垃圾短信 *
1. 嗅探GSM短信 **
2. GSM中间人获取手机号码 ***
3. 将从3G/4G降级到2G ****
4. 3G/4G中间人攻击 *******
0级攻击 – 伪基站垃圾短信
伪基站发垃圾短信这种攻击手法大家已经熟知。不法分子直接拉着大功率的伪基站出去,大把大把的撒垃圾短信。就像发小广告一样,发一大堆,总有那么一两个中招的。
垃圾短信不那么可怕,钓鱼诈骗短信是比较可怕的,其中含有恶意链接,不小心点击之后会中木马,或者让你填写机密信息等等。
1级攻击 – GSM短信嗅探
这种攻击的原理是因为GSM短信没有加密,所以不法分子可以用一些窃听手法听到短信内容。这种方法是被动的,就是只“听”,不发射任何非法的无线信号。
2级攻击 – GSM中间人获取手机号码
攻击者只听到短信,其实没什么用,短信验证码需要配合网站或者app的验证过程才能起作用。所以,攻击者必须要知道目标的手机号码,可能还需要其他信息,例如身份证号,银行账号等等,其他这些信息可以通过“撞库”,或者通过侵入某些应用的账户来获得。
那么攻击者如何获得手机号码呢?是通过中间人攻击实现的。
攻击者需要一个2G伪基站+一个2G伪终端,让目标手机接入2G伪基站,然后用2G伪终端冒充目标手机,接入运营商网络。连接过程中,需要鉴权信息的时候,就从目标手机那里取。连上网络之后,向外呼出一个电话,到攻击者能看到的一个手机上,攻击者通过来电显示就看到了手机号码。
我们注意到,“独钓寒江雪”的案例中,她提到通话记录中当天凌晨有一个外呼南京的电话,这个电话就有可能是用于获取手机号码的。
以前黑产的实力主要处于0级,今年以来,从各地报道的案例来看,黑产的实力至少进化到了2级。
3级攻击 – 强迫从3G/4G降级到2G
手机待在3G/4G网络中是比较安全的,但是攻击者有办法把手机降级到2G。最简单的一种方法是发射强干扰信号。
这种做法直接把3G、4G的路炸了,手机发现走不通,就只好走到2G的路上去。不过要暴力干扰掉所有的3G/4G通道,是需要很大能量的,设备就会非常大,所以黑产用起来会不太方便。
另外一种更高级一点的办法,是再用一个4G伪基站,欺骗手机,“4G网络不能用了啊,到我这个2G网络来吧”,于是手机就乖乖的过去了。
黑产实力到达3级还是有可能的,只是攻击门槛略高一点。
4级攻击 – 3G/4G中间人攻击
要达到4级攻击,难度就很大了,我们给了7颗星的难度级别,尤其是4G中间人攻击。我们认为目前掌握4级攻击能力的团队,全球应该在个位数!
如何防范风险
1. 睡觉前关机或者把手机调成飞行模式,因为这样手机信号就无法被劫持,而此类犯罪也基本发生在后半夜。
2. 看到奇怪的验证码和短信,要马上意识到可能已被劫持攻击,要马上联系短信所属的移动应用和网站服务提供商,并可考虑暂时关机。
3. 如果自己的手机信号忽然从4G降到2G,可能会被骗子降维攻击,请马上启动飞行模式。
其实我们普通人对这种事情,能做的很少。但还是要尽力的提高我们的安全属性,规避风险。因为风险也是分等级的:
长期处于2G,一些老式手机,或者双卡手机其中一张卡是2G,所有电话短信和流量走2G。这种情况连0级攻击都抵挡不了。
长期处于4G,但没有开通VoLTE,电话和短信是走2G通道的。挡不住1级以上的攻击。
长期处于4G,已开通VoLTE,电话和短信是走4G的。挡不住3级以上的攻击,因为有可能被降级。
那么可以采取什么防范措施呢?
1. 如果你的手机没有开通VoLTE功能,而当地支持VoLTE业务,请及时开通VoLTE,这可以把你的防御等级提高很多。例如中国移动,可发送KTVOLTE到10086,即可开通。
2. 尽可能换4G手机,目前最新款的手机已经开始支持双4G待机。
3. 一些支持防伪基站功能的手机对2、3级攻击有一定的防御力,就是说遇到2G伪基站,不容易被骗进去。这个防御方法是,手机会观察这个基站像不像一个伪基站,如果伪基站伪装得特别像真的,也可能蒙混过关。
4. 晚上关机,可以防以上所有攻击类型,但万一有其他问题,反而不能及时联络到个人,谨慎选择。
看完文章之后我们都能判断出来,只要数据流量、通话、短信走3G或者4G通道,安全系数还是比较高的,短板就是2G网络。
目前已经有很多国家关闭了2G网络,包括日本、韩国、美国、新加坡等多个国家、地区的20多家运营商已经正式关闭了2G网络。中国的运营商也在努力迁移用户,关闭2G网络。
但根据一些报道和3家运营商披露的数据,2017年,14.44亿的总移动网络用户中,尚有3.99亿2GG用户,占比超过27.6%,其中2G用户接近3亿户。这其中有些是手机用户,有些是物联网设备,比如水表电表、共享单车这些。所以2G网络不能随便关闭,还要坚持运营一些年头。
有人会想,我们能不能让手机只驻留在4G网络中呢。如果你看看手机的“首选网络类型”设置,会发现有几个选项
1) 4G/3G/2G
2) 3G/2G
3) 仅2G
三种选项里就是没有“仅4G/3G”这样的选项。为什么呢?
这是“可用性”优先于“安全性”的原则。因为运营商是给用户提供通信管道的,“可用性” (availability)是最重要的,万一你遇到4G/3G网络覆盖不好的地方,总得让你能连上网啊...
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
