一次密码通过短信:可能的漏洞？

Question

是否可以绕过网上信用卡交易的OTP (一次密码)(特别是由Visa验证的密码)？

背景:我认识的一个人被通常的社会工程路线欺骗了(我知道哑巴！)披露了他信用卡的细节&一笔欺诈性交易。该银行表示，已经输入了一份准确的OTP，因此他们的负债就结束了。我倾向于同意他们的观点。

受害人OTOH坚持说，虽然他确实通过电话向钓鱼者提供了他的信用卡号码、到期日和CVV，但他从未通过手机短信(短信)向他们提供OTP。我觉得这很难解释。

这就是为什么我想知道是否真的有攻击渠道，以某种方式击败OTP-短信保护？我唯一可以头脑风暴的可能性是SIM卡克隆的一些变体。

人们怎么看？你知道在野外有这样的剥削报告吗？(通常情况下，我不会相信受害者坚持他从未透露过OTP，但我只是扮演魔鬼的辩护者一点)。

在重要的情况下，Visa使用通过文本消息发送的4-6位OTP进行验证&它应该在180秒内过期。

Answer 1

随着通过SMS的OTP越来越受欢迎，恶意软件窃取它的趋势也越来越大。

例如，查看NeverQuest上的这份报告。一旦它感染了你的电脑，偷走了你的所有其他凭证，它显示了一个非常专业的页面，显然是从你的银行，要求你下载一个应用程序。当然，它会偷走你的OTP。

(PDF) https://devcentral.f5.com/d/neverquest-malware-analysis?download=true

如果您的朋友坚持不让他下载应用程序，那么可能的情况是：

1. 他下载了一款看起来合法的应用程序，并要求使用文本信息读取权限。
2. 一旦应用程序运行，它就把他的电话号码发送给骗子。
3. 骗子打电话给他，询问他的详细情况。
4. 骗子利用他的详细资料登录。
5. 银行给你朋友寄了张OTP。
6. 该应用程序将其转发给诈骗者，并从手机中删除了短信。
7. 骗子使用OTP完成登录。

我还没有听说过这个方法在使用中，但是它的实现非常简单。比零任务容易多了。

Answer 2

如果您的朋友说的是实话，那么攻击者可以通过几种不同的方式获得代码：

1. 如果手机是GSM的话，他们有可能复制他的SIM并以这种方式接收他的短信
2. 文本消息由称为SMS-Cs -运行软件的系统进行处理，该软件处理位于小区提供商网络中的文本消息。如果钓鱼者设法破解SMS-C，他们就可以访问系统中的每一条短信。
3. 他的手机被黑了--电话恶意软件可以让钓鱼者获得他手机上的短信。
4. 手机上的一个应用程序使用权限泄露了信息。在Android上，当你安装一个应用程序时，它会弹出一条消息，显示应用程序所需的所有访问权限。提供最次要功能的应用程序有时要求访问电子邮件、短信、联系人、照片、位置和浏览历史记录--这比他们所说的更多。如果您允许应用程序访问SMS消息，它将能够合法地转发您发送或接收给第三方的每一条短信。大多数情况下，这样做是为了向广告商出售，但据知其中一些应用程序是犯罪分子专门为盗用身份和协助更广泛的犯罪而开发的。

因此，你的朋友完全有可能没有直接告诉犯罪分子短信的细节，而是很可能是通过他安装的应用程序间接提供给他们的。

Answer 3

您还应该考虑攻击者使用IMSI捕获器作为可能的攻击载体来访问移动电话数据。

IMSI捕集器本质上是模仿移动电话塔来拦截通话和短信的设备。这些设备可以获取信息，如国际移动用户身份，以及电话和短信。

政府机构和执法部门可以使用这些工具，但你可以在黑市上购买，也可以自己建造(如果你知道怎么做的话)。

IMSI捕捉者劫持电话信号，在某些情况下，拦截通话和短信的内容。IMSI捕获器利用系统中内置的漏洞。使用3G或4G技术的手机可以对基站进行认证，但在较旧的2G系统上，手机无法区分真实的和假的双塔。

IMSI捕获器阻止更智能的3G和4G信号，迫使该地区的移动电话切换到不安全的2G服务--在2G服务很普遍的农村地区，手机也经常这样做。然后，IMSI捕手摆出塔的姿势，“捕捉”信号。