通訊基建系統有漏洞
政府投入大量防騙宣傳,實施電話實名制,推出審查軟件,可是電騙罪案仍不斷上升,單是去年釣魚全年網絡釣魚相關連結便超過4.8萬條,較23年高出1.5倍。因應手機釣魚短訊日增,電訊管理局去年與業界商定短訊發送人登記制,利用#開頭,用作識別發送方已進行身份認證的短訊,各大媒體亦協助推廣如此訊息。業界花資源配合以希望挽回市場信心。不料近日陸續有市民收到#號開頭短訊,內含釣魚連結。有市民打開不虞有詐,結果損失兩萬多元。經數日調查,警方公布在旺角拘捕一名男子,在車上檢獲「偽基站」用作發送#字頭的詐騙短訊,偽冒政府部門、速遞公司、支付系統云云。事件代表#號不再是發送者的身份認證。本欄多次申述兩大訊息,一是SMS技術已經完全過時,二是收訊人不會知道發訊者的真實身份。事件的另一看點是「偽基站」。有人提出懷疑,以今天5G的通訊基建竟然容許偽基站,豈非整個系統有安全漏洞?的而且確,無線通訊系統的運作仍有弱點,越低制式漏洞越多,即使4G仍有漏洞給予偽基站運作,用作強迫手機連線。另一方面,利用通訊網絡漏洞的人對整個運作肯定非常清楚,而且擁有一定技術及硬件,相信是有組織的行動。若只逮捕一兩個「嘍囉」,而非破獲背後組織,怕且假#號短訊陸續有來。
偽基站及熱點非新事物
將行騙者繩之於法只是一方面,另一方面是如何防範風險?有否其它衍生風險?要回答就必須了解問題根本。其實本欄前幾年已提及低制式風險。2G是30多年前的產物,當年只重視通訊可順利進行,未有全面考慮資訊安全,而當中有很多弱點,包括基站不用核准登入,通話欠加密等。今天仍有不少網絡話音通話自動降至3G,雖然有加密通訊但加密並不穩妥。2G及3G都應該淘汰,無奈部份國家及偏遠地區通訊基建未能跟上,製造商為了令手機能在任何地區可用,絕大部份同時支援2G及以上制式。偽基站就是透過網絡弱點騙取手機連上,然後進行攻擊。一般偽基站是2G(Stingray),用作獲取SIM卡識別碼IMSI、竊聽、推送SMS及其它攻擊。3G亦有同類偽基站(Hailstorm)。偽基站被某些地區執法人員、間諜及罪犯廣泛利用。有證據證明示威場所經常出現偽基站,當中不少懷疑來自外國的間諜。至於如何騙取手機連接,當中牽涉手機連線的規則,2/3/4G網絡操作上有不同,有興趣的讀者可以參考下列連結(註1)。其實連線風險除了通訊網絡假基站之外,還有假Wi-Fi熱點。不少公共場所提供免費Wi-Fi,偽Wi-Fi可能用極相似的名字,甚至利用一模一樣的名字進行攻擊(evil twin attacks),當用家連上後,所有流量將被監控甚至截取,裝置亦可能遭到攻擊,又或彈出登入版面直接索取個人資料。由於取得Wi-Fi儀器輕而易舉,用家遇上假Wi-Fi的機會不會低於假基站。
馬上採取應對措施
事件正好提醒市民留意偽基站及偽WiFi的相關風險。筆者建議採取下列應對措施。首先,如果你是使用安卓手機,大部份皆提供選項,容許用戶停止2G連線,請馬上開啟相關功能。對於未有這個選項的手機,包括iPhone及某些品牌機,在使用上請多加留意手機上方訊號制式資料,尤其在市區,絕大部份情況應該是4G或以上,通話時應支援VoLTE制式。如果來電出現3G,建議不要接聽,待4G連線穩妥才回撥。若出現任何情況連線降至2G,馬上切換至飛行模式。語音通話請儘量使用點對點加密通訊軟件,例如Signal,可防止中間人監聽及竊取訊息。其次,SMS根本不是安全的通訊方式,而且有嚴重私隱問題,若有選擇,應改用其它使用點對點加密的途徑。處理任何SMS請高度警覺,點擊內裏任何連結務必利用本欄前期描述的守則,看清楚網域名稱。其三,參與任何敏感活動,只能使用非實名登記的SIM及從未插上任何實名SIM卡的手機。即使身處外國亦要小心。其四,請關閉自動連線免費Wi-Fi功能。連上任何外部Wi-Fi,筆者強烈建議使用VPN。最後,記著在電子世界內,任何信息及來電,你不會知道發送者的真實身份,一旦要求你提供個人資料或其它行動,必須使用其它途徑確認對方身份及信息真實性。
事件再次凸顯手機運作的供應鏈相當複雜。當用戶依賴某個顯示,某個防騙軟件,請了解這些工具未必能處理「中間人」攻擊的風險。請時刻保持警覺,知識與邏輯思考才是你的最好後盾。◇
註1 :https://www.eff.org/wp/gotta-catch-em-all-understanding-how-imsi-catchers-exploit-cell-networks
----------------------
🎯 專題:中共海外升級攻擊法輪功
https://hk.epochtimes.com/category/專題/中共海外升級攻擊法輪功
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
