92#加满，谢谢……可是油箱真的加满了吗？

油价涨涨涨

广大车主朋友们

应该都有过类似感受

油价的每一次上调

我们的小心脏和小荷包

都会略感“疼痛”

但当大家还在苦心钻研如何掌握“踩油门”的省油技法时，殊不知有“偷油贼”利用黑客手段在你给爱车加油时神不知鬼不觉地完成一键“偷”油。

黑龙江省大庆市公安局网警分局破获

利用加油机“作弊”实施犯罪的案件

犯罪团伙利用非法控制手段，使用作弊移动加油机让用户“花钱多、少加油”，严重损害人民群众利益，扰乱市场经济秩序。
他们在给车主加油时，暗地里操作作弊加油机面板或遥控器，随意设置自己想要的减油量。你以为的“油箱加满”，实际上“还空一半”，偷油者随心所欲，消费者却浑然不觉......

案件回顾

案件侦查

2023年3月，黑龙江大庆市公安局网警分局在核查线索中发现，市内某加油站涉嫌使用作弊移动加油机实施“偷油”、某加油机经销商涉嫌出售作弊移动加油机。

网安民警顺藤摸瓜，发现该作弊移动加油机是省外某公司生产，该公司在生产移动车载加油机过程中，勾结技术人员实现遥控加油机达到“缺斤少两”功能。
自2017年以来，该公司累计向全国各地销售此类作弊加油机4万余台，涉及20余个省份。

实施抓捕

2023年4月，大庆市公安局网警分局横跨全国3省4市开展抓捕行动，先后抓获涉案加油机经销商、使用人员，以及涉案公司法人、财务、技术、销售等关键环节犯罪嫌疑人26人，扣押作弊移动加油机主板2000余个。

案件分析

此类犯罪是典型的

从生产到经销再到使用的

黑灰产业链犯罪

上游生产厂商及作弊程序作者，自行编写作弊程序代码，并烧录至加油机主板内实施作弊，涉嫌提供侵入、非法控制计算机信息系统程序、工具罪。

中游经销商、代理商，明知加油机具有作弊功能，仍对外销售具有作弊功能的移动加油机，同样涉嫌提供侵入、非法控制计算机信息系统程序、工具罪。

下游作弊加油机使用人员，擅自修改移动加油机配置参数实现加油时“偷油”的目的，涉嫌诈骗罪、盗窃罪等侵财类罪名。

这些违法犯罪行为不仅严重侵害了消费者利益，还破坏了市场经济运行秩序和国家税收制度，需要公安机关、税务部门和市场监管部门等多部门协同开展加油机作弊综合治理。

网警有话说

广大消费者朋友们在加油时要多注意观察加油机回零装置显示为零再加油，留意加油机是否贴有统一有效的绿色强制检定合格标志，还可以观察加油机流速是否正常，如果发现加油机流速过快，加油机很可能被做了手脚。

加油站商家们应该秉持着诚信经营的理念，不做“缺斤少两”的作弊行为，坚决不能触碰法律红线，否则不仅会失去消费者的信任，还会受到法律的制裁，砸了自己的饭碗。

公安网安部门将持续依法严打破坏市场经济运行秩序等涉及民生领域的黑客类犯罪，用实际行动守护网络信息空间安全，维护市场经济平稳有序，保护人民群众切身利益。

5G 连接存在漏洞，移动设备易被绕过或受到 DoS 攻击

无线服务提供商优先考虑正常运行时间和延迟时间，有时以牺牲安全性为代价，允许攻击者利用这一漏洞窃取数据，甚至更糟。

由于 5G 技术存在漏洞，移动设备面临着数据被肆意窃取和拒绝服务的风险。

在即将于拉斯维加斯举行的「黑帽 2024」大会上，宾夕法尼亚州立大学的一个七人研究小组将介绍黑客如何通过提供互联网连接来窃听互联网流量。这就意味着，间谍活动、网络钓鱼以及更多其他活动都将成为可能。

研究人员表示，这是一种非常容易受到攻击的方式，涉及到通常被忽视的漏洞和几百美元就能在网上买到的设备。

步骤一：设置假基站

当设备首次尝试与移动网络基站连接时，两者要进行身份验证和密钥协议（AKA）。设备发送注册请求，基站回复认证和安全检查请求。

虽然基站会审查手机，但手机不会审查基站，基站的合法性基本上被视为既定事实。

宾夕法尼亚州立大学研究助理赛义德-穆基特-拉希德（Syed Md Mukit Rashid）解释说：”基站每 20 分钟或 40 分钟广播一次’你好’，以此宣传它们在特定区域的存在。但这些广播消息没有经过身份验证，也没有任何安全机制。它们只是明文信息，因此，移动设备根本无法检查它是否来自伪基站。”

建立伪基站并不像看起来那么困难，只需要用树莓派（Raspberry Pi）或者更好的软件定义无线电（SDR）来模拟一个真实的基站。宾夕法尼亚州立大学的另一位研究助理 Kai Tu 指出：”模拟基站需要的工具都可以在网上买到，然后在伪基站上运行一些开源软件（OSS）就可以以假乱真。”昂贵的 SDR 可能要花费数万美元，而能完成任务的廉价 SDR 只需要几百美元。

一个小装置就能诱使你的手机远离一个已建成的商业发射塔，这似乎过于简单了。但是，利用附近的 SDR 进行有针对性的攻击，可以提供比同时为成千上万人提供服务的基站更强的 5G 信号强度。拉希德说：”从本质上讲，设备会尝试连接到最好的基站，即提供最高信号强度的基站。”

步骤二：利用漏洞

与其他安全程序一样，AKA 也可以被利用。例如，在一种流行的移动处理器中集成的 5G 调制解调器中，研究人员发现了一个处理不当的安全头，攻击者可以利用这个安全头完全绕过 AKA 进程。全球最大的两家智能手机公司生产的大部分设备都使用了这种处理器，具体不方便透露是哪两家公司。

在吸引到目标设备后，攻击者可以利用这种 AKA 绕过返回恶意制作的 “接受注册”信息，并启动连接。这样一来，攻击者就成了受害者的互联网服务提供商，能够以未加密的形式看到受害者在网上的一切行为。他们还可以通过发送鱼叉式网络钓鱼短信或将受害者重定向到恶意网站等方式与受害者互动。

虽然 AKA 绕过漏洞已经很严重了，但研究人员还发现了其他漏洞，允许攻击者确定设备的位置，并执行拒绝服务（DoS）。

如何确保 5G 安全

宾夕法尼亚州立大学的研究人员已经向各自的移动供应商报告了他们发现的所有漏洞，这些供应商都已经部署了补丁。

不过，更持久的解决方案必须从确保 5G 身份验证的安全开始。正如拉希德所说：”如果要确保这些广播信息的真实性，就需要使用公钥（基础设施）加密（PKI）。而部署 PKI 的成本很高，需要更新所有的基站。”此外，还有一些非技术方面的挑战，比如谁将是公钥的根证书颁发机构等等……

这种大改不太可能在短期内发生，因为 5G 系统是在知道以上情况的情况下建立的，以纯文本形式传输信息是出于特殊原因。

“这是一个激励机制问题。信息是以毫秒为单位发送的，因此如果采用某种加密机制，就会增加基站和用户设备的计算开销。”拉希德解释说，计算开销也与时间有关，因此从性能上来说会慢一些。

拉希德表示，性能方面的激励要大于安全方面的激励。但无论是通过假基站、Stingray 设备还是其他手段，攻击者发起攻击都利用了基站的初始广播信息缺乏验证这一特点，这是万恶之源。

文章来源 ：公安部网安局

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍