犯罪团伙不碰你的手机

也能盗取你的银行密码

你什么都没做

没丢手机也没丢卡

没扫二维码也没点链接

只一觉醒来

网银里的钱竟然不翼而飞？

7月28日早晨，家住武昌徐东的张女士醒来，她拿起手机，发现竟然有99条未读短信。经查看，这些短信有的是验证码，由翼支付、环迅支付、畅捷支付等平台发来；有的是扣款短信，涉及张女士在4家银行的8张银行卡，共产生了27笔交易。

此外，她的名下还莫名产生了一笔1万元的网络贷款，而且也被转走。初步统计，张女士一夜之间损失了5万多元。

图为：张女士收到的被盗刷信息

张女士来不及多想，逐一拨打银行客服和网贷平台的电话，挂失账号、反映问题，并向警方报案。期间，她的手机信号很不稳定，明显不如平时，通话中断了七八次。当晚，她无法入睡，一直看着手机，想不通到底发生了什么，生怕再收到提醒短信。

经过申诉，翼支付退还了张女士被盗刷的1000元；另一支付平台认定她当时的交易属于盗刷，赔付了3.4万元；一家互联网金融支付公司向她赔付了1万元贷款。

图为：警方缴获的作案设备

深夜收到100多条验证码短信

一夜之间一无所有

受害者的手机在半夜连续接到了100多条验证码，醒来发现自己支付宝等账号被盗，损失很惨重。

据广州警方通报，近期多地警方陆续接报一类蹊跷案件，很多人早上起床后发现手机收到很多验证码和银行扣款短信，甚至网上银行APP登录账号和密码也已被篡改。

该团伙大多选择凌晨作案，再加上无需直接与事主接触，因此大部分事主对资金被盗毫无察觉，一觉醒来积蓄已飞走，只有手机里莫名其妙出现的验证码……

我们的手机是怎么被劫持的？

这种手法利用了一种新型技术

“GSM劫持+短信嗅探技术”

伪基站主要利用GSM通信网络，就是传统的2G信号中的漏洞，实现不接触你的手机就能获得你手机所接收到的验证短信。

如今不少网站都是使用手机验证码登录。

第一步：不法分子首先通过伪基站获取一定范围内潜在的手机号码。

第二步：再利用GSM嗅探技术，窥探用户短信中的验证码信息，以便完成密码重置、身份验证等步骤。

第三步：通讯网络是信号，通过接入点就可以劫持到这些信号。目前来说，劫持对象主要针对那些2G的GSM信号，有时不法分子也会干扰附近的手机信号，使之变为2G信号来窃取短信信息。

第四步：再通过登陆其他一些网站，从中碰撞你的身份信息，称为“撞库”。

第五步：将你的身份信息匹配出来，包括身份证、银行卡号等，继而在一些便捷支付平台开通账号并绑定事主的银行卡，冒充事主消费或套现。

如何防范短信验证漏洞？

银行、支付宝等机构会选择使用短信验证码这个机制，而这个机制为什么不够安全，那么我们普通用户到底有什么能防范的呢？

短信验证的漏洞

但随着智能手机的普及，入侵手机窃取短信已经变得比较容易。比如，很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞，或者干脆本身就是恶意的，那你的短信也就危险了。

另外，对于用电脑访问的业务来说，短信验证码是相对独立的一个因子。但对在手机上访问的业务来说，短信验证码就没那么独立了。电脑沦陷后，短信可能还是安全的。但手机沦陷后，短信也很可能也会被攻击者拿到。

虽然目前国内3G/4G已经普及，但大部分地区只是上网走3G/4G，短信还是通过不安全的GSM网络在发送，而GSM是非常容易被监听的。

如何防范？

为了能在靠不住的信息系统里比较靠得住地进行一些重要操作，人们用了很多办法，其中一个叫“双因子验证”（Two-factor verification）。

比如你要用电脑进行网银转账。设计网银安全体系的人就要假设你的账号密码早晚会被坏人窃取。在这种情况下怎么防止坏人用你的账号密码登录你的网银呢？

大家比较熟悉的“U盾”就是一种解决办法。这个设备是独立于电脑而存在的。要在电脑上操作网银，把你账户里的钱转给别人，就需要把这个设备连在电脑上。坏人没有你的“U盾”，所以即使拿到了你的账户密码，也动不了你的钱。在这里，你的密码是一个验证因子，U盾是另一个验证因子。需要密码+U盾才能验证身份登录网银转账，这就是双因子验证。

网警提醒

此类新型伪基站诈骗使用的方法是钻了手机信号协议的空子。好在此类技术在具体实践中受到硬件和原理的限制，暂时不能覆盖过多的手机号，所以受害人较少。

虽然这种手法难以防范，但是大家也不用太担心。

GSM协议的问题早已经被关注到，目前这方面的系统换代升级也在进行中。而验证码短信主要还是由于本身处于明文传递才导致泄露高风险。目前绝大多数支付类，银行类app除了短信验证码往往还有图片验证，语音验证，人脸验证，指纹验证等等诸多二次验证机制。

此外，如果单单泄露验证码，问题是不大的，绝大多数中招的用户是因为泄露了身份证号等其他重要身份信息，所以总体犯罪成功率并不高。GSM劫持防不了，其他信息泄露还是可防的！

对于这种“黑科技”，

普通人必须注意这些！

1、禁止手机终端连接GSM网络，开通VoLTE，移动使用“仅4G”，联通使用“仅3/4G”模式。

2、科学设定密码。为避免一个平台被盗引起多个平台被盗的情况，不要使用自己的手机号、姓名全拼或首字母、生日缩写。重要密码不要与常用密码相同或者相关，需要定期更换。

3.平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。

4.睡觉前关机或者设置飞行模式，或者关闭手机的移动信号，这样能略微提高被嗅探的难度。

5.如果早上起来，看到半夜收到奇怪的验证码短信，要想到可能是遇到短信嗅探攻击了，赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了，火速冻结银行卡，保留短信内容，报警。

6.如果突然发现手机信号变成2G，要立刻意识到自己可能正遭遇这种攻击，并采取以上方式防御！

此外，有些银行APP安全功能可以对此进行防备。

比如开启常用设备管理

设置夜间不可交易

▼▼▼

请扩散，望周知！

来源：荆楚网官方微信

责编：刘志斌